Štai nepatogi tiesa apie kriptovaliutų keitimus – jie jau daugelį metų kraujuoja pinigus, o pramonė vis dar nevisiškai išmoko savo pamokų. Mes taip pat nekalbame apie mažas sumas. Milijardai dolerių buvo prarasti dėl daugybės didelio atgarsio sulaukusių incidentų, kurių daugelis kilo dėl tų pačių pasikartojančių klaidų.
Apmaudu, kad dauguma šių pažeidimų nebuvo neišvengiami. Jie buvo nuspėjami. Biržos, kurios apkarpė saugumo infrastruktūrą, atidėdavo auditus ar tiesiog per daug pasitikėjo savo vidiniais procesais, sumokėjo kainą – kartais mirtinai verslui.
Taigi, kaip iš tikrųjų atrodo patikimas mainų saugumas? Ne kontrolinio sąrašo versija. Tikra versija.
Saugumo mąstymas turi būti prieš funkcijų mąstymą
Yra tam tikras modelis, kuris nuolat pasireiškia pomirtinių mainų įsilaužimų metu. Komanda buvo talentinga. Produktas veikė gerai. Vartotojams patiko sąsaja. Tačiau kai kur ankstyvųjų architektūros sprendimų metu saugumas buvo traktuojamas kaip kažkas, prie kurio reikia grįžti, kai pagrindinis produktas buvo stabilus.
Tas sukimas atgal retai kada nutinka taip, kaip turėtų. Kai infrastruktūra veikia ir vartotojai aktyviai prekiauja, spaudimas tęsti veiklą nusveria beveik visus kitus aspektus. Saugos atnaujinimas veikiančioje sistemoje yra skausmingas, brangus ir neišsamus. Jūs baigiate lopyti aplink pagrindo, kuris niekada nebuvo tvirtas, kraštus.
Vienintelis būdas išvengti šių spąstų – nuo pat pirmos dienos būti užsispyrusiam dėl saugos architektūros – net kai investuotojai siekia greitesnių terminų, o konkurentai pristato funkcijas, kurių jūs dar nesukūrėte.
Kaip tai atrodo konkrečiai:
Karštas ir šaltas piniginės atskyrimas nėra kažkas, ko „galų gale“ įgyvendinate. Jis įvedamas prieš apdorojant vieną operaciją. Karštosiose piniginėse – prijungtose prie interneto, operatyviai pasiekiamose – turėtų būti tik tai, ko reikia kasdieniniam pinigų išėmimui. Pramonės praktika rodo, kad tai sudaro 2–5 % visų valdų. Visa kita lieka šaltoje saugykloje su oro tarpais, fizine prieigos kontrole ir kelių šalių įgaliojimų reikalavimais.
Tinklo segmentavimas vadovaujasi ta pačia logika. Jūsų prekybos variklis, piniginės infrastruktūra, administratoriaus sąsajos ir visuomenei skirtos API turėtų būti atskirtos viena nuo kitos. Užpuolikas, radęs kelią į vieną jūsų sistemos dalį, neturėtų automatiškai turėti kelio į visas kitas. Šoninis judėjimas yra tai, kaip nedideli įsibrovimai tampa pirmojo puslapio katastrofomis.
Privataus rakto problema
Paklauskite visų, kurie reagavo į rimtus incidentus dėl mainų pažeidimų, kas paprastai yra pagrindinė priežastis, ir raktų valdymas nuolat atsiranda. Ne visada akivaizdžiai – retai būna tiesiog „raktus saugojome paprastu tekstu“. Tai subtilesni gedimai: raktai su per plačia prieiga, netinkamas pareigų, susijusių su raktų naudojimu, atskyrimas, prastos raktų generavimo ir saugojimo procedūros arba atsarginių kopijų kūrimo procesai, dėl kurių netyčia buvo atskleista.
