Pag-secure ng Digital Asset Ecosystem sa Cantina
Sa madaling sabi
Tinatalakay ni Sharon Ideguchi, pinuno ng GTM sa Cantina, ang pagbabago sa focus ng attacker mula sa code patungo sa mga tao, na nagbibigay-diin sa pangangailangan para sa mga bagong balangkas ng seguridad upang maprotektahan ang mga kumpanya sa mabilis na umuusbong na industriya.
Ang mga hacker ay hindi na lamang nagta-target ng code, hinahabol na nila ang mga tao. Sa panayam na ito, Sharon Ideguchi, nangunguna ang GTM sa Cantina (Spearbit), sumasalamin sa kanyang landas mula sa tradisyonal na cybersecurity hanggang Web3, ina-unpack kung paano inililipat ng mga attacker ang kanilang focus, at ipinapaliwanag kung bakit gumagawa ang kanyang team ng mga bagong framework ng seguridad para protektahan ang mga kumpanya sa isang industriya na umuunlad nang mas mabilis kaysa dati.
Maaari mo bang ibahagi ang iyong paglalakbay sa Web3?
Ang pangalan ko ay Sharon Ideguchi, at nagtatrabaho ako sa Cantina sa bahagi ng diskarte sa pagbebenta. Nakatuon ako sa paggawa ng mga custom na alok ng produkto para sa mga customer sa antas ng enterprise, mga umuusbong na teknolohiya, at mga kliyente sa mga institusyonal at tradisyonal na sektor ng pananalapi. Ang aking trabaho ay ganap na nakasentro sa seguridad. Ang aking karera sa ngayon ay nasa cybersecurity, pangunahin sa Web2. Gumugol ako ng maraming taon sa mga tradisyunal na tungkulin sa cybersecurity, nagtatrabaho sa mga lugar na katulad ng CrowdStrike at iba pang pang-araw-araw na operasyon sa seguridad.
Sa paglipas ng panahon, nakita kong mabilis na lumilipat ang merkado Web3 at kinilala ito bilang kinabukasan ng teknolohiya. Gusto kong tuklasin kung ano ang hitsura ng cybersecurity sa labas ng aking tradisyonal na background sa Web2. Dinala ako ng desisyong iyon sa Cantina, at nagtatrabaho na ako Web3 seguridad mula noon.
Ano ang mga pangunahing bentahe para sa iyong mga kliyente ng eksklusibong pagtatrabaho sa Cantina?
Noong itinatag namin ang Cantina mga apat na taon na ang nakalipas, tumuon kami sa pagbibigay-insentibo sa pinakamahusay na talento sa seguridad sa mundo na magtrabaho sa mga proyektong panseguridad. Napansin namin na maraming may kasanayang mananaliksik sa larangan ang hindi gumagawa ng seguridad, kadalasan dahil kulang sila sa awtonomiya at kakayahang pumili ng mga makabuluhang proyekto o mag-ambag ng malalim sa mga protocol.
Bumuo kami ng isang modelo upang bigyan ang mga mananaliksik ng awtonomiya, at ito ay gumana. Ngayon, ang aming network ay may kasamang talento sa lahat ng coding na wika, chain, ecosystem, at niche na kadalubhasaan. Kapag ang mga kliyente ay pumunta sa amin na may kahilingan sa seguridad, hindi lang kami nakahanap ng isang taong kwalipikado; nahanap namin ang pinakamahusay na tao sa mundo para sa trabahong iyon, ito man ay isang matalinong pag-audit ng kontrata, bug bounty, seguridad sa pagpapatakbo, pagtugon sa insidente, o pagsubok sa Web2.
Nagtrabaho ka rin sa Web2 security. Kung anong mga pangunahing uso o salaysay ang natatangi Web3?
Ang isang malaking pagkakaiba ay ang permanenteng katangian ng Web3 at kakulangan nito ng mga tagapamagitan. Sa Web2, madalas may mga third party na tutulong na mabawasan ang mga panganib o mabawi ang mga pagkalugi. Sa Web3, kung ninakaw ang mga pondo, kadalasang wala na ang mga ito. Kung walang wastong mga hakbang sa seguridad, tulad ng mga multi-sig na proteksyon o pag-pause ng transaksyon, halos imposible ang pagbawi.
Ang isa pang pangunahing kadahilanan ay iyon Web3Ang istraktura ni ay lumilikha ng mga insentibo para sa pisikal na banta sa seguridad. Maaaring direktang i-target ng mga attacker ang mga tauhan, na isang bagay na hindi gaanong karaniwan sa Web2. Ginagawa nitong mahalaga ang mga kasanayan sa seguridad sa pagpapatakbo, kabilang ang mga koponan sa pag-iingat Web3.
Anong mga sukatan ang iyong ginagamit upang sukatin ang tagumpay ng iyong mga diskarte sa seguridad sa paglipas ng panahon?
