Diálogo con el Director Adjunto de Seguridad de la Información de Mysten Labs: Consideraciones de seguridad, diseño y práctica de Sui Blockchain

Recientemente, tuvimos una conversación cara a cara con Christian Thompson, director adjunto de seguridad de la información de Mysten Labs, para conocer sus puntos de vista sobre la interconexión de las prácticas de seguridad, así como sus observaciones y comentarios sobre las prácticas de seguridad de los desarrolladores de Sui.

El siguiente es el contenido de esta entrevista:

P1 Para las empresas de tecnología, ¿cuál es la responsabilidad del CISO?

Las responsabilidades de los directores de seguridad de la información (CISO) son amplias y desempeñan un papel vital en la protección de nuestro entorno digital. Una de las tareas clave es recopilar información sobre amenazas, lo que implica obtener información sobre las mentes de los atacantes potenciales: quiénes son, por qué podrían estar atacando, cuándo podrían atacar, qué los impulsa y qué tan hábiles son en el grado de métodos de ataque. .

Al tener una visión clara de los posibles adversarios y comprender sus capacidades, podemos tomar medidas proactivas para proteger nuestros sistemas. Puede compararlo con un rompecabezas: si sabemos quiénes son los jugadores del rompecabezas y cómo funcionan, podemos juntar las piezas de manera más eficiente. Por ejemplo, podemos combinar sus tácticas conocidas con áreas de nuestro sistema que probablemente sean más vulnerables. Es como tener un sistema de defensa para hacer sonar la alarma en el momento en que alguien intente traspasar nuestros límites digitales.

Al igual que un sistema de alarma nos alerta cuando alguien intenta ingresar a nuestra casa, esta configuración de defensa puede alertarnos en tiempo real de cualquier actividad sospechosa. Esto significa que podemos responder rápidamente a las amenazas potenciales y tomar las medidas adecuadas para mitigar los riesgos.

Estos enfoques cubren una amplia gama de áreas, incluida la ciberseguridad, la gestión de datos, el riesgo entre dominios, la arquitectura, el cumplimiento, la gobernanza, la resiliencia y la generación de informes.

Parte del rol del CISO también se extiende a la protección de los miembros internos del equipo. Dedicamos mucho esfuerzo a comprender cuán riesgosos son los miembros de nuestro equipo. Estos niveles de riesgo pueden cambiar significativamente, especialmente cuando los miembros del equipo viajan a áreas violentas o inseguras.

P 2. Al considerar una cadena de bloques L1 como Sui, ¿en qué se diferenciarán los problemas de seguridad?

Para crear una estrategia de defensa cohesiva como la cadena de bloques Sui, se deben combinar múltiples funciones y servicios. Esta estrategia debe centrarse en áreas consideradas débiles, pero no se detiene allí: la comunidad Sui tiene la responsabilidad de proteger los intereses de todo el ecosistema, incluida la red y los desarrolladores que crean aplicaciones en la plataforma Sui. Lograr la excelencia en seguridad es una tarea costosa y desafiante, especialmente para las empresas emergentes.

Para abordar esto, la Fundación Sui está desarrollando un producto que extenderá las medidas de seguridad al ecosistema más grande. En efecto, la Fundación Sui proporcionará a las empresas más pequeñas herramientas y servicios de seguridad que normalmente solo están disponibles para las organizaciones más grandes. Esto les permite construir en un entorno más seguro, lo que aumenta la confianza de los usuarios finales y los reguladores. Nuestro objetivo es asegurarnos de que cuando las personas construyan sobre Sui, no solo sean productivas sino también seguras.

P3 ¿Qué herramientas y servicios se utilizan en el proceso de mantenimiento de la seguridad de la cadena de bloques?

