©2020云安全联盟大中华区-版权所有1 @2020云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及,或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下:(a)本文只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容,使用时请注明引用于云安全联盟大中华区。 致谢 云安全联盟大中华区(简称:CSAGCR)区块链安全工作组在2020年2月份成立。由黄连金担任工作组组长,9位领军人分别担任9个项目小组组长,分别有:知道创宇创始人&CEO赵伟领衔数字钱包安全小组,北大信息科学技术学院区块链研究中心主任陈钟领衔共识算法安全小组,赛博英杰创始人&董事长谭晓生领衔交易所安全小组,安比实验室创始人郭宇领衔智能合约安全小组,世界银行首席信息安全架构师张志军领衔Dapp安全小组,元界DNA创始人兼CEO初夏虎领衔去中心化数字身份安全小组,北理工教授祝烈煌领衔网络层安全小组,武汉大学教授陈晶领衔数据层安全小组,零时科技CEO邓永凯领衔AML技术与安全小组。 区块链安全工作组现有100多位安全专家们,分别来自中国电子学会、耶鲁大学、北京大学、北京理工大学、世界银行、中国金融认证中心、华为、腾讯、知道创宇、慢雾科技、启明星辰、天融信、联想、OPPO、零时科技、普华永道、安永、阿斯利康等六十多家单位。 本白皮书主要由交易所安全小组专家撰写,感谢以下专家的贡献: 原创作者:邓永凯、黄连金、谭晓生、叶振强、余晓光、余弦(按拼音字母排序)审核专家:陈大宏、赵勇 贡献单位:华为 关于研究工作组的更多介绍,请在CSA大中华区官网(https://c-csa.cn/research/)上查看。 如本白皮书有不妥当之处,敬请读者联系CSAGCR秘书处给与雅正!联系邮箱:info@c-csa.cn;云安全联盟CSA公众号: 序言 CSAGCR区块链安全工作组的交易所安全小组对于过去几年交易所发生的安全事件进行了分析,按照安全事件的发生频率和资金损失程度总结了主要的十个安全风险。对于每个风险进行解释和描述,给出有关的案例的文章链接供读者参考,并且给出应对措施和建议。 交易所管理用户的资金,因此所有交易所,不管大小,都需要金融级别的安全。金融系统的身份管理,两地三中心的高可用性和灾难备份的能力,安全风险感知,7×24h实时监测预警,数据安全和隐私保护等等安全控制是交易所必须建立的安全能力。CSAGCR希望通过对于已经发生的交易所安全事故的分析,提出应对风险的可以落地的对策。希望交易所能够重视安全,避免为黑客打工。 李雨航YaleLiCSA大中华区主席兼研究院院长 目录 致谢3 序言4 1:高级长期威胁(APT:AdvancedPersistentThreat)7 风险描述:7 相关案例链接:7 应对措施:7 2:分布式拒绝服务(DDOS)8 风险描述:8 相关案例链接:8 应对措施:9 3:内鬼监守自盗(InsiderAttack)10 风险描述:10 相关案例链接:10 应对措施:11 4:API安全风险问题11 风险描述:11 相关案例链接12 应对措施:13 5:假充值问题(FalseTop-up)13 风险描述:13 相关案例链接:13 应对措施:14 6:交易所热钱包存储过多资金,成为黑客目标16 风险描述:16 相关案例链接:16 应对措施:16 7:51%攻击(也可以称为硬分叉攻击,或者双花攻击)17 风险描述:17 相关案例链接:17 应对措施:18 8:不安全的文件处理18 风险描述:18 相关案例链接:19 9:DNS域名劫持(DNSdomainnamehijacking)20 风险描述:20 相关案例链接:20 应对措施21 10:第三方安全21 风险描述:21 相关案例链接:22 应对措施:22 关于云安全联盟大中华区23 1:高级长期威胁(APT:AdvancedPersistentThreat) 风险描述: 高级长期威胁(英语:AdvancedPersistentThreat,缩写:APT),又称高级持续性威胁、先进持续性威胁等,是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标,并从其获取数据。威胁则指人为参与策划的攻击。数字货币交易所的高级长期威胁一般是黑客在攻击之前对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象身份管理系统和应用程序的漏洞,并利用电子邮件和其他钓鱼手段安装恶意软件潜伏等待成熟时机会,再利用0day漏洞或者交易所流程方面的漏洞进行攻击。比较著名的针对数字货币交易所的APT黑客团队包括CryptoCore(也被称呼为:Crypto-gang”,“DangerousPassword”,“LeeryTurtle”大概成功盗取2亿美金)和Lazarus(大概盗取5亿美金)。 相关案例链接: 1)2019年5月币安被盗7000多比特币:https://www.36kr.com/p/1723636465665 2)美国交易所Coinbase在2019年8月描述他们如何处理APT攻击:https://www.coindesk.com/coinbase-says-it-foiled-a-sophisticated-hacking-attack 应对措施: 持续性的威胁需要交易所坚持不懈的防御。建议交易所的主要功能模块(交易,订单,资金管理,冷钱包,热钱包,衍生产品,SoftStacking等等功能模块)最好每季度进行第三方安全渗透测试,或者至少每年进行一次第三方的全方位的安全审计。每一次功能添加或者修改在上线以前必须通过第三方审计。