如何保护加密货币免受Web威胁和DDoS攻击

截至2018年3月,流通中的加密货币达1000多种,总市值超过4000亿美元,而一年前仅为190亿美元。虽然加密货币的底层区块链技术在大多数情况下是天生安全的,但随着采用的迅速增加,了解加密货币易受攻击的弱点,以及生态系统的不同参与者如何保护自己的投资变得非常紧迫。
本文将帮助参与者理解加密货币的漏洞,提高安全性,包括:
· ICO发行人,投资者在其网站上发送他们的货币。
· 通常持有和交易数百万美元的资产的加密货币交易所的运营商。
· 选择交易所的加密货币所有者,保护他们的加密货币钱包。
新兴加密货币行业的弱点
以下是加密货币生命周期中安全面临风险的一些关键阶段:
· ICO发行人的网站(ICO的发行地和投资者的货币汇出地)可能会受到攻击,从而干扰发行和之后对加密货币的支持。有一个案例,发行网站被黑客攻击,更改了发送投资的地址,从而转移了部分发行资产。ICOs网站一直受到DDoS攻击,使其无法使用,并使ICO遭到了破坏。
· 在任意时间点都持有数百万美元的资产的加密货币交易所,实时交易大量资产。这些网站可能会被交易淹没或被攻击。在某些情况下,DDoS攻击会导致交易所在一段时间内不可用。
· 加密货币钱包:必须选择一个交易所的加密货币的所有者,以及保护他们加密货币的钱包。黑客使用窃取的证书或钓鱼攻击的证书填充技术,窃取私人和在线钱包的资金。
初始代币发行
服务于加密货币的网站或移动应用程序就与普通网站一样易受攻击,对攻击者来说,它们是一个个特别诱人的目标。ICO网站遭到攻击,推迟发行,甚至被抽走了部分发行的加密货币。在一种情况下,攻击者使用丑化攻击(defacing attack)将官方贡献地址转换为攻击者的匿名地址。结果,Ether被重定向到错误地址几分钟。
ICO也经常受到大容量网络或应用层DDoS攻击。
由于交易量庞大,ICO网站需要采取以下措施来提供高水平的保护:
· 身份验证:通过要求强密码和双因子身份验证,防止未经授权的访问者进入。在失败的登录尝试中,不要透露多于所需的信息,例如登录的哪一部分是不正确的。
· 更新软件和操作系统:许多运行站点的软件应用程序可能存在漏洞。保持所有软件的最新版本和补丁,防止出现漏洞。
· 验证客户端输入和服务器上的所有输入。防止恶意内容的注入,比如SQL注入和跨站点脚本。有关web漏洞的更多信息,请参阅OWASP前10。
· 加密:整个网站使用HTTPS。
· 限制对管理页面的访问:只允许选定的管理用户访问站点管理url。
最重要的是,使用企业级web应用程序防火墙保护站点。WAF将防止所有web应用程序攻击,并控制对站点和应用程序的访问。
货币交易所
想要购买或交易加密货币的人有众多交易所供他们挑选,交易所的安全措施和可用性是必需考虑因素,确保存储的资产得到保护,潜在的交易不受交易所意外延迟的影响。这种延迟可由下列原因引起:
· DDoS攻击,导致交易所在一段时间内无法进行交易。
· 站点无法处理大量的干净交易,例如数据库超载或服务器资源超载,从而导致服务降级。
据Incapsula网站最新发布的《全球DDoS威胁状况报告》报道,使用其服务的加密货币网站位居最易受DDoS攻击的十大行业之列。虽然Incapsula网站顺利规避了这些攻击,但也有一些关于加密货币交易所的破坏性攻击的报道。
过去几个月,上面两种情况都出现过,而且随着对加密货币的需求不断增长,这种情况可能会继续下去。此外,交易所也是攻击的一个关键目标,因为它们充当了钱包的角色,在任意时间点都可能存入价值数亿美元的加密货币。因此,请选择具有可用和安全记录的交易所。
