骇客不再仅仅以程式码为目标,他们开始攻击人。在本次访谈中, Cantina (Spearbit)的 GTM 负责人Sharon Ideguchi回顾了她从传统网路安全转向 Web3 的历程,剖析了攻击者如何转移攻击重点,并解释了她的团队为何要构建新的安全框架,以保护这个快速发展的行业中的企业。
能分享一下您的 Web3 之旅吗?
我叫 Sharon Ideguchi,在 Cantina 负责销售策略工作。我专注于为企业级客户、新兴技术以及机构和传统金融领域的客户打造客制化产品。我的工作完全围绕著安全。迄今为止,我的职业生涯一直致力于网路安全,主要在 Web2 领域。我曾在传统网路安全岗位上工作多年,涉及的领域包括 CrowdStrike 和其他日常安全营运。
随著时间的推移,我看到市场迅速转向 Web3,并意识到它是技术的未来。我想探索超越我传统 Web2 背景之外的网路安全。这个决定让我加入了 Cantina,从那时起我就一直致力于 Web3 安全工作。
对于您的客户来说,与 Cantina 独家合作的主要优势是什么?
大约四年前,我们创立 Cantina 时,致力于激励全球最优秀的安全人才参与安全计划。我们注意到,许多业内高技能的研究人员并没有投入到安全领域,这往往是因为他们缺乏自主权,无法选择有意义的项目或为协议做出深入贡献。
我们建立了一个模型,赋予研究者自主权,并且取得了成效。如今,我们的人才网路涵盖了所有程式语言、区块链、生态系统和专业领域。当客户向我们提出安全请求时,我们不仅会找到符合资格的人才,还会找到世界上最适合这项工作的人,无论是智慧合约审计、漏洞赏金、营运安全、事件回应还是 Web2 测试。
您也从事过 Web2 安全工作。 Web3 有哪些独特的关键趋势或叙事?
Web3 的一个主要区别在于其永久性和缺乏中介机构。在 Web2 中,通常会有第三方协助降低风险或追回损失。而在 Web3 中,如果资金被盗,通常就化为乌有。如果没有适当的安全措施,例如多重签名保护或交易暂停,几乎不可能恢复。
另一个关键因素是,Web3 的结构会诱发实体安全威胁。攻击者可能会直接攻击人员,而这在 Web2 中并不常见。这使得包括团队安全在内的营运安全实践在 Web3 中至关重要。
您使用什么指标来衡量您的安全策略的长期成功?
最显而易见的指标是我们的客户在接受我们的服务后是否遭受攻击。除此之外,我们也会衡量改善的安全态势如何影响融资机会、伙伴关系和整体成长。我们全面审视强大的安全性如何促进公司的财务表现、使用者信任度和长期成功。
您如何教育非技术领导团队了解高阶安全风险?
我运用故事和现实案例来讲述。例如,我可能会带领领导团队回顾一次著名的骇客攻击事件:公司采取了哪些安全措施,哪些方面有所欠缺,以及后果如何。领导团队对技术细节较不感兴趣,他们更关心潜在的影响,例如资料遗失、客户资金损失,还是声誉受损。用实际的后果来描述安全风险,有助于他们理解投资安全的重要性。
智能合约中有哪些新兴的攻击媒介是团队仍然低估的?
自 Web3 诞生以来,大部分安全预算都投入了智能合约。各团队在审计、竞赛、漏洞赏金和同侪评审上投入了数百万美元。攻击者深知这一点,并将目标转向了 Web2 元件和操作漏洞等防护较弱的领域。近期许多攻击都源自于智能合约之外。
我们正在透过营运安全、全天候事件回应和托管 SOC 团队等服务来帮助团队解决这种不平衡问题,涵盖整个组织攻击面。
人工智慧或自动化是否能取代 Cantina 评论的部分工作,还是人类的专业知识是不可取代的?
这绝对是一种混合方法。我们已经广泛使用人工智慧来完成诸如去除竞争平台垃圾资讯以及为同行评审添加背景资讯等任务。人工智慧非常擅长识别已知的漏洞和模式,从而加快了初始评审流程。
然而,攻击者也富有创造力,他们自己也越来越多地使用人工智慧。在人工智慧变得比人类更聪明、更有创造力之前,我们始终需要人类的专业知识来应对新的威胁。未来是人工智慧辅助与熟练研究人员结合的时代。
是什么启发您创造超越传统审计的专业评估?
我们根据客户需求开发了 Web3 SOC 框架。资产管理公司和创投公司开始要求我们对 Web3 公司进行尽职调查,评估其安全性和财务风险。
我们意识到,目前尚无标准化方法来量化 Web3 特有的风险。 SOC 2 或 ISO 等传统合规架构并未涵盖 Web3 原生威胁。因此,我们创建了一项新标准,旨在帮助 Web3 公司获得资金并建立合作伙伴关系,同时也帮助传统金融机构了解如何安全地与 Web3 互动。
该框架目前正与业内一些巨头合作,并在全球范围内受到传统金融和资产管理公司的青睐。
您目前正在尝试哪些创新的安全方法?
人工智慧是我们的重点。我们正在利用多年的漏洞资料建立人工智慧工具,以改善程式码分析,并提高安全审查的效率和成本效益。我们也正在改进漏洞赏金分类机制,以确保其高效且切实可行。
我们的许多服务直接源自于客户需求,例如漏洞赏金计划和我们的 Web3 SOC 框架。如今,我们将 AI 驱动的程式码分析视为使安全流程更加精简和高效的下一步。
可以分享一下 Cantina 的路线图吗?有什么即将推出的功能吗?
我们最新的项目是营运安全,提供全天候事件回应。传统金融长期以来依赖 SOC 团队和监控工具,但 Web3 在这方面已经落后了。
我们与前 Coinbase 威胁情报专家合作,建立了一个项目,用于全面评估 Web2、Web3、实体和数位资产的攻击面。专案完成后,我们将提供托管 SOC 服务,由训练有素的分析师全天候监控 Hypernative、Blockaid、Guardrails 和 Hexagate 等工具,随时准备即时应对威胁。
该计划已经获得了显著的关注,接下来,我们将专注于推出人工智慧程式码分析工具,帮助团队从一开始就安全地建立。
最后,您会给 Web3 新创公司什么建议,让他们从第一天起就将安全性纳入其路线图?
尽早考虑安全性。等到审计阶段才开始的团队通常会面临延误、额外审计,有时甚至需要重新建构整个产品架构。从一开始就投资安全性可以节省时间和金钱。
我们推荐使用 AI 程式码分析、第三方同侪审查等工具,以及我们的安全审查准备清单等资源。定期听取外部意见有助于及早发现漏洞。
除了程式码之外,新创公司还应该评估其全面的攻击面,包括 Web2 和 Web3。我们为各阶段的公司提供服务,帮助他们主动应对风险。尽早建立安全第一的文化,为您的长期成功奠定基础。
使用 Cantina 保护数位资产生态系统的文章最早出现在元宇宙 Post 。
