Đội ngũ Web3 rất có thể bỏ qua không phải các lỗ hổng bảo mật của sản phẩm, mà là các "vấn đề nhỏ" như tài khoản, thiết bị và quyền truy cập.
Tác giả bài viết: OneKey Jonas C
Nguồn bài viết: Ngô Thạc
Đội ngũ Web3 rất có thể bỏ qua không phải các lỗ hổng bảo mật của sản phẩm, mà là các "vấn đề nhỏ" như tài khoản, thiết bị và quyền truy cập.
Cần phải có những ranh giới rõ ràng về việc ai có thể truy cập vào hệ thống phụ trợ, ai có thể đăng thông báo và ai có thể thực hiện các thao tác Chuỗi.
Hướng dẫn an toàn cơ bản sau đây có thể giúp bạn khắc phục những điểm mù này.
Quản lý tài khoản
Bảo mật tài khoản xoay quanh ba yếu tố: ai có thể truy cập, họ có thể truy cập từ đâu và liệu quyền truy cập có thể được kiểm soát bất cứ lúc nào hay không.
Nếu bạn quản lý tốt ba điểm này, bạn không cần thực hiện bất kỳ thao tác phức tạp nào khác.
Xác thực đa lớp (MFA)
Thêm lớp xác thực thứ hai trong quá trình đăng nhập, chẳng hạn như ứng dụng xác thực, khóa phần cứng hoặc Passkey, để ngăn chặn việc chiếm đoạt tài khoản do rò rỉ thông tin đăng nhập. Lý tưởng nhất là người quản lý nên yêu cầu tất cả mọi người phải bật xác thực đa yếu tố (MFA); bất kỳ ai không có xác thực đa yếu tố sẽ bị cấm đăng nhập vào hệ thống.
Trình quản lý mật khẩu doanh nghiệp
Sử dụng các công cụ quản lý mật khẩu chuyên nghiệp (như 1Password) để tạo mật khẩu mạnh và chia sẻ chúng một cách an toàn trong đội ngũ. Độ mạnh của mật khẩu được tạo tự động, việc chia sẻ được kiểm soát và các thao tác được ghi nhật ký, loại bỏ sự cần thiết phải dựa vào "ai nhớ mật khẩu máy chủ" để duy trì trật tự.
Kiểm soát truy cập dựa trên nhân vật
Quyền truy cập nên được phân bổ theo vai trò công việc. Lập trình viên nên quản lý mã nguồn, bộ phận vận hành nên quản lý hệ thống máy chủ, và bộ phận tài chính nên quản lý ví điện tử; tránh tình trạng "bất cứ ai cũng có thể truy cập mọi thứ chỉ trong nháy mắt". Khi một người rời công ty, quyền truy cập của họ nên được thu hồi ngay lập tức.
"Bảo mật thiết bị và mạng"
Bảo mật không chỉ đơn thuần là bảo mật tài khoản. Máy tính bạn sử dụng và mạng bạn kết nối cũng quyết định khả năng bảo vệ tài sản. Tất cả các thiết bị có thể truy cập tài nguyên của công ty đều phải an toàn, đáng tin cậy và có thể truy vết.
Quyền truy cập thiết bị
Mỗi máy tính làm việc nên được crypto, mở khóa bằng mật khẩu hoặc dấu vân tay và tự động khóa khi người dùng rời khỏi bàn làm việc. Nếu thiết bị gặp sự cố hoặc bị mất, người quản trị có thể khóa máy từ xa và xóa dữ liệu, ngăn chặn việc máy tính xách tay trở thành cổng thông tin.
Bất cứ ai để màn hình máy tính mở toang đều nên bị trừ lương!
Quản lý mã
Quy trình cập nhật và xem xét theo từng cấp độ: Các bản vá lỗi bảo mật cần được phát hành kịp thời; nâng cấp phiên bản chính, gói cài đặt của bên thứ ba và các bản cập nhật thư viện phụ thuộc phải trải qua quá trình xem xét khả năng tương thích và bảo mật để ngăn ngừa rủi ro do cập nhật tự động hoặc sự xâm nhập Chuỗi cung ứng gây ra.
Bảo mật mạng và hoàn cảnh vật lý
Tuyệt đối không đăng nhập vào hệ thống quản trị hoặc sử dụng ví điện tử trên mạng Wi-Fi của quán cà phê. Việc truy cập khóa, cấp quyền triển khai và quản lý tài khoản phải được thực hiện trên thiết bị đáng tin cậy và được xác nhận bằng chữ ký khóa phần cứng. Nếu cần mang theo thiết bị ký điện tử, hãy nhớ tạo bản sao lưu crypto và giữ riêng biệt với máy tính bạn dùng hàng ngày; nếu không, bạn sẽ mất tất cả dữ liệu.
