互联网资安风控实战

coding

本文来自:OTCBTC首席执行官-郑易廷

前言

我近几年来,写了不少书。各有不同特色,有增长方面的书籍,也有创业的书籍,教人学习、编程、分析财报的书籍等等。很多人可能好奇为什么我现在又要写一本书新书,而且还是「互联网服务安全实战」如此生僻的选题。其实,这个主题一直以来,就是我很想写的一本书。
互联网服务的设计安全,一直是一个被行业与大众忽略的议题。
这个主题不是不重要,而是诸多因素,造成这个议题很难被重视:

  • 设计安全服务的成本巨大,一个初创企业,在创业过程中,往往关注的是获利与生存,故无暇投资在这方面的建设。

  • 企业没有被攻击过,就不知道安全的重要性,更无法想像这里面的水有多深。

  • 安全人才难觅,安全往往是 by design 的。通常企业一般来说无法自行培养出有安全意识的架构师与风控部门。这一类的人才,往往是有过大型服务的互联网公司,才有相关的意识训练。

  • 所谓安全的系统,是以控制风险与多重校验作为主要手段。而此类的设计,往往会在正常业务上附加上非常多复杂的 overhead。除非业务已定型成熟,需要进入到风险控制阶段,否则开发人员并无意愿加入类似的设计。

  • 安全是有价的。而且是极高的代价。除非该间网路公司经营的是一间与金融高度相关的产业,如果只是一个博客或者互联网社群服务,通常此类公司对于「安全」的需求设计相对较低。因为若遭受到黑客攻击,用户资料被盗,我们可以问问,使用者或企业的损失会是什么?如果「只是」「密码被盗」,而「密码被盗」并不会连锁导致使用者的其他重要资产连锁被盗。则企业可能会轻视,甚至意识不到这当中的危险性,而选择不加以防范。

  • 资安与风控都是稀缺人才。并不是想要补强就能补强。有时候,一些企业连谘询求助对象都没有。

  • 企业被黑入,很多时候都是选择与黑客私了,或者是受害用户私了。许多过去宝贵经验无法分享,因为有些这一类的经验甚至分享之后,会造成更大的行业灾难。

基于以上种种原因。这一类的信息很难被交流,甚至坊间很少有相关书籍,或者是业界熟手可以求教。

我过去因为经营一间小有规模区块链交易所,在这一两年经营、开发、经手、协助无数次的资安风控事件。累积了相当多行业设计知识。我们公司的交易所,八万多行代码,其中有 1/3 的代码都是风控相关。

而与熟识的资安顾问交流后,认为这几年我累积下来的行业知识非常宝贵,而且甚至部分可能领先业界。

因此想藉由这个机会,将相关的知识公开,能够造福互联网业界,降低并防范大家的损失。

这本书会谈哪一些主题?

    区块链交易所,是一个非常奇特的产业。过去互联网世界,从未有同时间,有这么多竞争者,同时涌入同一个领域。根据坊间统计,可能在 2017-2019 年,在世界上就诞生了接近万间交易所。厮杀的无比惨烈。很多人会涌入这个行业的主要原因,多半是冲著「钱」而来。
外界与行业里的人都有一个错觉,开交易所「非常赚钱」,主要业务是「割韭菜」。但事实上真是这样吗?
虽然在这一两年,虽然行业有这么多交易所开张了。但是,必须要说,很多交易所不但割不到韭菜,反而还被韭菜与黑客割的更严重,开张一个月即破产倒闭的币所比比皆是。
交易所方往往戏称,在这一场区块链趋势里面,赚最多钱的职业,可能不是开交易所。而是「黑客」与「区块链安全审计公司」。
一些人知道我开币所,往往兴冲冲的想要谘询我关于这一行的相关知识。我往往会劝阻他们。
因为这行水非常深,如果创业团队里面不具备有背景深厚且通晓资安的架构师,不要轻易尝试。
区块链这一行并不如一般互联网行业,只要你的服务背后接了一个钱包,不管你是开交易所,托管,企业钱包,区块链游戏,「资安挑战都等同于开一个币所」。
因为只要你防御失败了,损失的往往不单只有数据库的资料,而是企业资产(公司的币,与客户的币)会被提领一空。
互联网创业这一行,没有什么比区块链这个行业更高风险的类别了。
这是那些一头热想要栽进这个行业里面跟风的人,无法想像的世界。
这些人所在的世界,之前是不太可能碰到什么风险的,所以再多的口头警告,都无法劝退他们,反而对方还会认为你是在挡他财路。
很多人认为,区块链行业是个新兴非常有前景的行业。
但说白了,区块链行业只是另外一种型态的互联网金融行业。而且这个行业可能远远较管理实体金钱的互联网金融行业风险更大。因为起码银行帐号的钱,是搬不走的。而区块链公司里面的钱,只要你的服务被渗透了,不只用户的钱会被偷走,企业也有一夕之间面临倒闭的风险。可以说,区块链行业里面碰到的 case,可能都会是你在互联网行业碰到最极端的设计。这本书里面,我会从两个角度去谈。包括风险管理和风险控制。
主要从几个面象去谈以及防御:

  1. 如何防范使用者资料被盗,并且降低损失

  2. 如何设计相对安全的技术架构,阻断连环损失

  3. 如何拦下恶意使用者针对系统的恶意攻击

  4. 当公司管理的钱一大,没有人能够防御变质的人心,如何预防内鬼,并且降低损失。

  5. 如何预先建立风控策略,与外部团队联手合作。

希望大家在阅读完这本书之后,能够有所收获。

打造互联网金融企业安全与风控的实战手册。

以区块链交易所为例。

书中会谈及主题:

  1. 如何防范使用者资料被盗,并且降低损失

  2. 如何设计相对安全的技术架构,阻断连环损失

  3. 如何拦下恶意使用者针对系统的恶意攻击

  4. 当公司管理的钱一大,没有人能够防御变质的人心,如何预防内鬼,并且降低损失。

  5. 如何预先建立风控策略,与外部团队联手合作。


本文分享自微信公众号 - 糖果的实验室(mycandylab)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

以上是 互联网资安风控实战 的全部内容, 来源链接: utcz.com/z/508655.html

回到顶部