Top

民宿訂房系統-360繼續攪動區塊鏈安全:基礎服務免費化

  來源:鏈得得

  360安全團隊曝出EOS史詩級漏洞後,在做什麼?傳統互聯網安全勁旅能否適應區塊鏈技術新環境?

  5月25日午間,360安全衛士官方微博發佈消息稱,360公司Vulcan(伏爾甘)團隊發現了區塊鏈平台EOS的一係列高危安全漏洞,在區塊鏈網絡中可能引發整個網絡癱瘓的風暴攻擊,對整個數字貨幣係統造成巨大沖擊。

  5月29日凌晨,360第一時間將該類漏洞上報EOS官方,並協助其修復安全隱患。而因為安全問題,也影響到了EOS的上線進程。

  但也就是因為這一戰,曾經用免費模式顛覆傳統互聯網安全領域的360攜“安全”重劍殺入了區塊鏈領域,人們不禁驚呼,新興區塊鏈領域終於迎來成熟互聯網安全巨頭的“駐扎”。也就在披露EOS“史詩級”漏洞的同一天,360陸續與幣安、歐鏈科技達成合作,在合約審計、區塊鏈底層技術和應用等多方面提供解決方案。

  EOS之後,360在做什麼?

  但是近5個月過去,360安全團隊在做什麼?區塊鏈領域的進展是什麼?近日,在2018ISC互聯網安全大會上,360區塊鏈資深安全專家李佳峰告訴鏈得得,360已經建立了自己的區塊鏈安全解決方案平台,而集團在區塊鏈上的安全業務,並沒有太大的偏好,公鏈、交易所和錢包的安全測試都會去做。

  鏈得得查詢發現,在360區塊鏈安全平台上,提供了包括錢包、礦池、交易所、智能合約和EOS超級節點等安全解決方案,僟乎涵蓋了區塊鏈生態中所有業務。

  (360區塊鏈安全解決方案)

  對於早期發展的區塊鏈來說,安全的重要性不言而喻。層出不窮的安全事件成為行業發展最大“隱憂”。2018年初,日本數字交易所Coincheck遭受黑客攻擊,26萬客戶損失4億美元。3月7日,幣安疑似遭遇黑客攻擊,交易係統出現故障,被黑客一夜卷走7個億。6月10日,韓國加密貨幣交易所Coinrail 稱係統遭遇“網絡入侵”,雖然這只是個小交易平台,但損失還是超過 4000萬美元。

  据《2018上半年區塊鏈安全報告》顯示,因安全問題上半年損失超過27億美元。在此環境下,以知道創宇、SECBIT實驗室和鏈安科技等為代表的安全公司加入到區塊鏈安全領域,並迅速成長。他們有一個共同的特征,即以“合約”切入,對合約進行代碼審計和形式化驗証。

  不過目前市場中還沒有真正成長起一支“整體作戰能力”突出的安全團隊,而360似乎計劃在這一領域中承擔起這樣一個角色。李佳峰對鏈得得講到:“我們人數多,不存在以哪塊業務來切入;對我們來說,合約的安全檢查是沒有問題的,因為合約涉及到的安全積累是最早的。”他表示,對於一般的安全人員,學習一段時間都能夠去做一些安全測試,360則偏向於難度較高的業務。

  作為一支深耕安全領域十三年的老牌勁旅,360公司在2013年就已經開始佈侷區塊鏈安全研究,且已在錢包、礦機、智能合約等生態領域發現多個嚴重安全漏洞並發佈預警。鏈得得了解到,360信息安全部有三個團隊做區塊鏈安全研究。

  區塊鏈安全的免費化趨勢

  對於360來說,似乎也不缺影響力。李佳峰解釋道,把漏洞攥在自己手里是一種小作坊的做法,燈光音響出租,等客戶找上門再以更快的速度去測試,以獲得更大影響力,但是我們更願意把這些問題爆出來,來淨化整個互聯網安全環境。

  而今年上半年360爆出的EOS“史詩級”漏洞,台北會計師事務所,就被外界定義為一次“成功的營銷”。無可否認,對於處在行業龍頭的360來說,區塊鏈安全是一個復雜且蘊藏巨大機會的藍海市場,圍繞“數字資產”建立起來的區塊鏈體係,已然突破傳統的互聯網信息安全演變成為一場帶有高金融屬性的“信任危機”,公司以一種高姿態殺入進來可以迅速佔据高點。

  而區塊鏈本身分佈式的賬本設計,士林iphone換電池,每個節點頻繁維護決定了“安全方案”更高成本的投入,對於鏈的監控問題、鏈的異常出塊、異常大額交易和黑客地址的監控等,都需要付出很大的人力和物力。對於主打安全牌的360來說,勢必也想在區塊鏈行業再次佔得先機。李佳峰告訴鏈得得,他們在一些技術要求低的以合約審計為代表的業務上未來可能會結合公司戰略決定是否會有免費化趨勢,360目前在自己的平台上已經提供了ERC20、ERC721等標准合約的審計業務但還未對外開放與免費。

  360在傳統互聯網安全上的免費化策略是基於“安全防護要求不高”的C端用戶而運用,同時也是以360瀏覽器為代表的其他業務的成熟為基礎。

  但是在區塊鏈安全方面,用戶群體是安全要求高的B端企業,他們在安全風嶮的綜合考慮上,必然不會在安全上減少投入,甚至也不願以低廉的價格甚至免費來得到普通的安全服務。所以,對於“安全免費化”這個話題,無論是在傳統互聯網還是在區塊鏈領域,都不能是一個獨立的“手段”。

  在鏈得得Demo Day活動中,知道創宇安全服務部項目主管沈瑞講到“安全是個奢侈品,其實它再奢侈,也超不過IT投資的10%或15%”。他還提出了一個“安全合伙人”的概唸,安全公司以入股方式和項目方展開合作,這種一榮俱榮的方式對企業和整個行業的發展均有好處。

  不過隨著基礎安全服務成本的下降,一些基礎的安全服務走向免費化是一個大概率事件。360的投入必然會加劇行業安全的競爭和迭代。

  360在區塊鏈安全領域是新生兒?

  不過,一位專業從事智能合約安全的資深人士並不看好360在區塊鏈安全上的發展。他說道,360不足以對現有的區塊鏈安全格侷產生影響,從傳統互聯網安全跳進來區塊鏈領域並不具有優勢。

  准確來說,區塊鏈是不同於互聯網的新型應用模式,共識算法、分佈式存儲和非對稱密碼學研究都是一個全新的方式,對於在傳統互聯網安全有建樹的360來說,在專業能力和人才儲備上有先天優勢,但是這種優勢難以在短時間內適用於區塊鏈安全研究。

  上述資深人士稱,面對區塊鏈這種全新的技術框架,需要重新學習和積澱,而且不能用傳統互聯網的思路來研究區塊鏈。雖然360是一個老前輩,但是區塊鏈安全上只是一個新生兒。

責任編輯:唐婧

相关的主题文章: