駭客不再僅僅以程式碼為目標,他們開始攻擊人。在本次訪談中, Cantina (Spearbit)的 GTM 負責人Sharon Ideguchi回顧了她從傳統網路安全轉向 Web3 的歷程,剖析了攻擊者如何轉移攻擊重點,並解釋了她的團隊為何要構建新的安全框架,以保護這個快速發展的行業中的企業。
能分享一下您的 Web3 之旅嗎?
我叫 Sharon Ideguchi,在 Cantina 負責銷售策略工作。我專注於為企業級客戶、新興技術以及機構和傳統金融領域的客戶打造客製化產品。我的工作完全圍繞著安全。迄今為止,我的職業生涯一直致力於網路安全,主要在 Web2 領域。我曾在傳統網路安全崗位上工作多年,涉及的領域包括 CrowdStrike 和其他日常安全營運。
隨著時間的推移,我看到市場迅速轉向 Web3,並意識到它是技術的未來。我想探索超越我傳統 Web2 背景之外的網路安全。這個決定讓我加入了 Cantina,從那時起我就一直致力於 Web3 安全工作。
對於您的客戶來說,與 Cantina 獨家合作的主要優勢是什麼?
大約四年前,我們創立 Cantina 時,致力於激勵全球最優秀的安全人才參與安全計畫。我們注意到,許多業內高技能的研究人員並沒有投入到安全領域,這往往是因為他們缺乏自主權,無法選擇有意義的項目或為協議做出深入貢獻。
我們建立了一個模型,賦予研究者自主權,並且取得了成效。如今,我們的人才網路涵蓋了所有程式語言、區塊鏈、生態系統和專業領域。當客戶向我們提出安全請求時,我們不僅會找到符合資格的人才,還會找到世界上最適合這項工作的人,無論是智慧合約審計、漏洞賞金、營運安全、事件回應還是 Web2 測試。
您也從事過 Web2 安全工作。 Web3 有哪些獨特的關鍵趨勢或敘事?
Web3 的一個主要區別在於其永久性和缺乏中介機構。在 Web2 中,通常會有第三方協助降低風險或追回損失。而在 Web3 中,如果資金被盜,通常就化為烏有。如果沒有適當的安全措施,例如多重簽名保護或交易暫停,幾乎不可能恢復。
另一個關鍵因素是,Web3 的結構會誘發實體安全威脅。攻擊者可能會直接攻擊人員,而這在 Web2 中並不常見。這使得包括團隊安全在內的營運安全實踐在 Web3 中至關重要。
您使用什麼指標來衡量您的安全策略的長期成功?
最顯而易見的指標是我們的客戶在接受我們的服務後是否遭受攻擊。除此之外,我們也會衡量改善的安全態勢如何影響融資機會、夥伴關係和整體成長。我們全面審視強大的安全性如何促進公司的財務表現、使用者信任度和長期成功。
您如何教育非技術領導團隊了解高階安全風險?
我運用故事和現實案例來講述。例如,我可能會帶領領導團隊回顧一次著名的駭客攻擊事件:公司採取了哪些安全措施,哪些方面有所欠缺,以及後果如何。領導團隊對技術細節較不感興趣,他們更關心潛在的影響,例如資料遺失、客戶資金損失,還是聲譽受損。用實際的後果來描述安全風險,有助於他們理解投資安全的重要性。
智能合約中有哪些新興的攻擊媒介是團隊仍然低估的?
自 Web3 誕生以來,大部分安全預算都投入了智能合約。各團隊在審計、競賽、漏洞賞金和同儕評審上投入了數百萬美元。攻擊者深知這一點,並將目標轉向了 Web2 元件和操作漏洞等防護較弱的領域。近期許多攻擊都源自於智能合約之外。
我們正在透過營運安全、全天候事件回應和託管 SOC 團隊等服務來幫助團隊解決這種不平衡問題,涵蓋整個組織攻擊面。
人工智慧或自動化是否能取代 Cantina 評論的部分工作,還是人類的專業知識是不可取代的?
這絕對是一種混合方法。我們已經廣泛使用人工智慧來完成諸如去除競爭平台垃圾資訊以及為同行評審添加背景資訊等任務。人工智慧非常擅長識別已知的漏洞和模式,從而加快了初始評審流程。
然而,攻擊者也富有創造力,他們自己也越來越多地使用人工智慧。在人工智慧變得比人類更聰明、更有創造力之前,我們始終需要人類的專業知識來應對新的威脅。未來是人工智慧輔助與熟練研究人員結合的時代。
是什麼啟發您創造超越傳統審計的專業評估?
我們根據客戶需求開發了 Web3 SOC 框架。資產管理公司和創投公司開始要求我們對 Web3 公司進行盡職調查,評估其安全性和財務風險。
我們意識到,目前尚無標準化方法來量化 Web3 特有的風險。 SOC 2 或 ISO 等傳統合規架構並未涵蓋 Web3 原生威脅。因此,我們創建了一項新標準,旨在幫助 Web3 公司獲得資金並建立合作夥伴關係,同時也幫助傳統金融機構了解如何安全地與 Web3 互動。
該框架目前正與業內一些巨頭合作,並在全球範圍內受到傳統金融和資產管理公司的青睞。
您目前正在嘗試哪些創新的安全方法?
人工智慧是我們的重點。我們正在利用多年的漏洞資料建立人工智慧工具,以改善程式碼分析,並提高安全審查的效率和成本效益。我們也正在改進漏洞賞金分類機制,以確保其高效且切實可行。
我們的許多服務直接源自於客戶需求,例如漏洞賞金計畫和我們的 Web3 SOC 框架。如今,我們將 AI 驅動的程式碼分析視為使安全流程更加精簡和高效的下一步。
可以分享一下 Cantina 的路線圖嗎?有什麼即將推出的功能嗎?
我們最新的項目是營運安全,提供全天候事件回應。傳統金融長期以來依賴 SOC 團隊和監控工具,但 Web3 在這方面已經落後了。
我們與前 Coinbase 威脅情報專家合作,建立了一個項目,用於全面評估 Web2、Web3、實體和數位資產的攻擊面。專案完成後,我們將提供託管 SOC 服務,由訓練有素的分析師全天候監控 Hypernative、Blockaid、Guardrails 和 Hexagate 等工具,隨時準備即時應對威脅。
該計劃已經獲得了顯著的關注,接下來,我們將專注於推出人工智慧程式碼分析工具,幫助團隊從一開始就安全地建立。
最後,您會給 Web3 新創公司什麼建議,讓他們從第一天起就將安全性納入其路線圖?
儘早考慮安全性。等到審計階段才開始的團隊通常會面臨延誤、額外審計,有時甚至需要重新建構整個產品架構。從一開始就投資安全性可以節省時間和金錢。
我們推薦使用 AI 程式碼分析、第三方同儕審查等工具,以及我們的安全審查準備清單等資源。定期聽取外部意見有助於及早發現漏洞。
除了程式碼之外,新創公司還應該評估其全面的攻擊面,包括 Web2 和 Web3。我們為各階段的公司提供服務,幫助他們主動應對風險。儘早建立安全第一的文化,為您的長期成功奠定基礎。
使用 Cantina 保護數位資產生態系統的文章最早出現在元宇宙 Post 。