Ang pinaka-halatang sukatan ay kung ang aming mga customer ay dumaranas ng pagsasamantala pagkatapos matanggap ang aming mga serbisyo. Higit pa riyan, sinusukat namin kung paano nakakaapekto ang pinahusay na postura ng seguridad sa mga pagkakataon sa pagpopondo, pakikipagsosyo, at pangkalahatang paglago. Holistically tinitingnan namin kung gaano katibay ang seguridad na nag-aambag sa pagganap ng pananalapi, tiwala ng user, at pangmatagalang tagumpay ng isang kumpanya.
Paano mo tinuturuan ang mga non-technical leadership team tungkol sa mataas na antas ng mga panganib sa seguridad?
Gumagamit ako ng pagkukuwento at mga halimbawa sa totoong mundo. Halimbawa, maaari kong lakad ang isang pangkat ng pamumuno sa isang kilalang hack: kung anong mga hakbang sa seguridad ang mayroon ang kumpanya, kung ano ang kulang sa kanila, at ang resulta. Ang mga pangkat ng pamumuno ay hindi gaanong interesado sa mga teknikal na detalye at mas nababahala sa potensyal na epekto, kung mawawalan sila ng data, mga pondo ng customer, o mahaharap sa pinsala sa reputasyon. Ang pag-frame ng mga panganib sa seguridad ayon sa mga nakikitang resulta ay nakakatulong sa kanila na makita kung bakit mahalaga ang pamumuhunan sa seguridad.
Ano ang ilang umuusbong na vector ng pag-atake sa mga matalinong kontrata na minamaliit pa rin ng mga team?
Dahil sa Web3 nagsimula, karamihan sa mga badyet sa seguridad ay napunta sa mga matalinong kontrata. Ang mga koponan ay gumagastos ng milyun-milyon sa mga pag-audit, kumpetisyon, bug bounty, at peer review. Alam ito ng mga umaatake at inililipat ang pagtuon sa mga lugar na hindi gaanong protektado tulad ng mga bahagi ng Web2 at mga kahinaan sa pagpapatakbo. Maraming kamakailang pag-atake ang nagmula sa labas ng mga smart contract.
Tinutulungan namin ang mga team na tugunan ang imbalance na ito sa pamamagitan ng mga serbisyo tulad ng operational security, 24/7 na pagtugon sa insidente, at mga pinamamahalaang SOC team, na sumasaklaw sa buong pag-atake ng organisasyon.
Maaari bang palitan ng AI o automation ang mga bahagi ng pagsusuri sa Cantina, o hindi na mapapalitan ang kadalubhasaan ng tao?
Ito ay definitely isang hybrid na diskarte. Ginagamit na namin ang AI nang husto para sa mga gawain tulad ng mga platform ng kumpetisyon sa pag-de-spamming at pagdaragdag ng konteksto sa mga pagsusuri ng mga kasamahan. Ang AI ay mahusay sa pagtukoy ng mga kilalang kahinaan at pattern, na nagpapabilis sa paunang proseso ng pagsusuri.
Gayunpaman, ang mga umaatake ay malikhain din at lalong gumagamit ng AI mismo. Hanggang sa maging mas matalino at mapag-imbento ang AI kaysa sa mga tao, palagi naming kakailanganin ang kadalubhasaan ng tao upang labanan ang mga banta ng nobela. Ang hinaharap ay isang kumbinasyon ng tulong sa AI at mga dalubhasang mananaliksik.
Ano ang nag-udyok sa iyo na lumikha ng mga espesyal na pagtatasa na higit pa sa mga tradisyonal na pag-audit?
Binuo namin ang aming Web3 SOC framework bilang tugon sa mga pangangailangan ng kliyente. Nagsimulang hilingin sa amin ng mga asset manager at VC firm na magsagawa ng angkop na pagsusumikap sa Web3 mga kumpanya, tinatasa ang parehong mga panganib sa seguridad at pinansyal.
Napagtanto namin na walang standardized na paraan upang mabilang Web3-mga tiyak na panganib. Ang mga tradisyunal na balangkas ng pagsunod tulad ng SOC 2 o ISO ay hindi sumasaklaw Web3-mga katutubong pagbabanta. Kaya gumawa kami ng bagong pamantayan para tumulong Web3 ang mga kumpanya ay nakakuha ng pagpopondo at bumuo ng mga pakikipagsosyo, habang tinutulungan din ang mga tradisyonal na institusyong pinansyal na maunawaan kung paano makikipag-ugnayan sa Web3 ligtas.
Ang balangkas na ito ay pakikipagtulungan na ngayon sa ilan sa pinakamalalaking pangalan ng aming industriya. Nakakakuha ito ng traksyon sa tradisyonal na pananalapi at mga asset manager sa buong mundo.
Anong mga makabagong pamamaraan ng seguridad ang pinag-eeksperimento mo ngayon?
