降维安全付东亮:知攻善防,企业家大多诞生于冬季 『B』问必答

10-09 15:05

标签    区块链   比特币   链道学社      

文章来源: 链道学社

图片4.png

1、可以简单介绍自己的职业经历吗?

我从小就热爱计算机技术,1999年开始接触和学习互联网安全技术,到目前为止在这个也有超过十年的从业经验了,之前主要是从事一线的反渗透和数据防护方面的工作,接触区块链的概念也比较早,2011年左右就挖过矿,炒过币,也被期货割过肉,算是国内较早接触比特币的人之一,从最开始只是兴趣的状态到最后相信区块链行业的未来,我们也意识到区块链行业发展的最大问题是安全问题,我和我的朋友们也开始投入到区块链和数字货币安全之中;

 

2、 可以简单介绍一下降维安全的团队核心组成和构架吗?

降维安全团队的核心成员都算是安全行业的老兵了,包括商务和开发甚至大数据分析在内平均安全经验在都在十年以上,每一个人的思维里都流淌着安全的血液,也正是这种血液让我们深刻得出区块链安全要靠回归本质降维思考的思维模型;

目前团队包括百度安全团队早期创始人及乌云平台创始人,也包括来自360,看雪以及数美等其他一线安全团队的核心技术成员;

 

3 当前区块链的安全问题集中体现在哪些方面?

 

区块链搭建在数学和共识的基础之上,核心思想是去中心化,安全模型与传统的安全模型已经不同,长期来看安全风险也会得以以去中心化分散到个人节点上,所以安全的重点会在于DAPP以及公链,另外就是个人私钥的安全保护,但短期我们觉得重点还在于一些中心化的问题上比较突出,主要问题在技术和意识上。

我们都知道,基于区块链所运行的数字货币,是真正承载着价值的数字资产,中心化存储机构,如交易所、中心化钱包等,存储着大量用户资产,这样的机构是可以跟银行做类比的。但是从技术投入,到人力投入上,中心化存储机构的安全建设投入,要远远落后于银行。另一方面,由于区块链技术还属于新兴技术,没有一个统一的标准,盲目发行各种链各种币的技术团队,技术参差不齐,非常容易出现技术上的漏洞。

用户意识存在极大安全问题,这个事情好像说起来有点危言耸听,但真实的情况是,绝大部分参与数字货币炒作的普通用户,完全没有任何区块链、数字货币的基本知识储备和概念。打个比方,我们拿出一张纸,写上“降维币 1亿元”,然后让用户花1万人民币来买,恐怕用户以为我们疯了。但是在区块链行业,这样的疯狂却每天都在上演着。还有用户把自己的私钥、助记词传到网上或者被人轻易骗走,等等等等,这样的例子层出不穷。

无论是技术层面还是意识层面,出现安全问题的本质根源都在于人,降维安全是想通过自己的技术和努力,帮助人们解决他们可能面临的安全威胁,从而建设更好的区块链安全生态;

 

 

4 据降维官网,在智能合约的审计上,降维安全实验室开发了名为ASCAutoaudit For Smart Contract)的审计辅助工具,可以简单介绍一下ASC的亮点吗?


区块链世界代码即法律,对于区块链来讲合约的安全性不言而喻,按照降维安全的观点,合约的安全性主要有两方面,一方面是因为人无意犯下的错误,一方面是因为有意犯下的错误,前者主要是代码编写过程中以及区块链底层基础设施不完善导致的安全风险,后者主要是合约编写者本身就不怀好意导致的安全风险,这两者都对区块链安全生态产生极大的破坏,但代码性的缺陷较好判断,由人恶意产生的风险却不好直接定性。

与其他传统的合约审计工具不同,我们研发的ASC系统最大的亮点是形式化验证以及独有的AI深度神经网络代码检测双层判定之后能够快速对合约代码本身进行安全风险定性并且快速定位合约中存在安全缺陷的代码,其中AI深度神经网络代码检测我们已经积累了几十万的合约代码和我们自有的风险代码特征库,当然对于合约代码安全但是合约本身存在恶意企图的行为我们还会有专有安全审计师进行交互式复核,确保合约不止对项目方,而且对用户和交易平台都是安全的; 

 

5 当下交易所安全仍面临严峻挑战。继4年前的Mt.Gox事件后,被盗事件频发,近日日本交易所Zaif又宣布被盗,您认为导致交易所安全问题最主要原因是什么?未来可以有什么防范升级措施?

 

交易所作为区块链世界里的一个中心化的存在,对于黑客来说一旦攻击成功就有巨大的收益,另外加上法律的不完善导致攻击的成本极低,所以交易所天然就有着极高的安全风险。而交易所安全所面临的问题其实我们刚刚也有简单说过,归根结底就是意识问题,存在侥幸心理导致在安全建设上投入不够,传统公司因为业务特点可以在有一定规模之后才去考虑安全方面的问题,但是作为交易所一上线就有大量的数字资产流入,所以在交易所筹备期间,就应该重视安全问题。

我们自身作为一家创业的区块链安全公司,也非常清楚交易所在创立之初应该要更多的考虑业务考虑如何活下去,所以我们作为第三方为数字货币交易所定制了专业的整体安全解决方案,这套方案沉淀了我们自身和多家合作的交易所、交易所程序研发公司,多年的知识及经验能够帮助数字货币交易所规避安全风险,少踩、不踩重复的坑,安全健康的成长。

    而将银行级别甚至国防级别的安全建设方案和技术,改进应用到数字货币交易所行业,这就是触手可及的未来,也是我们正在思考的事情;

    

6、 虽然区块链具有匿名的特性,但目前区块链上仍存在个人隐私安全的漏洞;但同时,又因为匿名性,带来了出现问题后,解决难度增大的问题,您如何看待区块链安全与隐私的关系?

