长亭科技联合区块链领先企业共同支撑《区块链漏洞定级细则》的制定和发布
2020年4月,刷屏的新基建明确范围,作为新兴技术代表的区块链首次被国家层面明确为新型基础设施,在市场需求、国家政策和资本等多种要素的驱动下,区块链自身的体系标准正在进一步丰富、发展和完善。近日,国家区块链漏洞库联合行业领先企业共同编制的《区块链漏洞定级细则》终于面世。长亭科技区块链安全专家团队牵头并深度参与了本次的定级细则编制工作,负责公链板块定级细则编写及整体技术、划分标准的把关。《细则》涵盖公链、联盟链、智能合约、外围系统四大板块,填补了区块链与安全行业沟通空白,为业界就区块链安全问题达成共识迈出了坚实的一步。这是国际上首次对区块链安全漏洞及其威胁等级做出清晰且可执行的定义。
2019年11月27日,韩国交易所Upbit被黑客攻击,34.2万枚ETH从热钱包中被盗,价值约合5000万美元。2019年05月08日,全球知名交易所币安被曝遭遇了黑客大规模系统性攻击,黑客获取了大量 API 密钥、谷歌验证 2FA 码等信息,一次性提走了7000枚 BTC。似乎自诞生之日起,号称“最安全”区块链的安全问题就备受争议。得益于分布式系统的高可用性与密码学的高一致性,区块链技术本身具备稳定、可信的技术特点,这使得区块链技术天生具备长远发展的基础,但现实情况却是区块链系统安全事件频发。这之间的差别在于,高可用、高一致等都是设计层面的技术优势,但要想真正长远健康发展,可靠性是现实系统中必须要考虑的,而提升可靠性的关键点就在于甄别修复系统缺陷和漏洞,提高系统实际安全水平。因此区块链安全,已经成为目前制约区块链技术长远健康发展的瓶颈,加快区块链安全相关标准的制定则也成为提升区块链基础设施安全乃至生态安全的必然所需。
此次发布的区块链漏洞定级细则既是对区块链国家政策和区块链安全评测标准制定的深入落实,也是对于目前行业内漏洞威胁认知混乱的有效应对策略。区块链生态中各个角色对于安全漏洞的认知混乱,带来了长久以来对于区块链漏洞认知的分歧与不客观,区块链行业亟需一套特定针对区块链行业的,被各个项目方同时认可有公信力的定级细则。此次由国家互联网应急中心统筹,安全厂商和区块链企业合作对区块链漏洞进行定级细则制定,正是从国家层面对漏洞评测标准做出的统一,为行业明确分析漏洞情况并确定威胁等级提供了可操作、可执行、可量化的指标与方法,为区块链行业的安全测评工作提供基础支撑。
《细则》主要依托于CVSS2.0,实现了与传统基础领域漏洞规则的互通,从大网络安全的角度打通区块链新兴领域与传统基础领域对于漏洞的基层定义,实现统一管理,统一归档;此外,该细则还同时考虑到了区块链安全的理论性与实现性,提升区块链企业对于“内外”安全的重视,构建整个区块链生态的安全性。同时,细则中还提出区块链安全漏洞本质是非故意、非预期的安全缺陷或风险,应主要依据‘危害程度’和‘利用难度’两方面分析,并通过定级表将漏洞分为高、中、低三个威胁等级,这样既符合CVSS2.0方法论,又能快速分析具体漏洞案例,准确给出相应定级。
《细则》中针对每一类危害程度和利用难度都罗列了详细的参考条目,这些条目均是团队从大量过往真实漏洞案例中浓缩而来,同时包含几乎所有公开历史漏洞特征,并对其进行提炼拆解和反复打磨,基本涵盖了区块链领域可能遇到的各类漏洞情况,帮助使用者快速定位和分析区块链漏洞。
此次能够牵头编写国家区块链漏洞定级细则,与长亭科技一直以来在区块链安全领域的不断探索有着很大关系。2018年长亭科技联合ConsenSys、比特大陆两家区块链行业巨头发布了国内首个区块链安全深度报告——《区块链安全生存指南》,针对性总结了区块链行业安全应对策略;2019年又发布了《区块链生态安全服务解决方案》,意在探索勾勒在现有的区块链生态之下安全建设的边界轮廓。
在新基建背景下,区块链将迎来又一轮的发展高峰,用更加安全的技术方式与应用场景去构建万物互信的时代,区块链的安全并非终极目标,以更安全的区块链产品去创造更高的价值才是发展目标。《细则》的发布将成为一个信号,标志区块链安全正式进入规范化阶段。未来,长亭科技将继续深耕区块链安全领域,将全行业网络安全攻防理念和实战研究经验对应到区块链行业安全解决方案中,为区块链企业研究与开发提供专业的全周期安全应对策略。