Kelių parašų autorizacija yra pagrindinė, o ne išplėstinė funkcija. Bet koks didelių lėšų judėjimas turėtų pareikalauti nepriklausomo kelių šalių sutikimo. Vienas pažeistas kredencialas arba viešai neatskleista informacija neturėtų turėti galimybės vienašališkai inicijuoti didelių išėmimų. Konkrečiai šaldytuve reikalaujama 3 iš 5 ar panašių slenksčių yra įprasta rimtų operacijų praktika.
Aparatūros saugos moduliai (HSM) nusipelno daugiau dėmesio nei jie gauna. Šie fiziniai įrenginiai yra specialiai sukurti kriptografinei medžiagai saugoti aplinkoje, kuri yra apsaugota nuo klastojimo. Net visiškai pažeistas programinės įrangos paketas nepasiekia HSM viduje saugomų raktų. Biržoje, kurioje yra daug vartotojų lėšų, tai yra gerai išleisti pinigai.
Raktų generavimo procedūros taip pat svarbios – ne tik tai, kur saugomi raktai, bet ir kaip jie sukuriami. Mašinos su oro tarpais, dokumentuotos ceremonijos su daugybe liudininkų ir tikrinami viso proceso įrašai sumažina raktų atidengimo riziką generuojant, o tai yra stebėtinai dažnas atakų langas.
Vienas dalykas, kuris vis nutinka, nepaisant to, kad plačiai žinomas kaip bloga praktika: privatūs raktai, saugomi programų duomenų bazėse, konfigūracijos failai arba aplinkos kintamieji debesų infrastruktūroje. Nereikia.
Auditas neprivalomas
Išmaniųjų sutarčių pažeidžiamumo aplinka kriptovaliutų srityje yra tikrai žiauri. Subtilios logikos klaidos, kurios praeina vidinę peržiūrą, puikiai atrodo testuojant ir atsiskleidžia tik tada, kai įmantrus užpuolikas pradeda tirti kraštutinius atvejus – tai nusausino šimtus milijonų iš DeFi protokolų ir mainų sutarčių.
Vidinė apžvalga sugauna daug. Tai nesugauna visko. Nepriklausomi trečiųjų šalių auditai, atliekami firmų, kurios specializuojasi būtent blokų grandinės saugumo srityje, užfiksuoja skirtingus dalykus, nes jie pateikia skirtingas akis ir skirtingas atakos prielaidas.
Tinkamai biudžetas tam skirtas. Geri patikimų firmų saugumo auditai nėra pigūs. Jie vis dar yra žymiai pigesni nei pažeidimas. Tai yra viena sritis, kurioje griežtos derybos dėl kainos paprastai yra blogas kompromisas.
Be išmaniųjų sutarčių audito, skverbties tikrinimas turėtų būti nuolatinė jūsų saugos kalendoriaus dalis, o ne prieš paleidimą skirtas įvykis, kurį patikrinate ir tęsite. Keičiasi grėsmės aplinka. Pasikeičia jūsų kodų bazė. Tai, kas buvo saugu prieš šešis mėnesius, gali būti nebe šiandien.
Bug Bounty programos prasmingai išplėsti savo aprėptį. Saugumo tyrinėtojai, suradę pažeidžiamumą ir turintys aiškų, gerai kompensuotą kelią į atsakingą atskleidimą, imsis tuo. Jei tokio kelio nėra, kai kurie iš jų ras kitų galimybių. Tokios platformos kaip „Immunefi“ padarė kriptovaliutų premijų programas prieinamas net mažesnėms komandoms.
Svarbus vienas mąstysenos pokytis: rimtai žiūrėkite į nedidelius rezultatus. Pažeidimas, dėl kurio nerimaujate, retai prasideda kaip labai rimtas pažeidžiamumas – jis dažnai sujungia kelias problemas, kurios atskirai atrodė nereikšmingos.
Prieigos kontrolė ir autentifikavimas
Prieigos lygmuo yra ta vieta, kur veiklos drausmė yra svarbi tiek pat, kiek techninis įgyvendinimas. Galite turėti sudėtingą infrastruktūrą ir vis tiek užsidegti dėl silpnos praktikos, kas gali ką ir kaip pasiekti.
