Tin tặc không chỉ nhắm vào mã nguồn nữa, mà còn nhắm vào con người. Trong cuộc phỏng vấn này, Sharon Ideguchi , trưởng nhóm GTM tại Cantina (Spearbit) , chia sẻ về hành trình của mình từ an ninh mạng truyền thống đến Web3, phân tích cách thức kẻ tấn công đang chuyển hướng tập trung và giải thích lý do tại sao nhóm của cô đang xây dựng các khuôn khổ bảo mật mới để bảo vệ các công ty trong một ngành công nghiệp đang phát triển nhanh chóng hơn bao giờ hết.
Bạn có thể chia sẻ hành trình đến với Web3 của mình không?
Tôi tên là Sharon Ideguchi, và tôi làm việc tại Cantina về chiến lược bán hàng. Tôi tập trung vào việc tạo ra các sản phẩm tùy chỉnh cho khách hàng doanh nghiệp, các công nghệ mới nổi và khách hàng trong lĩnh vực tài chính truyền thống và tổ chức. Công việc của tôi hoàn toàn tập trung vào bảo mật. Sự nghiệp của tôi cho đến nay là trong lĩnh vực an ninh mạng, chủ yếu là Web2. Tôi đã có nhiều năm kinh nghiệm trong các vai trò an ninh mạng truyền thống, làm việc trong các lĩnh vực tương tự như CrowdStrike và các hoạt động bảo mật thường nhật khác.
Theo thời gian, tôi nhận thấy thị trường đang nhanh chóng chuyển dịch sang Web3 và nhận ra đây chính là tương lai của công nghệ. Tôi muốn khám phá xem an ninh mạng sẽ như thế nào ngoài nền tảng Web2 truyền thống của mình. Quyết định đó đã dẫn tôi đến Cantina, và tôi đã làm việc trong lĩnh vực bảo mật Web3 kể từ đó.
Khách hàng của bạn sẽ nhận được những lợi ích chính nào khi làm việc độc quyền với Cantina?
Khi thành lập Cantina khoảng bốn năm trước, chúng tôi tập trung vào việc khuyến khích những tài năng bảo mật hàng đầu thế giới tham gia vào các dự án bảo mật. Chúng tôi nhận thấy nhiều nhà nghiên cứu có tay nghề cao trong lĩnh vực này không làm việc về bảo mật, thường là do họ thiếu sự tự chủ và khả năng lựa chọn các dự án có ý nghĩa hoặc đóng góp sâu sắc vào các giao thức.
Chúng tôi đã xây dựng một mô hình để trao cho các nhà nghiên cứu quyền tự chủ đó, và nó đã thành công. Hiện nay, mạng lưới của chúng tôi bao gồm nhân tài trên tất cả các ngôn ngữ lập trình, chuỗi, hệ Kiểm định hợp đồng thông minh, săn lỗi nhận tiền thưởng, bảo mật vận hành, ứng phó sự cố hay thử nghiệm Web2.
Anh cũng đã từng làm việc trong lĩnh vực bảo mật Web2. Những xu hướng hoặc câu chuyện chính nào nổi bật và độc đáo đối với Web3?
Một điểm khác biệt lớn là tính chất cố định của Web3 và việc thiếu các bên trung gian. Trong Web2, thường có các bên thứ ba hỗ trợ giảm thiểu rủi ro hoặc thu hồi tổn thất. Trong Web3, nếu tiền bị đánh cắp, chúng thường biến mất. Nếu không có các biện pháp bảo mật phù hợp, chẳng hạn như bảo vệ đa chữ ký hoặc tạm dừng giao dịch, việc thu hồi gần như là không thể.
Một yếu tố quan trọng khác là cấu trúc của Web3 tạo ra động lực cho các mối đe dọa an ninh vật lý. Kẻ tấn công có thể nhắm trực tiếp vào nhân sự, điều này ít phổ biến hơn nhiều ở Web2. Điều này khiến các biện pháp bảo mật vận hành, bao gồm cả việc bảo vệ đội ngũ, trở nên thiết yếu trong Web3.
