第十章：Bounty Program: 风险的预先管理
以前在还没开交易所之前，我总会好奇，业界的 Bounty Program 会是给谁玩的。真的会有人玩吗p>

后来在我开交易所之后，签约的第一个资安顾问，就建议我要设立 Bounty Program。

知名的 Bounty Program 有 Hackerone。后来我们公司采用的慢雾的 Bounty Program。

为什么要有 Bounty Program 呢p>

理由是：当你的公司很值钱或充满高风险时，你就得要有 Bounty Program。

比如说像我开一个区块链交易所，保管这么多区块链资产。黑客一定会对这个交易所垂涎三尺。

而只要让黑客盯上并且成功入侵，就会损失惨重。比如说币安被入侵一次，掉的就是七千颗 BTC。

Bounty Program 的好处：风险管理流程化

一般来说，黑客不会向公司，举 公司的服务有漏洞。因为：

• 没有好处，还有可能被白痴公司 警处理

• 将漏洞留著，自己有好处

• 关我屁事

一个漏洞，被第一个黑客发现了。要是他不通知你，也不对你作恶。其实也是有风险存在。因为漏洞还是存在。一定会有第二个第三个第四个上门。

到时候你就无法保证后面的人是不是恶意了。

设立奖金制度的好处是：

1. 让那些职业是白帽黑客的资安研究者，有动力去寻找你系统的漏洞。毕竟一个系统的漏洞，虽然单笔你要发出去数千美金。但是这些漏洞造成的危害可能就值数百万美金。

2. 不用直接面对这些资安研究者。一个漏洞值多少，企业是很难摸准的。给多了不甘心。给少了惹怒对方，反而造成更大的破坏。有一些资安研究者是游走在个体白帽黑客与勒索者之中。端看企业与他谈判时的价格与心情。而 Bounty Program 维护者多半是业界安全谘询公司的专家。知道如何评估风险程度以及正确估值。企业多半没有谈判的能力，谈判者也可能是 CEO，很容易做出错误的决定，以及老是被缠在风控事件的处理流程（资安漏洞对于资产损失是重要且紧急。但是对企业整体发展，是紧急但不重要。而这一类的工作，应由专门负责人士去处理）里面。

3. 及时通 。有一些漏洞是软件的 0day 或者是第三方软件的 0day，也就是尚未被揭露的漏洞。很多企业被打穿，其实是因为新闻都已经 导一周某某软件都有这些漏洞了，有些公司缺乏技术人员以及资安警觉性，被看新闻自动扫描的黑客攻击进入，这也挺让人哭笑不得的。光是 USDT 假充值漏洞，这么容易防御以及修补，还是有很多币所掉坑搞到破产。

加入资安谘询公司组建的联盟

我从事区块链行业，雇用的其中一间资安谘询公司是区块链界有名的慢雾安全。

慢雾安全在与我们的合作当中提供什么呢p>

1. 区块链的漏洞 0day 第一时间通知与补丁

2. 区块链交易所常用套件（如 Trading View）的 0day 通知与补丁

3. 手工灰盒检测与架构建议

4. 联盟交易所事件脱敏警示。（其他交易所出事了，我们会知道如何被打进去的。只是不知道是哪间公司被打。我们可以即时升级防御）

5. AML 洗币防御。区块链盗币事件频传。有很多区块链地址是脏地址，还有帐 是洗钱帐 。以前我们是手工联防，现在是自动联防。

6. 合作方的智能合约审计

等等等….