El siguiente cuadro muestra los tipos de servicios y herramientas que yo consideraría que un equipo de seguridad calificado usaría hoy. Estos elementos representan el conjunto diverso de servicios necesarios para construir un marco de seguridad sólido. Es necesario reconocer que la verdadera eficacia no radica en la existencia individual de cada servicio, sino en la intrincada interacción entre ellos. Esto incluye comprender sus interrelaciones, la secuencia en la que se implementan y las sinergias que crean.

Para estos servicios descritos (elementos enumerados en el diagrama), Sui Network utiliza herramientas específicas o confía en los proveedores de servicios para implementarlos. La Fundación Sui planea empaquetar estos componentes y ponerlos a disposición de cualquier empresa que busque adoptarlos para su plena utilidad. Por lo tanto, las áreas compartimentadas en el diagrama representan repositorios bien estructurados para ser explorados, disponibles para entidades que buscan fortalecer la seguridad.

P4 Hay muchos elementos en este cuadro. ¿Son iguales y están estrechamente relacionados? ¿O hay un mecanismo de prioridad?

Sí, hay prioridades y la filosofía detrás de este cuadro está bien pensada. Como comenzar desde cero y descubrir qué necesita atención inmediata, puede considerarlo como la creación de un bloque de seguridad fundamental, o puede considerarlo como un conjunto de herramientas de seguridad fundamental. Esta herramienta puede incluir lo que llamamos "defensa de la marca", lo que significa estar atento a cualquier daño que pueda afectar la reputación de su empresa. Implica la recopilación de inteligencia para monitorear y mitigar cualquier marca negativa. Además, la "integridad" también es clave, lo que significa que el conjunto de herramientas tiene la capacidad de detectar y tratar posibles daños a la imagen de marca.

Ahora, los conjuntos de herramientas no son de talla única. Diferentes organizaciones pueden necesitar diferentes conjuntos de herramientas adaptados a sus propósitos únicos. Por ejemplo, una empresa estrechamente relacionada con la codificación puede priorizar el desarrollo de "capacidades de detección de vulnerabilidades". Esto implica examinar de cerca los sistemas en busca de posibles vulnerabilidades y realizar tareas como "fuzzing" para probar su código. Por otro lado, considere una empresa financiera descentralizada frente a una empresa de juegos. Una compañía financiera descentralizada puede gravitar hacia un conjunto de herramientas que se centre en el riesgo regulatorio, la gobernanza y el cumplimiento. Por el contrario, una empresa de juegos podría centrarse más en las operaciones, la inteligencia y ciertos niveles de ingeniería de seguridad.

Esencialmente, este diagrama resume la noción de adaptar las políticas de seguridad a las diferentes culturas y prioridades de los diferentes tipos de empresas.

Las empresas a menudo piensan: "Aquí están todos mis riesgos, ¿cómo los mitigo?" ¿Es esa la idea en la que hay que empezar a pensar? ¿O habrá otras perspectivas?

Es tal que.

P 5. Los kits de herramientas parecen ser una forma clave de mantener seguro todo el ecosistema de la cadena de bloques. Dado que el punto de una cadena pública es que está descentralizada y sin permisos. Técnicamente, ¿cómo se mantiene segura una red cuando cualquiera puede acceder a ella y participar en ella?

Sí, el concepto de kits de herramientas juega un papel clave en el mantenimiento de la seguridad de todo el ecosistema. La belleza de una cadena de bloques pública es su naturaleza descentralizada y sin permisos, lo que permite que muchas personas examinen sus aspectos. Por lo tanto, la capacidad de construir las herramientas necesarias y facilitar la educación es fundamental.

Imagínese esto: las personas dentro del ecosistema necesitan comprender no solo lo que está sucediendo, sino también las herramientas disponibles y cómo usarlas de manera efectiva. Vale la pena señalar que muchos factores que afectan al ecosistema van más allá de la propia cadena de bloques. Las discusiones en las redes sociales, el miedo, la incertidumbre y la duda (FUD) y el fraude potencial pueden tener un impacto en el ecosistema. Esto requiere enfatizar la importancia de la conciencia holística.