API通常是加密货币交易所网站的弱点,因为它们的有效负载结构通常是专有的,这使得很难识别恶意速率或有效负载。因此,它们经常成为DDoS或其他攻击的载体。
要提供预期的服务级别,交易所必须考虑以下措施来降低服务降级的风险:
· 提供足够的带宽以满足需求。在一个需求迅速增长的市场中,增加带宽可能是一个持续的挑战。除了这个挑战之外,不太可能减轻我们正在目睹的大规模DDoS攻击。
· 监控流量,检测网站何时受到DDoS攻击。
· 识别和过滤流量,例如来自已知攻击地址、已知机器人代理或已知的主要攻击源的流量,检测和阻止恶意用户。
· 保护帐户承受攻击,例如使用证书填充,提供如ICO网站所述的强大的网络保护。
· 识别和过滤来自单个源或用户会话、已知应用程序签名和不符合已知HTTP协议的流量的过多请求,检测和阻止恶意应用层请求。
保护你的API(通常是网站保护的弱点),因为检查其有效负载的合法性比较困难。它们可能由于误报而无效,或者相反,支持载体攻击。
由于难以有效地实现这些措施,交易所可以实现提供所需服务水平的服务,防止这些攻击。
货币钱包
购买加密货币后,它会存储在你的数字钱包里。这样,你可以接收和发送你喜欢的加密货币。钱包存储私钥,私钥表示对区块链中一定数量货币的公钥的所有权。由于不能重新创建私钥,丢失密钥就等于丢失了加密货币。如果有人获取了密钥,他就可以访问加密货币。
因此,钱包的安全存储性能非常重要,钱包的选择也很重要。就像你可以在不同的地方储存现金,例如钱包或你的口袋,银行或保险箱。以下是几种存储加密货币的钱包类型:
· 软件钱包:提供访问加密货币的桌面或移动应用程序。由于只能从安装钱包的设备访问钱包,软件钱包具有高水平的安全性。但是,如果设备出现了问题,你可能无法检索自己的私钥,从而丢失货币。
· 在线钱包:在线钱包存储在一个网站上,和其他存储在云中的数据一样,可以从任何设备访问钱包。然而,这可能更容易受到攻击,取决于第三方提供的安全性。资产被盗往往是证书填充的结果。从知名或不为人所知的网站窃取的用户名和密码在“暗网”上出售,通常是由僵尸网络在登录页面上填充,直到用户名/密码组合生效。
· 硬件钱包:指用于在本地存储密钥的专用物理设备,安全性最高。要使用这款钱包,用户只需将硬件钱包插入一个可上网的设备,输入钱包的pin,然后进行交易。
我们建议采用以下步骤,保护你的加密货币:
· 在线小额:就像你通常不会在口袋里放几千美元一样,尽量减少你在电脑或移动设备中保存的加密货币数量。维持日常使用所需的金额,以便容易访问资金,并在更安全的环境(如硬件钱包)中保持余量资金。
· 备份:无论你使用哪种类型的钱包,确保所有的备份都是安全的。请记住,如果你丢失了钱包私钥,你就丢失了加密货币。在不同的安全位置对不同类型的设备(如USB和纸张)进行多次备份,增加各种恢复路径。
· 加密:用你永远不会忘记的密码加密你的钱包。考虑在安全的地方保存一份密码副本,比如保险库。
· 在你的环境中,采用额外安全层,例如登录和交易进行双因子身份验证。防止恶意软件和使用病毒防护保护环境。
· 使用推荐的钱包:如果你使用的是在线钱包,要谨慎选择一个在安全服务方面享有声誉的钱包。考虑使用一个与你交易所集成的钱包。
· 使用唯一密码,不要在其他网站使用,否则可能会导致未报告的证书被盗。
Incapsula保护
创建一种新货币和建立一个交易所是一项复杂的业务。Incapsula网站保护和DDoS mitigation可以保护你的网站免受最先进的网站攻击、DDoS和帐户接管攻击。Incapsula可以为你提供额外的基于云的负载平衡和故障转移或传递规则解决方案,使你的网站在操作方便的情况下最大化可用性。