我们这些区块链公司，做的是时间差生意，防御的也是时间差风险。信息早拿到与晚拿到，产生的价值与损失，会差异非常多。

而这些都不是光雇用一个资安程序员，就可以办到的事。

总结：

这里总结一下你现在可以主动做的事，思考一下：

1. 你们对于资安事件有标准处理流程吗p>

2. 你们的资安事件需要 CEO 介入处理吗p>

3. 你们如何与其他交易所共享资安信息p>

4. 你们如何追踪这些 0day看新闻才知道p>

企业风控 价表：

打造互联 金融企业安全与风控的实战手册。以区块链交易所为例。

书中会谈及主题：

1. 如何防范使用者资料被盗，并且降低损失

2. 如何设计相对安全的技术架构，阻断连环损失

3. 如何拦下恶意使用者针对系统的恶意攻击

4. 当公司管理的钱一大，没有人能够防御变质的人心，如何预防内鬼，并且降低损失。

5. 如何预先建立风控策略，与外部团队联手合作。

价目表

资安是有价的。有很多人会疑问这里面的安全设计架构要花多少钱我列出一些我知道或我有印象的价格。

程序员

• 资安工程师：30K-50K+ 人民币 / 月

• 钱包工程师：50-100K + 人民币 / 月

• 风控部成员：20K-40K + 人民币 / 月

• 企业法务律师：20K-40K + 人民币 / 月

至于安全架构师。无价。挖不到，这类人才都是历练与人脉。

防御墙

• Amazon Shield：3000 USD/月 + 频宽费用

• Sqreen：基本版 400+ USD/月 | 企业版 （订制费用）

• Amazon LoadBalancer：根据用量收费

办公室 路安全规划

• 80K~160K+ 人民币 / 月：每次，根据实际办公室与复杂度收费

• 20K 人民币 / 月：多条专线非专线 路月费

企业钱包租用

• 10K+~50K+ USD：根据钱包复杂度收费

律所聘用

• 较好的律所：10K USD retainer。律师 200 USD ~ 600 USD/hour。币所开销一个月大概会是至少 10K~20K USD上下。

资安谘询公司

• 200K RMB+ /年 retainer。其馀根据用量收费。

• 灰盒扫描：单次 100K RMB+ 起，根据规模范围订制收费

Bounty Program

Hackerone：我记得设定费好像是 20K USD/次p>

至于 bounty program 若 confirm 属实，回 者的奖励是 200USD~6000 USD。

终于到来本书的最后一章。

在互联 创业中，资安与风控往往是被轻忽的一环。而在初创企业的阶段，资安与风控甚至更是直接可以被省略的一环。

除了区块链行业以及少部分互联 金融行业外，很少行业要在创业的一开始就同时兼顾开发速度+环境变化的挑战与这么多恶意的攻防战争。

资安不重要吗重要。

资安成本高吗非常非常的高

但是你能舍弃资安吗以。一台汽车如果没有安全气囊以及保险杆，开车上路可是会死人的。

但是企业的安全气囊与保险杆，并不是市场上可以批发购买，而是必须量身订做的。

在这本书我们探讨了以下主题：

• 如何预先保护使用者的安全。假设他的密码早已被盗，你还是得保障他的安全。

• 如何防止代码的外泄。甚至即使外泄了，也不置于造成灾难性的损失。

• 如何设计出相对安全的架构。如何只用 20% 的精力就降低 80% 的风险。

• 如何避免不可靠的第三方。当第三方失灵后，还能将企业冲击降到最小。

• 如何将「恶意的人」与「恶意行为」，降到冲击力相对小。

• 如何避免自己的办公室被恶意渗透。即便被渗透，损失能降到最小。

• 天下没有不散的宴席。如何将雇员的离去造成的资安威胁与泄密风险，设立防护稳妥的防护架构。

• 管理对立面。如何与白帽黑客和平共处，反而化为助力。

投入互联 金融的企业越来越多。互联 金融行业并不只是互联 行业，本质上，互联 金融行业是周边威胁系数更高的「金融行业」。

我在投入这个行业前，甚至不知道自己要面对的是如此险恶的环境。甚至，即便过去我在互联 从业超过十年，设计过许多产品与技术架构。但区块链交易所架构的水之深与行业险恶，还是让我瞠目结舌。只能边做边学。

这些安全行业知识在行业里多半靠熟人相传或者是师徒相承，有些甚至只能靠自己付上「学费」（恶意行为造成的损失以及相关的安全与法律谘询费）才能够习得。

我希望这一本实战手册的诞生。能够保护未来更多的企业，能够有效的降低其他企业关于互联 风控的学习曲线，并且降低恶意冲击的损失。