Bạn sử dụng số liệu nào để đo lường sự thành công của các chiến lược bảo mật theo thời gian?
Tiêu chí rõ ràng nhất là liệu khách hàng của chúng tôi có bị khai thác sau khi sử dụng dịch vụ hay không. Ngoài ra, chúng tôi còn đo lường mức độ ảnh hưởng của việc cải thiện an ninh mạng đến các cơ hội tài trợ, quan hệ đối tác và tăng trưởng tổng thể. Chúng tôi xem xét một cách toàn diện mức độ bảo mật mạnh mẽ đóng góp như thế nào vào hiệu suất tài chính, niềm tin của người dùng và thành công lâu dài của một công ty.
Làm thế nào để giáo dục các nhóm lãnh đạo không chuyên về kỹ thuật về các rủi ro bảo mật cấp cao?
Tôi sử dụng các câu chuyện kể và ví dụ thực tế. Ví dụ, tôi có thể hướng dẫn đội ngũ lãnh đạo về một vụ hack nổi tiếng: công ty đã triển khai những biện pháp bảo mật nào, những gì còn thiếu sót và hậu quả. Đội ngũ lãnh đạo ít quan tâm đến chi tiết kỹ thuật mà quan tâm hơn đến tác động tiềm ẩn, liệu họ có bị mất dữ liệu, tiền của khách hàng hay phải đối mặt với tổn hại về uy tín hay không. Việc định hình rủi ro bảo mật dưới góc độ kết quả hữu hình giúp họ thấy được tầm quan trọng của việc đầu tư vào bảo mật.
Một số vectơ tấn công mới nổi trong hợp đồng thông minh mà các nhóm vẫn đánh giá thấp là gì?
Kể từ khi Web3 ra đời, hầu hết ngân sách bảo mật đã được dành cho hợp đồng thông minh. Các nhóm chi hàng triệu đô la cho kiểm toán, cuộc thi, tiền thưởng lỗi và đánh giá ngang hàng. Kẻ tấn công biết điều này và đang chuyển hướng sang các lĩnh vực ít được bảo vệ hơn như các thành phần Web2 và lỗ hổng vận hành. Nhiều cuộc tấn công gần đây bắt nguồn từ bên ngoài hợp đồng thông minh.
Chúng tôi đang giúp các nhóm giải quyết sự mất cân bằng này thông qua các dịch vụ như bảo mật hoạt động, ứng phó sự cố 24/7 và các nhóm SOC được quản lý, bao phủ toàn bộ bề mặt tấn công của tổ chức.
Liệu AI hoặc tự động hóa có thể thay thế một số phần trong bài đánh giá Cantina hay không, hay chuyên môn của con người là không thể thay thế?
Đây chắc chắn là một phương pháp kết hợp. Chúng tôi đã sử dụng AI rộng rãi cho các nhiệm vụ như loại bỏ thư rác trên nền tảng cạnh tranh và thêm ngữ cảnh vào đánh giá ngang hàng. AI rất xuất sắc trong việc xác định các lỗ hổng và mô hình đã biết, giúp đẩy nhanh quá trình đánh giá ban đầu.
Tuy nhiên, kẻ tấn công cũng rất sáng tạo và ngày càng sử dụng AI. Cho đến khi AI trở nên thông minh và sáng tạo hơn con người, chúng ta sẽ luôn cần đến chuyên môn của con người để chống lại các mối đe dọa mới. Tương lai là sự kết hợp giữa hỗ trợ của AI và các nhà nghiên cứu lành nghề.
Điều gì đã truyền cảm hứng cho bạn để tạo ra các đánh giá chuyên biệt ngoài các cuộc kiểm toán truyền thống?
Chúng tôi đã phát triển khuôn khổ Web3 SOC để đáp ứng nhu cầu của khách hàng. Các nhà quản lý tài sản và công ty đầu tư mạo hiểm bắt đầu yêu cầu chúng tôi thực hiện thẩm định chuyên sâu đối với các công ty Web3, đánh giá cả rủi ro bảo mật và rủi ro tài chính.