交易所内部可以考虑成立一个红 队(RedTeam)。交易所每一个工作人员必须通过安全培训,防止黑客钓鱼攻击,对于外部电子邮件的链接和附件没有经过安全部门检测不能打开。利用云服务(比如AWS,阿里云等等)的系统,应该使用云服务商提供的身份管理和访问控制系统(IAM)和API安全服务。跟踪了解APT的黑客团队的新动向,特别是他们利用的0day安全漏洞。对于交易所的各种服务器进行加固,公司的补丁管理必须作为公司的安全操作的标准流程。尽量利用冷钱包存储交易所的大部分资金。使用多签名的方法处理额度比较大的转账。 2:分布式拒绝服务(DDOS) 风险描述: 分布式拒绝服务攻击DDoS是一种基于拒绝服务攻击(DoS)的特殊形式。是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的,它利用网络协议和操作系统的一些缺陷,采用欺骗和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与DoS攻击由单台主机发起攻击相比较,分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。数字货币交易所经常受到DDOS攻击。 相关案例链接: 1)DDOS攻击交易所OKEX和Bitfinex https://cointelegraph.com/news/ddos-attacks-on-okex-and-bitfinex-were-sophisticated -possibly-related 2)交易所DDOS攻击分析学术文章 https://ris.utwente.nl/ws/portalfiles/portal/92134801/Impact_of_DDoS_Attacks_on_Cryptocurrency_Exchange.pdf 3)DDOS攻击交易所Mt.Gox:https://venturebeat.com/2013/04/04/mt-gox-outage-ddos-attack/ 应对措施: 可以分为以下6点: (1)制定拒绝服务响应计划 根据全面的安全评估,制定DDoS预防计划。与小型交易所不同,大型交易所可能需要复杂的基础架构,并需要多个团队参与DDoS规划。当DDoS出现时,没有时间考虑采取的最佳步骤。需要预先定义它们,以便迅速做出反应并避免任何影响。制定事件响应计划是迈向全面防御战略的关键第一步。根据基础架构,DDoS响应计划可能会变得非常详尽。发生恶意攻击时所采取的第一步非常重要。需要确保数据中心已经准备好,团队知道他们的职责。这样可以最大程度地减少对业务的影响,并节省恢复时间。下面是关键要素: 系统清单。包括针对DDOS的工具(IPS,IDS)评估和筛选工具;组建响应小组;定义关键团队成员的职责,以确保对攻击进行有组织的反应;定义通知和升级流程;确保团队成员确切知道发生攻击时与谁联系,包括应告知攻击的内部和外部联系人列表;还应该制定与客户、云服务提供商和任何安全厂商的沟通策略。 (2)保护网络基础结构 只有采用多级保护策略,才能减轻网络安全威胁。这包括先进的入侵防御(IPS)和威胁管理系统,包括防火墙、VPN、反垃圾邮件、内容过滤、负载平衡和其他DDoS防御技术层。它们共同提供了持续、一致的网络保护,以防止DDoS攻击的发生。这包括以最高级别的精度来判断和阻止不正常的流量,以阻止攻击。大多数标准网络设备都带有有限的DDoS缓解选项,因此可能需要外包一些其他服务。借助基于云的DDOS解决方案,可以按使用量付费使用云安全服务提供的DDOS缓解和保护服务。除此之外,还应该确保系统是最新的,过时的系统通常是漏洞最多的系统。鉴于DDoS攻击的复杂性,如果没有适当的系统来识别流量异常并提供即时响应,几乎没有办法防御它们。在安全的基础架构和作战计划的支持下,此类系统可以最大程度地减少威胁。 (3)基本的网络安全:采取严格的安全措施可以防止业务网络受到损害。安全做法包括定期更改的复杂密码、反网络钓鱼方法以及允许很少的外部流量的安全防火墙。 仅这些措施并不能阻止DDoS,但它们可以作为关键的安全基础。 (4)建立安全的网络架构。业务应创建冗余网络资源;如果一台服务器受到攻击,则其他服务器可以处理额外的网络流量。如果可能,服务器应在地理位置上位于不同的位置,因为攻击者更难以分散资源。 (5)利用云将DDoS防护外包给基于云的服务提供商具有许多优势。首先,与私有网络相比,云具有更大的带宽和资源。随着DDoS攻击程度的增加,仅依靠本地硬件可能会失败。其次,云的性质意味着它是一种分散的资源。基于云的应用程序可以在到达目标或目的地之前吸收有害或恶意的流量。第三,基于云的服务由软件工程师操作,他们的工作包括监视Web以获取最新的DDoS策略。在公司和行业之间,为数据和应用程序选择正确的环境将有所不同。混合环境可以方便地在安全性和灵活性之间实现适当的平衡,尤其是在供应商提供量身定制的解决方案的情况下。 (6)了解DDOS可能出现的警告标志:DDoS攻击的一些症状包括网络速度降低,公司内部网路上的连接不正常或网站间歇性关闭。如果网路性能比平时减少,则该网络可能正在经历DDoS,因此交易所应采取行动。 3:内鬼监守自盗(InsiderAttack) 风险描述: 交易所内部人员利用公司内部安全流程的漏洞,监守自盗;或者在离开交易所以后利用流程和安全控制方面的漏洞发起攻击。 相关案例链接: 1)交易所Coinsquare的内鬼监守自盗攻击:https://www.chainnews.com/news/150259287150.htm 2)交易所Bithumb的内鬼监守自盗攻击:https://bcsec.org/index/detail/tag/1/id/5