第十章：Bounty Program: 风险的预先管理
以前在还没开交易所之前，我总会好奇，业界的 Bounty Program 会是给谁玩的。真的会有人玩吗？

后来在我开交易所之后，签约的第一个资安顾问，就建议我要设立 Bounty Program。

知名的 Bounty Program 有 Hackerone。后来我们公司采用的慢雾的 Bounty Program。

为什么要有 Bounty Program 呢？

理由是：当你的公司很值钱或充满高风险时，你就得要有 Bounty Program。

比如说像我开一个区块链交易所，保管这么多区块链资产。黑客一定会对这个交易所垂涎三尺。

而只要让黑客盯上并且成功入侵，就会损失惨重。比如说币安被入侵一次，掉的就是七千颗 BTC。

Bounty Program 的好处：风险管理流程化

一般来说，黑客不会向公司，举报公司的服务有漏洞。因为：

• 没有好处，还有可能被白痴公司报警处理

• 将漏洞留著，自己有好处

• 关我屁事

一个漏洞，被第一个黑客发现了。要是他不通知你，也不对你作恶。其实也是有风险存在。因为漏洞还是存在。一定会有第二个第三个第四个上门。

到时候你就无法保证后面的人是不是恶意了。

设立奖金制度的好处是：

1. 让那些职业是白帽黑客的资安研究者，有动力去寻找你系统的漏洞。毕竟一个系统的漏洞，虽然单笔你要发出去数千美金。但是这些漏洞造成的危害可能就值数百万美金。

2. 不用直接面对这些资安研究者。一个漏洞值多少，企业是很难摸准的。给多了不甘心。给少了惹怒对方，反而造成更大的破坏。有一些资安研究者是游走在个体白帽黑客与勒索者之中。端看企业与他谈判时的价格与心情。而 Bounty Program 维护者多半是业界安全谘询公司的专家。知道如何评估风险程度以及正确估值。企业多半没有谈判的能力，谈判者也可能是 CEO，很容易做出错误的决定，以及老是被缠在风控事件的处理流程（资安漏洞对于资产损失是重要且紧急。但是对企业整体发展，是紧急但不重要。而这一类的工作，应由专门负责人士去处理）里面。

3. 及时通报。有一些漏洞是软件的 0day 或者是第三方软件的 0day，也就是尚未被揭露的漏洞。很多企业被打穿，其实是因为新闻都已经报导一周某某软件都有这些漏洞了，有些公司缺乏技术人员以及资安警觉性，被看新闻自动扫描的黑客攻击进入，这也挺让人哭笑不得的。光是 USDT 假充值漏洞，这么容易防御以及修补，还是有很多币所掉坑搞到破产。

加入资安谘询公司组建的联盟

我从事区块链行业，雇用的其中一间资安谘询公司是区块链界有名的慢雾安全。

慢雾安全在与我们的合作当中提供什么呢？

1. 区块链的漏洞 0day 第一时间通知与补丁

2. 区块链交易所常用套件（如 Trading View）的 0day 通知与补丁

3. 手工灰盒检测与架构建议

4. 联盟交易所事件脱敏警示。（其他交易所出事了，我们会知道如何被打进去的。只是不知道是哪间公司被打。我们可以即时升级防御）

5. AML 洗币防御。区块链盗币事件频传。有很多区块链地址是脏地址，还有帐号是洗钱帐号。以前我们是手工联防，现在是自动联防。

6. 合作方的智能合约审计

等等等....