Ang AI ay isang malaking pokus. Gumagamit kami ng mga taon ng data ng bug upang bumuo ng mga tool ng AI na nagpapahusay sa pagsusuri ng code at ginagawang mas mabilis at mas epektibo ang mga pagsusuri sa seguridad. Pinapahusay din namin ang pagsubok ng bug bounty upang matiyak na ito ay mahusay at naaaksyunan.
Marami sa aming mga serbisyo ay direktang nagmumula sa mga pangangailangan ng customer, tulad ng mga bug bounty at aming Web3 balangkas ng SOC. Ngayon, nakikita namin ang pagsusuri ng code na pinapagana ng AI bilang ang susunod na hakbang sa paggawa ng mga proseso ng seguridad na mas streamlined at epektibo.
Maaari mo bang ibahagi ang roadmap ni Cantina? Anumang paparating na mga tampok?
Ang aming pinakabagong programa ay seguridad sa pagpapatakbo na may 24/7 na pagtugon sa insidente. Ang tradisyunal na pananalapi ay matagal nang umaasa sa mga SOC team at mga tool sa pagsubaybay, ngunit Web3 ay nahuhuli.
Bumuo kami ng isang programa kasama ang mga dating eksperto sa intelligence ng pagbabanta ng Coinbase upang masuri ang mga surface ng pag-atake sa kabuuan, sa Web2, Web3, pisikal, at digital na mga asset. Kapag naayos na iyon, nag-aalok kami ng pinamamahalaang serbisyo ng SOC na may mga sinanay na tool sa pagsubaybay ng mga analyst tulad ng Hypernative, Blockaid, Guardrails, at Hexagate sa buong orasan, na handang kumilos sa mga pagbabanta nang real-time.
Ang program na ito ay nakakuha na ng makabuluhang traksyon, at sa susunod, nakatuon kami sa paglulunsad ng mga tool sa pagsusuri ng code na pinapagana ng AI upang matulungan ang mga team na bumuo ng secure mula sa simula.
Panghuli, anong payo ang ibibigay mo a Web3 startup tungkol sa pagbuo ng seguridad sa roadmap nito mula sa unang araw?
Simulan ang pag-iisip tungkol sa seguridad nang maaga. Ang mga koponan na naghihintay hanggang sa yugto ng pag-audit ay kadalasang nahaharap sa mga pagkaantala, mga karagdagang pag-audit, at kung minsan ay kailangang muling i-architect ang kanilang buong produkto. Ang pamumuhunan sa seguridad mula sa simula ay nakakatipid ng oras at pera.
Inirerekomenda namin ang mga tool tulad ng pagtatasa ng code na pinapagana ng AI, mga third-party na peer review, at paggamit ng mga mapagkukunan tulad ng aming Checklist sa Kahandaan sa Pagsusuri ng Seguridad. Ang regular na pag-imbita ng mga panlabas na pananaw ay nakakatulong na matukoy ang mga kahinaan nang maaga.
Sa labas ng code, dapat ding suriin ng mga startup ang kanilang buong pag-atake sa ibabaw, parehong Web2 at Web3. Mayroon kaming mga serbisyo para sa mga kumpanya sa bawat yugto upang matulungan silang maagap na matugunan ang mga panganib. Ang pagbuo ng kulturang pang-seguridad nang maaga ay naghahanda sa iyo para sa pangmatagalang tagumpay.
Pagtanggi sa pananagutan
Sa linya na may Mga alituntunin ng Trust Project, pakitandaan na ang impormasyong ibinigay sa pahinang ito ay hindi nilayon at hindi dapat bigyang-kahulugan bilang legal, buwis, pamumuhunan, pananalapi, o anumang iba pang paraan ng payo. Mahalagang mamuhunan lamang kung ano ang maaari mong mawala at humingi ng independiyenteng payo sa pananalapi kung mayroon kang anumang mga pagdududa. Para sa karagdagang impormasyon, iminumungkahi naming sumangguni sa mga tuntunin at kundisyon pati na rin sa mga pahina ng tulong at suporta na ibinigay ng nagbigay o advertiser. MetaversePost ay nakatuon sa tumpak, walang pinapanigan na pag-uulat, ngunit ang mga kondisyon ng merkado ay maaaring magbago nang walang abiso.
Tungkol sa Ang May-akda
Si Victoria ay isang manunulat sa iba't ibang paksa ng teknolohiya kabilang ang Web3.0, AI at mga cryptocurrencies. Ang kanyang malawak na karanasan ay nagpapahintulot sa kanya na magsulat ng mga insightful na artikulo para sa mas malawak na madla.
Mas marami pang artikulo
Si Victoria ay isang manunulat sa iba't ibang paksa ng teknolohiya kabilang ang Web3.0, AI at mga cryptocurrencies. Ang kanyang malawak na karanasan ay nagpapahintulot sa kanya na magsulat ng mga insightful na artikulo para sa mas malawak na madla.
