2020年4月,刷屏的新基建明確范圍,作為新興技術(shù)代表的區(qū)塊鏈?zhǔn)状伪粐?guó)家層面明確為新型基礎(chǔ)設(shè)施,在市場(chǎng)需求、國(guó)家政策和資本等多種要素的驅(qū)動(dòng)下,區(qū)塊鏈自身的體系標(biāo)準(zhǔn)正在進(jìn)一步豐富、發(fā)展和完善。近日,國(guó)家區(qū)塊鏈漏洞庫(kù)聯(lián)合行業(yè)領(lǐng)先企業(yè)共同編制的《區(qū)塊鏈漏洞定級(jí)細(xì)則》終于面世。長(zhǎng)亭科技區(qū)塊鏈安全專家團(tuán)隊(duì)牽頭并深度參與了本次的定級(jí)細(xì)則編制工作,負(fù)責(zé)公鏈板塊定級(jí)細(xì)則編寫及整體技術(shù)、劃分標(biāo)準(zhǔn)的把關(guān)!都(xì)則》涵蓋公鏈、聯(lián)盟鏈、智能合約、外圍系統(tǒng)四大板塊,填補(bǔ)了區(qū)塊鏈與安全行業(yè)溝通空白,為業(yè)界就區(qū)塊鏈安全問題達(dá)成共識(shí)邁出了堅(jiān)實(shí)的一步。這是國(guó)際上首次對(duì)區(qū)塊鏈安全漏洞及其威脅等級(jí)做出清晰且可執(zhí)行的定義。
2019年11月27日,韓國(guó)交易所Upbit被黑客攻擊,34.2萬(wàn)枚ETH從熱錢包中被盜,價(jià)值約合5000萬(wàn)美元。2019年05月08日,全球知名交易所幣安被曝遭遇了黑客大規(guī)模系統(tǒng)性攻擊,黑客獲取了大量 API 密鑰、谷歌驗(yàn)證 2FA 碼等信息,一次性提走了7000枚 BTC。似乎自誕生之日起,號(hào)稱“最安全”區(qū)塊鏈的安全問題就備受爭(zhēng)議。得益于分布式系統(tǒng)的高可用性與密碼學(xué)的高一致性,區(qū)塊鏈技術(shù)本身具備穩(wěn)定、可信的技術(shù)特點(diǎn),這使得區(qū)塊鏈技術(shù)天生具備長(zhǎng)遠(yuǎn)發(fā)展的基礎(chǔ),但現(xiàn)實(shí)情況卻是區(qū)塊鏈系統(tǒng)安全事件頻發(fā)。這之間的差別在于,高可用、高一致等都是設(shè)計(jì)層面的技術(shù)優(yōu)勢(shì),但要想真正長(zhǎng)遠(yuǎn)健康發(fā)展,可靠性是現(xiàn)實(shí)系統(tǒng)中必須要考慮的,而提升可靠性的關(guān)鍵點(diǎn)就在于甄別修復(fù)系統(tǒng)缺陷和漏洞,提高系統(tǒng)實(shí)際安全水平。因此區(qū)塊鏈安全,已經(jīng)成為目前制約區(qū)塊鏈技術(shù)長(zhǎng)遠(yuǎn)健康發(fā)展的瓶頸,加快區(qū)塊鏈安全相關(guān)標(biāo)準(zhǔn)的制定則也成為提升區(qū)塊鏈基礎(chǔ)設(shè)施安全乃至生態(tài)安全的必然所需。
此次發(fā)布的區(qū)塊鏈漏洞定級(jí)細(xì)則既是對(duì)區(qū)塊鏈國(guó)家政策和區(qū)塊鏈安全評(píng)測(cè)標(biāo)準(zhǔn)制定的深入落實(shí),也是對(duì)于目前行業(yè)內(nèi)漏洞威脅認(rèn)知混亂的有效應(yīng)對(duì)策略。區(qū)塊鏈生態(tài)中各個(gè)角色對(duì)于安全漏洞的認(rèn)知混亂,帶來(lái)了長(zhǎng)久以來(lái)對(duì)于區(qū)塊鏈漏洞認(rèn)知的分歧與不客觀,區(qū)塊鏈行業(yè)亟需一套特定針對(duì)區(qū)塊鏈行業(yè)的,被各個(gè)項(xiàng)目方同時(shí)認(rèn)可有公信力的定級(jí)細(xì)則。此次由國(guó)家互聯(lián)網(wǎng)應(yīng)急中心統(tǒng)籌,安全廠商和區(qū)塊鏈企業(yè)合作對(duì)區(qū)塊鏈漏洞進(jìn)行定級(jí)細(xì)則制定,正是從國(guó)家層面對(duì)漏洞評(píng)測(cè)標(biāo)準(zhǔn)做出的統(tǒng)一,為行業(yè)明確分析漏洞情況并確定威脅等級(jí)提供了可操作、可執(zhí)行、可量化的指標(biāo)與方法,為區(qū)塊鏈行業(yè)的安全測(cè)評(píng)工作提供基礎(chǔ)支撐。