Aparatinės įrangos autentifikavimo prieigos raktai per TOTP programas ir TOTP programos SMS žinutėmis – visada. SIM keitimas yra dokumentuota, reguliariai naudojama ataka prieš mainų personalą. Aparatūros klavišai, tokie kaip YubiKeys, žymiai pakelia kartelę. Bet kokiai privilegijuotai prieigai – administratoriaus skydams, raktų valdymo sistemoms, vidiniams įrankiams – tai nėra malonu.
Mažiausios privilegijos yra principas, kurį reikia realiai įgyvendinti. Praktiškai prieiga laikui bėgant kaupiasi. Žmonės gauna leidimus, kai jiems jų reikia, ir tie leidimai retai atšaukiami, kai reikia. Būtinas reguliarus prieigos auditas, dėl kurio iš tikrųjų atimami leidimai. Audito žurnalai, rodantys, kas ką ir kada pasiekė, užtikrina matomumą ir atskaitomybę.
Administratoriaus sąsajos nėra viešai prieinamos. VPN reikalavimai, IP įtraukimas į baltąjį sąrašą, papildomi autentifikavimo sluoksniai – privilegijuotosios prieigos atakos paviršius turi būti kuo siauresnis. Kiekvieną kartą, kai padarote ką nors patogiau pasiekiamą, taip pat šiek tiek palengvinate ataką.
Stebėjimas, kuris iš tikrųjų užfiksuoja dalykus
Štai tikroviškas kadravimas: tikriausiai neužkirsite kelio kiekvienai atakai. Kai kurie pasiseks, nepaisant to, kaip gerai esate pasiruošę. Kyla klausimas, kaip greitai aptinkate, kas vyksta, ir kaip efektyviai galite tai suvaldyti.
Operacijų stebėjimas su įspėjimu realiuoju laiku yra esminis dalykas. Nenormalūs pinigų išėmimo modeliai, operacijos, neatitinkančios įprastų parametrų, neįprastos veiklos sekos – automatizuotos sistemos gali parodyti šiuos signalus daug greičiau nei bet koks rankinis peržiūros procesas. Kuo anksčiau ką nors užfiksuosite, tuo geresnės jūsų galimybės.
Išsamus medienos ruoša nėra žavinga, bet būtina. Kiekvienas API skambutis, autentifikavimo bandymas, administratoriaus veiksmas, konfigūracijos pakeitimas – visa tai. Kai kas nors negerai, turite sugebėti tiksliai atkurti, kas atsitiko, kada ir kokiu keliu. Biržai, kurie tinkamai neprisiregistravo, vėliau negalėjo suprasti savo pažeidimų.
Reagavimo į incidentus procedūros turi egzistuoti prieš jums jų prireikus. Kas pirmas paskambina, kai savaitgalį 2 val. nakties kažkas negerai? Kokia yra leidimų grandinė sustabdyti išėmimą? Kaip bendrauti su vartotojais aktyvaus incidento metu nepabloginant situacijos? Knygos rašymas krizės viduryje – netinkamas metas rašyti pjesę.
Verta apsvarstyti Blockchain analizės partnerystes. Įmonės, kurios specializuojasi stebėjimo grandinėje, gali stebėti neįprastus fondų judėjimus grandinėje beveik realiuoju laiku, o tai gali padėti aptikti ir kai kuriais atvejais atgauti pastangas.
DDoS ir greičio ribojimas
DDoS atakos prieš mainus ne visada yra tik trikdymas. Kartais srauto potvynis yra priedanga kitai atakai, kuri tuo pat metu įvyksta prieš kitą vektorių. Jas traktuojant tik kaip prieinamumo problemas, prarandama dalis grėsmės vaizdo.
Tinklo lygio mažinimas iš jūsų infrastruktūros teikėjo yra pagrindas, tačiau programos lygio apsauga yra svarbi nepriklausomai. Dėl prisijungimo galinių taškų ir API greičio apribojimo brutalios jėgos ir kredencialų užpildymo atakos tampa nepraktiškos. Be jo užpuolikai gali greitai ir pigiai atlikti tūkstančius bandymų.