Chúng tôi nhận thấy không có phương pháp chuẩn hóa nào để định lượng các rủi ro cụ thể của Web3. Các khuôn khổ tuân thủ truyền thống như SOC 2 hoặc ISO không bao gồm các mối đe dọa gốc của Web3. Vì vậy, chúng tôi đã tạo ra một tiêu chuẩn mới để giúp các công ty Web3 đảm bảo nguồn tài trợ và xây dựng quan hệ đối tác, đồng thời giúp các tổ chức tài chính truyền thống hiểu cách tương tác an toàn với Web3.
Khung này hiện đang hợp tác với một số tên tuổi lớn nhất trong ngành. Nó đang thu hút sự chú ý của các nhà quản lý tài chính và tài sản truyền thống trên toàn thế giới.
Hiện tại bạn đang thử nghiệm những phương pháp bảo mật sáng tạo nào?
Trí săn lỗi nhận tiền thưởng để đảm bảo tính hiệu quả và khả thi.
Nhiều dịch vụ của chúng tôi xuất phát trực tiếp từ nhu cầu của khách hàng, chẳng hạn như chương trình tiền thưởng lỗi và khuôn khổ Web3 SOC. Ngày nay, chúng tôi coi phân tích mã bằng AI là bước tiếp theo trong việc đơn giản hóa và hiệu quả hóa quy trình bảo mật.
Bạn có thể chia sẻ lộ trình của Cantina không? Có tính năng nào sắp ra mắt không?
Chương trình mới nhất của chúng tôi là bảo mật vận hành với khả năng ứng phó sự cố 24/7. Tài chính truyền thống từ lâu đã dựa vào các nhóm SOC và công cụ giám sát, nhưng Web3 đã tụt hậu.
Chúng tôi đã xây dựng một chương trình với các cựu chuyên gia tình báo mối đe dọa của Coinbase để đánh giá toàn diện các bề mặt tấn công, trên toàn bộ Web2, Web3, tài sản vật lý và kỹ thuật số. Sau khi hoàn tất, chúng tôi cung cấp dịch vụ SOC được quản lý với các nhà phân tích được đào tạo bài bản, giám sát các công cụ như Hypernative, Blockaid, Guardrails và Hexagate 24/7, sẵn sàng hành động khi có mối đe dọa theo thời gian thực.
Chương trình này đã đạt được sức hút đáng kể và tiếp theo, chúng tôi tập trung vào việc ra mắt các công cụ phân tích mã hỗ trợ AI để giúp các nhóm xây dựng an toàn ngay từ đầu.
Cuối cùng, bạn sẽ đưa ra lời khuyên gì cho một công ty khởi nghiệp Web3 về việc xây dựng bảo mật vào lộ trình của mình ngay từ ngày đầu tiên?
Hãy bắt đầu nghĩ đến bảo mật ngay từ đầu. Các nhóm chờ đến giai đoạn kiểm toán thường gặp phải sự chậm trễ, kiểm toán bổ sung và đôi khi cần phải thiết kế lại toàn bộ sản phẩm. Đầu tư vào bảo mật ngay từ đầu sẽ giúp tiết kiệm thời gian và tiền bạc.
Chúng tôi khuyến nghị các công cụ như phân tích mã bằng AI, đánh giá ngang hàng của bên thứ ba và sử dụng các tài nguyên như Danh sách Kiểm tra Mức độ Sẵn sàng Đánh giá Bảo mật của chúng tôi. Việc thường xuyên mời các chuyên gia bên ngoài tham gia giúp xác định sớm các lỗ hổng.
Ngoài mã nguồn, các công ty khởi nghiệp cũng nên đánh giá toàn bộ bề mặt tấn công của mình, cả Web2 và Web3. Chúng tôi có các dịch vụ hỗ trợ doanh nghiệp ở mọi giai đoạn để giúp họ chủ động giải quyết rủi ro. Xây dựng văn hóa đặt bảo mật lên hàng đầu ngay từ đầu sẽ giúp bạn thành công lâu dài.
Bài đăng Bảo mật hệ sinh thái tài sản kỹ thuật số với Cantina xuất hiện đầu tiên trên Metaverse Post .
