交易所资安大神、白帽黑客都在做什么？

XREX 资安长Sun 分享你我都能够受惠的资安知识，教你如何看管好自己的资产！一家交易所的资安能力应该注意哪些方面？又应该如何提高资安意识？

进入Web3世界，讨论到了金融自主权、自我托管等去中心化的概念，就不得不重视如何保护好自己资产，确保资产不被黑客和不法之徒窃取。我们在评估一个加密货币平台、一家交易所的资安能力的时候，应该注意哪些方面？我们又应该提升自己的资安意识？

Q：顶尖白帽黑客Sun，是如何踏入资安领域？

Sun Huang在资安产业有15年的经历，从大学开始触资安领域，由于当时许多网页都是使用CGI（Common Gateway Interface）开发，所以大部分的网站都是不安全的，只要经过一些简单的方式，就能够抓出敏感资讯，例如个资、信用卡等等。

也因此激发Sun内心的小宇宙，觉得网路世界太不安全，想要帮助这个产业并保护无辜的受害者，便开始专注在这个领域生根。

在2008年的时候很多企业其实都还不太重视资讯安全，资安职缺其实非常少，那时刚好找到一家台湾的资安公司阿玛科技并顺利入职，也就是XREX创办人黄耀文Wayne当时所创办的资讯安全公司。

Q：Sun过去曾担任哪些职务？

Sun一路从助理资安工程师、资安顾问，当到弱点扫描产品的PM。

由于Sun一开始担任pre-sales的角色，会去拜访客户介绍公司产品，包含防火墙、挂马检测等资安防御产品，跟着销售员到处拜访的缘故，也因此更懂得第一线客户的需求和使用者痛点。

pre-sales主要会去回覆客户的咨询，以及帮他们做POC（Proof of Concept）测试，进而得到分析、解决问题的能力，在替用户举办资安教育训练之时，也在理论与实作有全面的了解。

而Sun主要专精的技能为「渗透测试」，也就是说他们会模仿成攻击者，用攻击思维看待企业，让企业找出可疑风险，再去解决降低风险。在资安领域不只是需要具备防守力，还要有进攻的能力。

Q：Sun如何从Web2到Web3，养成15年的资安实力？

2013年阿玛科技被美国上市公司Proofpoint并购，在Proofpoint这5年，Sun负责威胁研究的分析，主要研究各国的黑客团体和国家级的黑客，之前可能都是聚焦在台湾国内的市场，突然放眼到国际上，整个视野便打开了。

Sun和Wayne一起打拼了5年之后，在2018年一起创办了XREX交易所，一路一起从web2走到了web3。

大概有10年的时间，Sun在下班之余会花时间去当漏洞赏金猎人，有一些企业会专门提供奖金给找到该企业资讯安全漏洞的人，周末的时候则去打CTF（Capture the Flag），CTF是一种学习攻击与防御的黑客竞赛。白天上班，周末当奖金猎人、参加比赛，可以算是一辈子都在资安领域待着。

Q：身为一个白帽黑客、资安大神，Sun在交易所的一天在做些什么事情？

Sun每一天的工作其实就是一样在做攻防，由于每天会看到很多种攻击者，因此把攻击者分成四类。

第一类：脚本小子（script kiddie）

这类的攻击者通常只会操作网路公开的黑客工具，并没有太深的技术能力。

第二类：单独黑客

那他具有这种相当程度技术能力，会开发工具来发动攻击等等。

第三类：小型黑客团体

这一类的攻击者，通常组织跟资源都可以有良好的分工，有人负责找目标，有人负责攻击或是开发攻击武器，也有人负责善后等等，所以他们的攻击能力通常蛮强的。

第四类：大型的组织，甚至到国家级的这种黑客团体

这种攻击团体，资源非常的大，因为背后资金庞大，所以有很多所谓的零时差的攻击武器。

Ｑ：以交易所角度，如何确保资讯安全？让资产不会被偷？

资安一直都是一个不公平的游戏，对于黑客来说，他只要在你的网站平台上找到一个漏洞攻即就够了，但是站在防守方，必须要在每一个层面都建立好防御机制，我们是守护者，黑客就是攻击者，所以我们的主要任务就是要确保每个用户的资产安全。