 

我理解这个问题的出发点是因为区块链的特性,一旦发生安全问题,导致损失难以追回。

从这个角度去看,实际上传统金融领域的安全保障,依靠的并不是技术本身,而是完善的监管政策和强力的执法能力。随着比特币诞生的区块链技术天生是排斥中心化的,但是这个去中心化并不是躲避金融和法律的监管,而是通过去中心化、公开透明的方式,通过数学算法,更好的得到使用者监管。

所以从这个角度来看,安全和隐私并没有任何矛盾。从技术上看,区块链比传统经济更好的保障了用户的安全性。因为匿名性而导致缺失的安全感,实际上是现阶段对区块链行业金融监管和法律保障的不到位,如果有一天,区块链及数字货币行业,能作为现有经济体系的一部分,得到政府的认可、金融机构的监管、法律的保障,用户对安全和隐私的体验会变得和现在完全不一样。

 

7、 很多传统安全巨头,比如360、腾讯也进入了区块链安全,您怎么看待区块链安全领域的竞争?以及降维是怎么定位其核心竞争力的?

 

我们非常欢迎良性竞争,这个市场目前还很小,包括区块链本身也是早期,如何更多的人参与进来才能让整个区块链生态,安全健康的成长。

降维安全秉持着“降维思考,知攻善防”的理念,我们知道真正的攻击者是如何进行攻击的,攻击者最大的弱点在哪里,将攻击者拉入防守方的维度进行打击,是我们和其他安全公司的最大区别。另外我们跟区块链生态中的各类型合作伙伴,都有着良好的合作关系,比如交易所、钱包、矿池、系统开发商等等,非常清楚他们的痛点和遇到过的问题以及解决方案。技术上,我们的核心安全工程师,都是在互联网安全行业从业10年以上的专业人才,从技能和经验上,都有着丰富的积累。所以,安全文化和核心团队是我们的核心竞争力。

 

8 当前降维面临的最大挑战来自哪方面?市场?技术?资金?宣传?

 

降维安全成立之后,尽管遇到很多坎坷但是相对成长还是比较快速的,如果要找一个点,我觉得是安全市场本身吧。

这里有一个可类比的数据:2017年全世界互联网公司,安全建设投入占IT投入的平均值是13%,美国是16%,而中国是2%。由于这种市场氛围,导致公司不太重视安全建设,或者不愿意在安全建设上进行付费,而另外一方面客户本身很多时候,是并不知道自己要面临什么样的风险,需要什么样的服务和产品的。比如一家成立1年的交易所,看到我们的产品和服务会非常感兴趣,因为他们在这一年的经营中,多多少少都会遇到过我们所要解决的那些问题,而另外一家刚刚成立的交易所,则可能对我们完全不感兴趣,因为他们还未意识到我们可以解决的问题,将来会成为他们需要切实面对的问题,而这个代价会是非常昂贵的。

当然,这样的情况与大的环境也有很大的关系,不能完全希望行业用户天然就能够非常主动关注安全,我们自己在安全上的宣传和市场培育上也做的还很不够。

 

9、 当前市场也已经历了一段时间的熊市,了解到降维成立于今年6月,8月即获得了链上产业基金数千万人民币的天使轮投资,可以说是“成立于熊市”,可以谈谈降维的市场规划或者说目标吗?

 

“企业家大多诞生于冬季”,首先感谢下这轮熊市的到来,可以让我们有更多的时间和精力,将我们沉淀的经验和技术落地转化成在区块链生态能有效创造价值的产品和服务。

降维安全的愿景是“守护价值互联网”,所以服务好区块链生态企业,让他们安全、健康的成长,就是降维安全最重要的市场规划和目标,现阶段我们主要在关注离资产较近的合约和中心化交易所较多,并且已经沉淀了较为成熟的产品和服务,我们后续在继续沉淀的同时也会重点关注矿池和公链等基础设施的安全。

 

10、 您可以从区块链项目方的角度出发,给他们提供一些安全方面的建议吗?

 

从安全角度讲,区块链项目的技术选型上,建议选择成熟、用户量大、经过时间验证的技术,尽量使用有一定经验的技术人员。

由于区块链项目上链以后难以修改,所以要做好上线前的测试并且与第三方专业安全公司进行合作对代码的安全性进行审计和测试。

另外就是做好长期监控和出现问题后程序和数据进行更新的预案,当然还要尽最大努力保护好私钥安全。 

 

11、 有一个说法是,或许可以用区块链技术本身去解决区块链安全问题,您认可这种说法吗?

 

首先要清楚没有任何一种技术或产品是可以解决所有问题的,这种想法很美好,但是就像没有一种药可以治愈世界上所有疾病一样,区块链技术并不能在安全领域“包治百病”,区块链的去中心化从安全角度上讲实际上是将中心化的安全风险去中心化的给到个人,如果用户不能够很好的使用区块链做到基础的安全,还是不能够保护好个人的资产安全的,最典型的就是各种私钥的丢失和黑客攻击导致的安全事件,降维安全认为安全的本质在于“人”,用任何技术想一劳永逸的解决人的问题,目前看来应该是难以实现的。

当然区块链技术可以在安全上,解决某一些中心化导致的问题,比如去中心化交易所的模式,基本解决了用户资产、隐私信息中心化存储可能存在的黑客攻击导致大量数据资产丢失的问题,或者使用区块链技术来对黑客行为进行重塑也是一个潜在的方向;

降维安全是一个非常年轻的团队,我们也在不断的学习和进步希望从技术的革新和进步中得到启发,如果有一天出现什么新的技术能够非常有效的解决区块链安全的问题,降维非常愿意和大家一起分享。

图片5.png


    收藏