我们这些区块链公司，做的是时间差生意，防御的也是时间差风险。信息早拿到与晚拿到，产生的价值与损失，会差异非常多。

而这些都不是光雇用一个资安程序员，就可以办到的事。

总结：

这里总结一下你现在可以主动做的事，思考一下：

1. 你们对于资安事件有标准处理流程吗？

2. 你们的资安事件需要 CEO 介入处理吗？

3. 你们如何与其他交易所共享资安信息？

4. 你们如何追踪这些 0day？还是看新闻才知道？

打造互联网金融企业安全与风控的实战手册。以区块链交易所为例。

书中会谈及主题：

1. 如何防范使用者资料被盗，并且降低损失

2. 如何设计相对安全的技术架构，阻断连环损失

3. 如何拦下恶意使用者针对系统的恶意攻击

4. 当公司管理的钱一大，没有人能够防御变质的人心，如何预防内鬼，并且降低损失。

5. 如何预先建立风控策略，与外部团队联手合作。

价目表

资安是有价的。有很多人会疑问这里面的安全设计架构要花多少钱？这里我列出一些我知道或我有印象的价格。

程序员

• 资安工程师：30K-50K+ 人民币 / 月

• 钱包工程师：50-100K + 人民币 / 月

• 风控部成员：20K-40K + 人民币 / 月

• 企业法务律师：20K-40K + 人民币 / 月

至于安全架构师。无价。挖不到，这类人才都是历练与人脉。

防御墙

• Amazon Shield：3000 USD/月 + 频宽费用

• Sqreen：基本版 400+ USD/月 | 企业版 （订制费用）

• Amazon LoadBalancer：根据用量收费

办公室网路安全规划

• 80K~160K+ 人民币 / 月：每次，根据实际办公室与复杂度收费

• 20K 人民币 / 月：多条专线非专线网路月费

企业钱包租用

• 10K+~50K+ USD：根据钱包复杂度收费

律所聘用

• 较好的律所：10K USD retainer。律师 200 USD ~ 600 USD/hour。币所开销一个月大概会是至少 10K~20K USD上下。

资安谘询公司

• 200K RMB+ /年 retainer。其馀根据用量收费。

• 灰盒扫描：单次 100K RMB+ 起，根据规模范围订制收费

Bounty Program

Hackerone：我记得设定费好像是 20K USD/次？

至于 bounty program 若 confirm 属实，回报者的奖励是 200USD~6000 USD。

终于到来本书的最后一章。

在互联网创业中，资安与风控往往是被轻忽的一环。而在初创企业的阶段，资安与风控甚至更是直接可以被省略的一环。

除了区块链行业以及少部分互联网金融行业外，很少行业要在创业的一开始就同时兼顾开发速度+环境变化的挑战与这么多恶意的攻防战争。

资安不重要吗？非常重要。

资安成本高吗？非常非常非常的高

但是你能舍弃资安吗？不可以。一台汽车如果没有安全气囊以及保险杆，开车上路可是会死人的。

但是企业的安全气囊与保险杆，并不是市场上可以批发购买，而是必须量身订做的。

在这本书我们探讨了以下主题：

• 如何预先保护使用者的安全。假设他的密码早已被盗，你还是得保障他的安全。

• 如何防止代码的外泄。甚至即使外泄了，也不置于造成灾难性的损失。

• 如何设计出相对安全的架构。如何只用 20% 的精力就降低 80% 的风险。

• 如何避免不可靠的第三方。当第三方失灵后，还能将企业冲击降到最小。

• 如何将「恶意的人」与「恶意行为」，降到冲击力相对小。

• 如何避免自己的办公室被恶意渗透。即便被渗透，损失能降到最小。

• 天下没有不散的宴席。如何将雇员的离去造成的资安威胁与泄密风险，设立防护稳妥的防护架构。

• 管理对立面。如何与白帽黑客和平共处，反而化为助力。

投入互联网金融的企业越来越多。互联网金融行业并不只是互联网行业，本质上，互联网金融行业是周边威胁系数更高的「金融行业」。

我在投入这个行业前，甚至不知道自己要面对的是如此险恶的环境。甚至，即便过去我在互联网从业超过十年，设计过许多产品与技术架构。但区块链交易所架构的水之深与行业险恶，还是让我瞠目结舌。只能边做边学。

这些安全行业知识在行业里多半靠熟人相传或者是师徒相承，有些甚至只能靠自己付上「学费」（恶意行为造成的损失以及相关的安全与法律谘询费）才能够习得。

我希望这一本实战手册的诞生。能够保护未来更多的企业，能够有效的降低其他企业关于互联网风控的学习曲线，并且降低恶意冲击的损失。