Sun常常告诉团队「安全其实无法做到百分之百的安全」，因为程式是人能写出来的，人写出来的就是总是会有漏洞的产生。

所以在资安领域会有一个很重要的观念，就是安全并不是一个绝对的状态，而是一种过程，不能期望消除所有的风险，但是可以通过这些持续的努力，来管理降低这些风险，不断的持续优化、提高攻击难度。

除了有对应的防御机制跟系统外，也需要制定有效的资安政策，可以透过ISO 27001的标准去建立管理策略，或者是制定资安的事件的应变、处理流程和营运等等，像是XREX与14家资安公司的结盟，并打造了XREX区域联盟的网路，建立盟友打造共好的生态圈。

资安的最大的风险就是人，就是公司的员工。

员工的资安意识非常重要，就像大家的电影上看到的，你用你的电脑打开一个网页，你的电脑被控制了，在真实世界里是很容易达成，公司的资安其实是需要大家一起来把关的。

有些公司一直把资安的人员、团队，甚至是工具视为成本，而XREX执行长办公室资深总监尤芷薇Yoyo表示，XREX很难得的一件事情为在资安的投入非常的大方。

Q: Wayne作为执行长，为什么会如此重视资安？

当时有信心去创XREX也是因为有Sun跟他的团队，也表示一开始其实不太懂比特币，但他知道周边聪明的人都在研究比特币，因此那时侯从资安的角度出发，请Sun把所有跟比特币相关的攻击研究一遍，就是从那一次完整的研究，了解交易所大概是怎么被黑，个人钱包怎么样被偷等等。

促使XREX对于资安相当重视，很早就导入个云端的密码库，任何一个密码一定都是机器产生的，并放在相对比较安全的密码库，从公司层面一路到个人的层面，其实都应该要有资安相关的因素。

而XREX交易所也成为全台湾第一家，通过最新版本ISO 27001的标准，是检验资讯安全管理系统的标准，也是目前使用最广泛且完整的标准。在台湾，不只是领先交易所、银行和公家机关，也领先不同领域的公司。

Ｑ：一般人该如何去辨识一家交易所安不安全？

Sun从资安的角度，建议以下几点。

第一点：看这家交易所有没有自己的资安团队，以及它的成员背景、专责人员人数

这些资讯好像相对来说比较不透明，但是资安圈子不大，通常都还是可以打听的到，资安人员一位绝对是不够的，像金管会在2011年12月了发布资安法规，要求上市柜公司要去建立专责的资安单位，针对资本额100亿以上的公司，要求一定要设定一位资安长、一位资安主管，以及两位专责人员。

Sun表示对于大公司来说，其实四位专责的资安人员还是不够，而XREX目前大概约有80位相关人员。

第二点：这家交易所重不重视资安文化

可以去看这家公司有没有投入资安的资源，有没有定期去找一些资安厂商去做渗透测试，以及有没有漏洞赏金平台。

第三点：交易所有无完善的资安治理和目标

关注公司有无完善的资安治理，可以去看一家公司有没有相关证照，比如说ISO27001等等。

大家不用在一家交易所倒的时候，才终于理解说他不安全，不要随便轻信任何一个交易所，大家可以去看公司是否有导入merkle tree的技术去验证自己钱包资产的安全，或是去观察公司外部稽核等等来判断是否干净、安全。

一家加密货币业者，内稽、内控也很重要，一个人不能拥有过多的权限，应该要有一定的流程去把关一个人能够去接触到什么样的资讯，有什么样的权利，甚至是可不可以移动钱包里面的钱。

Q：如果不是非专业资安人员，一般人如何保护自己不受黑客危害？

第一点：帐户安全

密码强度要够，双重验证(2FA)要开启，也不要用惯用密码，攻击者通常会去搜集被泄漏的资料库，资料库可能有十几亿甚至到百亿被泄漏过的帐户密码，也就是说黑客只要知道你的用户名称或电子邮件就可以在资料库中捞出这个用户使用的密码有哪些，就可以尝试登入。

第二点：先求证，再执行操作

为了避免钓鱼攻击，要去检查垫子邮件来路不明的连结，通常攻击者会模仿机构，冒名常见企业，有些高端网站甚至是可以偷到2FA。

第三点：提高资安意识

不断学习有关资安最新趋势、最新的网路诈骗手法，透过这些提高资安意识来保护个人资产。加密货币给了我们金融自主权，拥有自己的钱包，但这样的自主权，一定要搭配高程度的资安技术。

Tags：

转载请注明出处：https://www.eoje.cn/pt/2909.html