Web应用程序防火墙
Incapsula网站的网络应用程序防火墙,连续四年被Gartner评为领先的WAF,它可以分析所有用户对你的网络应用程序的访问,保护你的应用程序免受网络攻击,同时确保特定的技术,比如网络sockets不会被破坏。它可以防止所有web应用程序攻击,包括OWASP十大威胁,并阻止恶意程序。Incapsula还可以根据各种因素过滤流量,从而控制哪些访问者可以访问你的应用程序。
WAF分析web应用程序的各个方面,检测攻击,例如防止依赖于跨站点脚本的站点损坏攻击。有了这种保护,你的站点就可以避免恼人的验证请求,如验证码、电子邮件确认或许多站点流行的双因子身份验证。
DDoS保护
为了保护加密货币交易所和基础网站,Incapsula网站的DDoS保护会自动检测并减轻针对网站和网络应用程序的攻击。Incapsula网站是唯一提供SLA(服务等级协议)保证的网站,能在10秒内发现并阻止攻击。我们新的Behemoth 2平台阻止了650 Gbps(千兆比特每秒)的DDoS泛滥,流量超过150 Mpps(百万包每秒),还有剩余容量。我们预计,随着攻击规模的不断扩大,容量会得到进一步的测试。
除了处理大容量攻击外,Incapsula网站还专门针对这些类型的DDoS攻击提供保护。
· 复杂应用程序,或第7层,攻击web服务器上的应用程序。这些攻击需要更小的容量才能生效,以每秒的数据包来衡量,但更难以检测。Forrester Wave报告说,Imperva在检测和减轻应用层攻击的能力上首屈一指。
· 由大量请求组成的大规模攻击,这些请求通过许多站点提供的API进行编排。API流量以最小的误报进行过滤。检查这些实践来保护你的API。
CDN服务
内容分发网络有效地解决了加密货币交易所的指数增长问题,并扩建他们的业务规模。除了DDoS服务保护,Incapsula CDN网站还提供了以下服务,帮助提高重载下加密货币交易所的稳定性。
· 全球内容分发网络(CDN)以其智能缓存和高速存储和优化工具,提高网站的速度和性能。Incapsula网站部署了40多个pop后,大大提高了页面加载时间。
· Incapsula云负载均衡能让交易所轻松扩展,增加服务器和故障转移数据中心,并在不停机的情况下从云添加传输和转发规则。
· 使用定义规则功能,保护证书填充和帐户接管,为登录页面提供额外保护,防止僵尸程序执行证书填充。规避了加密货币域中的主要帐户接管威胁,黑客在该域中使用窃取的证书进行欺诈。
· 对付暴力攻击的传统安全措施,阻止来自给定IP的/登录页面的高速率请求。然而,最近有一些攻击绕过了这类过滤器,以极低的速度在受感染的计算机中发送数千个僵尸程序。即使是在低速率情况下,Incapsula CDN也可以防止攻击,因为它可以阻止或增加任何到达/登录页面的非人类访问的难度,而不会减慢页面加载速度。
· 高级机器人分类和规避使用高级规则
· API保护,极低的误报率,同时保持高水平的保护,包括针对API的DDoS攻击
有了这些服务,你就可以确保站点始终可用。
结语
加密货币的种类和数量在不断增加,针对加密货币发起的攻击,在规模、复杂性和频率上都在不断增加。相关机构必须了解对专用的和高级的WAF和DDoS保护服务的需求,将财务、操作和声誉风险降至最低。
本文概述的最佳做法将帮助各机构建立健全的规避战略。这些措施包括监控应用程序和网络流量、检测和过滤恶意用户以及识别和阻止恶意请求。