《細(xì)則》主要依托于CVSS2.0,實(shí)現(xiàn)了與傳統(tǒng)基礎(chǔ)領(lǐng)域漏洞規(guī)則的互通,從大網(wǎng)絡(luò)安全的角度打通區(qū)塊鏈新興領(lǐng)域與傳統(tǒng)基礎(chǔ)領(lǐng)域?qū)τ诼┒吹幕鶎佣x,實(shí)現(xiàn)統(tǒng)一管理,統(tǒng)一歸檔;此外,該細(xì)則還同時(shí)考慮到了區(qū)塊鏈安全的理論性與實(shí)現(xiàn)性,提升區(qū)塊鏈企業(yè)對(duì)于“內(nèi)外”安全的重視,構(gòu)建整個(gè)區(qū)塊鏈生態(tài)的安全性。同時(shí),細(xì)則中還提出區(qū)塊鏈安全漏洞本質(zhì)是非故意、非預(yù)期的安全缺陷或風(fēng)險(xiǎn),應(yīng)主要依據(jù)‘危害程度’和‘利用難度’兩方面分析,并通過定級(jí)表將漏洞分為高、中、低三個(gè)威脅等級(jí),這樣既符合CVSS2.0方法論,又能快速分析具體漏洞案例,準(zhǔn)確給出相應(yīng)定級(jí)。
《細(xì)則》中針對(duì)每一類危害程度和利用難度都羅列了詳細(xì)的參考條目,這些條目均是團(tuán)隊(duì)從大量過往真實(shí)漏洞案例中濃縮而來(lái),同時(shí)包含幾乎所有公開歷史漏洞特征,并對(duì)其進(jìn)行提煉拆解和反復(fù)打磨,基本涵蓋了區(qū)塊鏈領(lǐng)域可能遇到的各類漏洞情況,幫助使用者快速定位和分析區(qū)塊鏈漏洞。
此次能夠牽頭編寫國(guó)家區(qū)塊鏈漏洞定級(jí)細(xì)則,與長(zhǎng)亭科技一直以來(lái)在區(qū)塊鏈安全領(lǐng)域的不斷探索有著很大關(guān)系。2018年長(zhǎng)亭科技聯(lián)合ConsenSys、比特大陸兩家區(qū)塊鏈行業(yè)巨頭發(fā)布了國(guó)內(nèi)首個(gè)區(qū)塊鏈安全深度報(bào)告——《區(qū)塊鏈安全生存指南》,針對(duì)性總結(jié)了區(qū)塊鏈行業(yè)安全應(yīng)對(duì)策略;2019年又發(fā)布了《區(qū)塊鏈生態(tài)安全服務(wù)解決方案》,意在探索勾勒在現(xiàn)有的區(qū)塊鏈生態(tài)之下安全建設(shè)的邊界輪廓。
在新基建背景下,區(qū)塊鏈將迎來(lái)又一輪的發(fā)展高峰,用更加安全的技術(shù)方式與應(yīng)用場(chǎng)景去構(gòu)建萬(wàn)物互信的時(shí)代,區(qū)塊鏈的安全并非終極目標(biāo),以更安全的區(qū)塊鏈產(chǎn)品去創(chuàng)造更高的價(jià)值才是發(fā)展目標(biāo)!都(xì)則》的發(fā)布將成為一個(gè)信號(hào),標(biāo)志區(qū)塊鏈安全正式進(jìn)入規(guī)范化階段。未來(lái),長(zhǎng)亭科技將繼續(xù)深耕區(qū)塊鏈安全領(lǐng)域,將全行業(yè)網(wǎng)絡(luò)安全攻防理念和實(shí)戰(zhàn)研究經(jīng)驗(yàn)對(duì)應(yīng)到區(qū)塊鏈行業(yè)安全解決方案中,為區(qū)塊鏈企業(yè)研究與開發(fā)提供專業(yè)的全周期安全應(yīng)對(duì)策略。