"Quản lý Chuỗi chuỗi"
Tài sản Chuỗi là nguồn lực cốt lõi cho các dự án Web3. Ngay cả Bybit cũng từng gặp khó khăn; liệu bạn có thể đảm bảo mình sẽ làm tốt hơn? Dưới đây là một vài lời khuyên.
Quản lý ví phần cứng ngoại tuyến
Luôn sử dụng ví phần cứng và không bao giờ để ví quan trọng trong hoàn cảnh dễ bị tấn công. Việc tạo và ký khóa private key nên được thực hiện bằng ví phần cứng và phải được giữ ngoại tuyến. Ví có quyền hạn cao lý tưởng nhất nên có giới hạn hoạt động và cảnh báo, và chữ ký phải có thể truy vết.
Giải pháp cộng tác tính toán bên long(MPC)
Đừng private key cho một người: hãy sử dụng phương pháp tính toán bên long để chia private key thành nhiều phần và yêu cầu nhiều người cùng ký vào đó.
Ngưỡng chữ ký có thể được thiết lập dựa trên số tiền liên quan: chữ ký nhanh cho số tiền nhỏ, nhiều chữ ký cho số tiền lớn. Sự hợp tác phân tán đảm bảo rằng nếu một người mắc lỗi, cả nhóm có thể can thiệp và khắc phục.
Các cấp độ tài trợ và hạn chế về thẩm quyền
Tốt nhất là nên quản lý ví của đội ngũ theo từng lớp. Ví nhỏ dùng cho hoạt động hàng ngày, quỹ cho hoạt động tiếp thị và quỹ dự trữ dài hạn nên được quản lý riêng biệt để tránh bị mất trắng hoàn toàn trong trường hợp gặp sự cố.
Các hoạt động quan trọng không nên do một người quyết định một mình. Những hành động như chuyển tiền và thực hiện hợp đồng cần được nhiều người xác nhận, và quyền hạn cần dựa trên chức vụ và nhiệm vụ– người chịu trách nhiệm ký tên, và nhiệm vụ sẽ tự động bị thu hồi khi nhiệm vụ hoàn thành.
"Hệ thống đăng nhập thống nhất của công ty (SSO)"
Cách tiếp cận đúng đắn là quản lý tất cả các tài khoản của công ty một cách thống nhất; các xưởng nhỏ không bao giờ nên hoạt động như những cơ sở tạm bợ.
Việc sử dụng SSO cho phép nhân viên truy cập tất cả các dịch vụ được kết nối trong tổ chức (như email, Notion, Slack, GitHub, v.v.) chỉ với một lần xác thực duy nhất, tránh được rủi ro liên quan đến quản lý phân tán.
Các giải pháp phổ biến bao gồm Google Workspace, Okta và Azure AD. Chúng đủ dùng nếu bạn không muốn tự xây dựng hệ thống riêng, đặc biệt là các hệ thống đăng nhập thống nhất gọn nhẹ như Google Workspace, vốn đã mang lại lợi ích cho nhiều đội ngũ.
"Huấn luyện nâng cao nhận thức"
Hoàn thiện hướng dẫn an toàn của công ty
Nhiệm vụ và quyền hạn của từng vị trí phải được xác định rõ ràng để có thể phân công trách nhiệm khi phát sinh vấn đề. Việc truy cập trái phép, cấp quyền trái phép và chia sẻ thông tin với bên ngoài phải bị xử lý nghiêm khắc.
đào tạo nâng cao nhận thức về an toàn
Việc đào tạo không nên quá rườm rà. Hãy sử dụng các công cụ AI hoặc các nền tảng B2B hiện có để tạo ra ngân hàng câu hỏi tương tác hoặc bài tập mô phỏng, định kì kiểm tra phản ứng chống Phishing của mọi người. Luôn tốt hơn là chủ động phòng tránh các cạm bẫy như email Phishing, airdrop giả mạo và dịch vụ khách hàng giả mạo hơn là xem xét lại sau khi sự cố xảy ra.
Hiện đã có những giải pháp cấp doanh nghiệp hoàn thiện trên thị trường, chẳng hạn như Riot (@tryriotdotcom), có thể được sử dụng kết hợp với các công cụ như Slack và Gmail để giúp nhân viên phát triển những thói quen tốt trong công việc hàng ngày.
"Kết thúc"
Muốn rũ bỏ cái mác "tạm bợ"? Trước tiên hãy nắm vững những điều cơ bản, từ tài khoản và quyền hạn đến thiết bị và ví điện tử.
An toàn không phải là điều hấp dẫn, nhưng nó có thể giúp bạn sống lâu hơn.