El tercer factor clave es el intercambio de información dentro de la comunidad. Cuando los individuos pueden comunicarse y colaborar, mejoran la base de conocimientos colectivos. Por lo tanto, es un enfoque triple: educación para el conocimiento, información para conocer la industria y herramientas para la acción. Esta combinación brinda a las comunidades la capacidad no solo de comprender, sino también de influir positivamente en los comportamientos de todo tipo.

P6 ¿Cómo es la comunicación actual entre el ecosistema Sui?

El ecosistema Sui se comunica en una variedad de formas. La reciente Cumbre de Validadores brindó una plataforma invaluable para que las personas se conectaran entre sí e intercambiaran ideas. El evento Builder Houses también brinda esa oportunidad para todos. Además, supe que la Fundación Sui planea publicar una serie de artículos centrados en la seguridad de Sui en un futuro próximo.

Los canales de comunicación diarios abarcan plataformas como Discord y Telegram, lo que facilita las interacciones entre validadores, operadores de nodos y otras partes interesadas. Estos foros no solo aumentaron la conciencia sobre la colaboración, sino que también se expandieron con el tiempo, creando una plataforma en constante evolución para el debate y el intercambio de conocimientos.

P7, Sui Move está diseñado para ser inherentemente más seguro que otros lenguajes de programación de blockchain. ¿Cómo afecta esto la forma en que Sui maneja la seguridad?

No hay duda de que Move es más seguro que otros lenguajes de programación. Me gustaría agregar que gran parte del equipo original involucrado en el desarrollo de Sui se centró en la seguridad. Por lo tanto, no se trata solo del idioma, sino de cómo se construyen los diversos componentes de Sui, lo que lo hace más resistente y más difícil de explotar. Por supuesto, eso no quiere decir que no haya personas igualmente inteligentes en seguridad. Con suficientes incentivos, también trabajarán duro para encontrar lagunas. Por lo tanto, los expertos deben comprender quién, cuándo, dónde, por qué y cómo pudo haber sucedido esto. En eso nos estamos enfocando.

P8. ¿Cómo afecta el evento de vulnerabilidad en otros lugares de Web3 al trabajo en curso de Sui?

Desafortunadamente, cuando hay una brecha en el espacio Web3, siempre atrae mucha atención. Sin embargo, estas también son valiosas experiencias de aprendizaje. Incitan a los profesionales de la seguridad a profundizar en la mecánica de las vulnerabilidades: cómo, qué, cuándo, quién y por qué. Estos conocimientos proporcionan información adicional sobre el campo más amplio.

El equipo de la Fundación Sui ha dedicado importantes recursos de seguridad para comprender las identidades y capacidades de estos actores de amenazas, con un enfoque en descifrar sus objetivos y motivaciones preferidos.

Estas vulnerabilidades nos traen dos revelaciones diferentes. Primero, hay simpatía por los afectados porque estos hechos afectan a personas reales. En segundo lugar, esta es una oportunidad para mejorar la estrategia de Sui. Esas lecciones permitieron a Sui refinar y fortalecer su posición frente a riesgos similares.

P9 ¿Cuál es su opinión sobre la seguridad en el futuro Web3?

Nos encontramos en el umbral de una nueva era marcada por la llegada de Web3 y las extraordinarias tecnologías que trae: inteligencia artificial, aprendizaje automático, realidad aumentada, realidad virtual y más. Lo que me emociona es el increíble potencial que hay dentro. Estamos a punto de experimentar interfaces altamente inmersivas y acceder a la información más rápido y de formas nunca antes posibles.

Este cambio también se extiende a la seguridad. Imagine tener un socio de IA que pueda identificar amenazas potenciales para nosotros, tal vez incluso un escenario de IA contra IA. No hay duda de que estamos trabajando para esto, y espero que Sui esté a la vanguardia de estas tecnologías avanzadas.