Įprastas eismo bazines linijas verta nustatyti atidžiai. Negalite atpažinti nenormalių srauto modelių, nežinant, kaip atrodo įprasta, ir užtrunka daug laiko, kol šis supratimas bus sukurtas remiantis realiais veiklos duomenimis.
Socialinės inžinerijos spraga
Galite sukurti techniškai įspūdingą saugos paketą ir vis tiek prarasti viską, nes kažkas iš jūsų komandos spustelėjo neteisingą nuorodą arba buvo manipuliuojama perduodant kredencialus. Socialinė inžinerija nuolat nepakankamai įvertinama kaip grėsmės vektorius, nes jai visai nereikia peržengti techninės apsaugos.
Sužinojimo apie sukčiavimą mokymas turi būti nuolatinis, o ne vienkartinis. Puolimo būdai vystosi, o treniruotės turi tobulėti kartu su jais. Imituotos sukčiavimo kampanijos, kurios išbando jūsų komandą ir pateikia tiesioginį grįžtamąjį ryšį apie gedimus, yra veiksmingesnės nei kasmetiniai saugos pristatymai.
Aiškūs vidiniai slaptų užklausų protokolai yra svarbūs. „Generaliniam direktoriui reikia skubiai pervesti lėšas į šią sąskaitą“ yra socialinės inžinerijos scenarijus, o ne teisėtas verslo procesas. Komandos turi turėti nustatytus už juostos ribų tikrinimo reikalavimus bet kuriai užklausai, susijusiai su lėšų judėjimu ar kredencialų prieiga.
Viešai neatskleista grėsmė šioje pramonėje yra reali. Šią riziką sumažina kruopštus žmonių, turinčių prieigą prie jautrių sistemų, patikrinimas, laipsniškas prieigos suteikimas, kai nustatomas pasitikėjimas, ir aiškus pareigų atskyrimas atliekant svarbiausias operacijas.
Ilgasis žaidimas
Tarp biržų, kurios ilgainiui išlaikė tvirtus saugos įrašus, yra nuoseklus modelis: jie saugos traktuoja kaip nuolatinį veiklos įsipareigojimą, o ne projektą, kuris galiausiai baigiasi.
Nėra finišo linijos. Grėsmės aplinka nuolat keičiasi. Jūsų kodų bazė nuolat keičiasi. Atrandama naujų pažeidžiamumų. Darbai tebevyksta.
Kiekvienas keitimas, kuris buvo rimtai pažeistas, turėjo tam tikrą versiją, kodėl jie manė, kad yra pakankamai apsaugoti. Atotrūkis tarp šio tikėjimo ir tikrovės yra būtent ten, kur gyvena užpuolikai.
Sukurti ką nors rimto? Pasikalbėkite su Dappfort.
Šio lygio saugumas nėra tai, ką dauguma komandų gali išsiaiškinti viena – ypač kai vienu metu bandote kurti produktą, plėsti vartotojų bazę ir neatsilikti nuo greitai kintančios reguliavimo aplinkos.
Dappfort buvo sukurta būtent tokiai problemai išspręsti.
„Dappfort“ suteikia praktinės patirties kriptovaliutų keitimo plėtra su apsauga įmontuota kiekviename sluoksnyje – vėliau neužtaisyta. Nuo šaltos piniginės architektūros ir daugialypės terpės raktų valdymo iki išmaniojo sutarčių audito, stebėjimo realiuoju laiku sistemomis ir atitikčiai paruoštos infrastruktūros – komanda išsprendė sudėtingas problemas, todėl jums nereikės jų mokytis brangiai.
Nesvarbu, ar kuriate naują biržą nuo pat pradžių, sustiprinate esamą platformą, ar kažkur tarp jų – „Dappfort“ gali įsitraukti bet kuriame prasmingame etape.
Mainai, kurie išgyvena ilgą laiką, yra tie, kurie rimtai žiūrėjo į saugumą, kol neturėjo priežasties gailėtis to nepadarius. Jei šiuo metu esate tokio sprendimo taške, verta pasikalbėti su komanda, kuri jau išsprendė jūsų laukiančias problemas.
