人物访谈|网安信夏杰:专业的安全公司最应该做的事情就是如何找到平衡点

公司动态

网安信,专注企业网络安全急救与安全运维

人物访谈|网安信夏杰:专业的安全公司最应该做的事情就是如何找到平衡点

近日,专注高成长企业应用安全的“网安信科技”低调完成近千万人民币的Pre-A轮融资,投资方包括时代创投在内的多家机构。

 

据悉,网安信科技由在加拿大从事网络安全15年的夏杰先生回国于2015年创办,定位为“专注高成长企业应用安全“。成立6年来,网安信凭借自主研发的达尔文智能安防系统,已成功为政府、游戏、电商、互联网金融、区块链等200多家客户提供了优质安全服务,服务包括:安全检测、渗透测试、漏洞扫描、代码审计、漏洞修复、漏洞加固、云WAF、抗DDos攻击、安全运维、应急处理等,是国内目前比较受欢迎的一家应用安全服务企业。

 1612774978733139.jpg

网安信创始人兼CEO夏杰先生与时代区块链CEO宋杨先生一起接受了《链上聊斋》栏目组关于DeFi项目的安全审计问题的专访,以下是夏杰先生访谈的主要内容:

 

01

首先请您谈下对去年7、8月份比较火热的DeFi项目的理解?

 

虽然从目前来看,即使有一些DeFi项目受到一些影响,出现了一些安全事故,甚至有一些DeFi项目遭受流产或失败,但个人觉得,总体来说整个DeFi项目会往一个更加规范,更加理性,更加合理的一个方向去发展,这是肯定没有什么太大问题的。

 

02

那如果DeFi要发展起来,它有什么标志性的指标吗?

 

跟互联网应用发展一样,一个好的应用它需要大家都来参与,大家都来推动这个事情。如果你周围的人都开始参与到其中,都开始谈论这个事情了,就像现在大家都在讨论股票的状态一样,这个事情肯定就火了。

 

03

那我们怎么去分辨一个App是DeFi项目,或者它就是去中心化的?

 

从技术角度来讲,任何事物都不是一个非黑即白的状态,因为在计算机里,它们都只是0和1的排列组合。所以说,一个DeFi项目不能简单的认为它是一个中心化的,或是一个去中心化的东西,它中间可能涉及到大量的灰色地带。但是,如果一个DeFi项目它使用的是一个比较传统的、比较理智的,以及是大家公认的,像以太坊,波场这类链,而且在它上面还使用了一些智能合约的技术,这些技术又可以在网上明确查到,那么,我们就可以初步认为这个项目有很大可能性是一个去中心化DeFi项目。当然,这仅仅是我个人的看法。

 

04

目前有很多表面上看似DeFi去中心化的项目,比如红薯、可乐等,但大家都知道,它们是留有后门程序的,像这样的项目一般是怎么审计?

 

通常我们说的审计是指代码审计,无论是去中心化的,还是中心化的项目,它都是通过一行行代码来实现。这里我们重点讲DeFi项目的代码审计,具体一点说就是DeFi项目智能合约的代码审计,智能合约代码审计实际上就是对这个智能合约的一整套完整的代码进行审计。智能合约是一套运行在区块链上的代码,具有不可篡改性,也就是说一旦这套代码被发布到网上,就没有任何人可以去修改它,并且所有人都可以去查看它。所以说智能合约的代码审计最好的时间,就是在上链之前。网安信的提供的智能合约代码审计服务除了常备的漏洞扫描外,主要的还是通过人工去盯着每行代码的运行状态,从中找任何可能造成安全事故的隐患,所以一般需要一个比较长的时间。

 

05

有些DeFi项目经常受到黑客攻击,你是怎样看这种智能合约被黑客攻击的情况?

 

这个其实很容易理解,我们知道,几乎所有的程序都存在bug,都会有问题。如果某一类Bug能产生安全问题,我们就把这类Bug称之为漏洞。既然Bug是普遍存在的,那么,漏洞也普遍存在的,这是有关联关系的,既然漏洞是普遍存在的,那么,利用漏洞来做各种各样的坏事,它也是一个极其正常的事情。

 

06

既然智能合约被黑客攻击机器正常,那你们是怎么尽量做到安全的?

 

其实,安全公司的核心作用就是帮助客户如何规避风险,如何降低损失。也就是说,一个专业的安全公司都会根据客户的实际状况提出一个合适的安全策略。比如说锁一个粮仓,就是一个很小的米库,你给它装上一把原子锁,就太过了,也不合适。所以,基于这种状态,客户需要的应该是一个最科学最合理的安全方案,而不是需要一个100%的安全方案。也就是说,如果客户担心可能会发生各种安全事故,或者发现了许多可能的安全风险,我们就把这个风险降低到一个客户可以接受的程度;如果安全事故已经发生了,这就表示已经出现了安全损失,我们就把可能扩大的损失把它避免掉。这就是我们安全公司做安全的价值。

 

07

这真是道高一尺,魔高一丈啊。咱们安全公司自己会做一些黑客攻击之类的事情吗?

 

关于这个事情,确实有很多客户都咨询过我们,客户这样跟我们说:我现在被人弄得要死不活的,你们虽然帮我把这个问题挡住了,解决了,但是我现在很不爽,你能帮我去弄他们一下吗?但我创办网安信的初衷,或者说一个基本态度就是绝不做这些事情。因为从理论上讲,一把刀你是拿去切菜还是去杀人,我们自己可以选择,切菜显然是合理的,但杀人就是凶器了。而安全公司本身就是掌握技术这把“刀“的人。

 

08

有人说,通过社交的方式可以解决智能合约的安全问题,你怎么看?

 

对于这点,我们有个专业的说法,就是如何解决智能合约的认证问题。关于认证的问题,一般有三种模式,一种模式称之为something you konw,就是你知道一些东西,比如说像密码什么之类的;另一种模式是something your have,就是你有一些什么东西,比如说像钥匙,以及一些传统冷钱包之类的;第三种模式就是something you are。任何一种智能合约都是基于这三种模式来认证,但认证的方式是可以与时俱进和不断变化的。比如,我们常用来登录的认证方式都是首先输入密码,然后再输入一个验证码,验证码有时候很难认或者认不清楚。后面就有人做了改良,把它改成了那个拉一下,或是点几下图什么的。所以,什么样的认证方式都可以拿来尝试,就像网安信通过人工智能的一些模型来掌握一些安全事故情况,让应用安全变得更主动,更精准了一样。也就是说,原来一些看似不能解决的事情基本上都可以通过计算机的一些方式来实现,所以个人觉得,你提到的这种认证方式也许能够解决一些问题。

 

09

还有人提到区块链助记词的方式,不知道安全性能怎么样?

 

这其实还是要看各种方式的应用场景,以及它需要解决的问题的状态,我们才能给出一个合适的一个认证方式。这里有个平衡的问题,专业公司最应该做的事情,就是要在各种平衡中找到一个大家都能接受的点。都说指纹认证很安全,但是指纹也很容易泄露,甚至有人通过一张纸就很轻松的解除掉别人的指纹密码;还有虹膜认证,也是一样。


PS:《链上聊斋》专访链接:https://mp.weixin.qq.com/s/V5mLk0Ub8YppSso01nKBPg

Copyright ©2015-2023 Shenzhen WangAnxin Technology Co. LTD. All rights reserved. 粤ICP备15107601号-1 深圳市网安信科技有限公司 版权所有