Dialogue avec le directeur adjoint de la sécurité de l'information de Mysten Labs : considérations de sécurité, conception et pratique de Sui Blockchain

Récemment, nous avons eu une conversation en face à face avec Christian Thompson, directeur adjoint de la sécurité de l'information de Mysten Labs, pour connaître son point de vue sur l'interdépendance des pratiques de sécurité, ainsi que des observations et des commentaires sur les pratiques de sécurité des développeurs Sui.

Voici le contenu de cet entretien :

Q1. Pour les entreprises technologiques, quelle est la responsabilité du RSSI ?

Les responsabilités des responsables de la sécurité de l'information (CISO) sont étendues et jouent un rôle essentiel dans la sécurisation de notre environnement numérique. L'une des tâches principales consiste à recueillir des informations sur les menaces, ce qui implique de mieux comprendre l'esprit des attaquants potentiels : qui ils sont, pourquoi ils pourraient nous cibler, quand ils pourraient attaquer, ce qui les motive et à quel point ils sont compétents en matière de méthodes d'attaque. .

En ayant une vision claire des adversaires potentiels et en comprenant leurs capacités, nous pouvons prendre des mesures proactives pour protéger nos systèmes. Vous pouvez le comparer à un puzzle - si nous savons qui sont les joueurs du puzzle et comment ils fonctionnent, nous pouvons assembler les pièces plus efficacement. Par exemple, nous pouvons combiner leurs tactiques connues avec des domaines de notre système qui sont susceptibles d'être les plus vulnérables. C'est comme avoir un système de défense en place pour sonner l'alarme dès que quelqu'un essaie de franchir nos frontières numériques.

Tout comme un système d'alarme nous avertit lorsque quelqu'un essaie de pénétrer dans notre maison, cette configuration de défense peut nous alerter en temps réel de toute activité suspecte. Cela signifie que nous pouvons réagir rapidement aux menaces potentielles et prendre les mesures appropriées pour atténuer les risques.

Ces objectifs couvrent un large éventail de domaines, notamment la cybersécurité, la gestion des données, les risques dans tous les domaines, l'architecture, la conformité, la gouvernance, la résilience et le reporting.

Une partie du rôle du RSSI s'étend également à la protection des membres de l'équipe interne. Nous dépensons beaucoup d'efforts pour comprendre à quel point les membres de notre équipe sont à risque. Ces niveaux de risque peuvent changer considérablement, en particulier lorsque les membres de l'équipe se rendent dans des zones violentes ou autrement dangereuses.

Q2. Lorsque vous envisagez une blockchain L1 comme Sui, en quoi les problèmes de sécurité seront-ils différents ?

Afin de créer une stratégie de défense cohérente comme la blockchain Sui, plusieurs fonctions et services doivent être combinés. Cette stratégie doit se concentrer sur les domaines jugés faibles, mais elle ne s'arrête pas là - la communauté Sui a la responsabilité de protéger les intérêts de l'ensemble de l'écosystème, y compris le réseau et les développeurs qui créent des applications sur la plate-forme Sui. Atteindre l'excellence en matière de sécurité est une entreprise coûteuse et difficile, en particulier pour les startups.

Pour résoudre ce problème, la Fondation Sui développe un produit qui étendra les mesures de sécurité à l'ensemble de l'écosystème. En effet, la Fondation Sui fournira aux petites entreprises des outils et des services de sécurité normalement disponibles uniquement pour les grandes entreprises. Cela leur permet de construire dans un environnement plus sécurisé, augmentant la confiance des utilisateurs finaux et des régulateurs. Notre objectif est de nous assurer que lorsque les gens construisent sur Sui, ils sont non seulement productifs mais aussi en sécurité.

Q3. Quels outils et services sont utilisés dans le processus de maintien de la sécurité de la blockchain ?

Le tableau ci-dessous montre les types de services et d'outils que je considérerais comme une équipe de sécurité qualifiée à utiliser aujourd'hui. Ces éléments représentent l'ensemble diversifié de services nécessaires pour construire un cadre de sécurité solide. Il est nécessaire de reconnaître que la véritable efficacité ne réside pas dans l'existence individuelle de chaque service, mais dans l'interaction complexe entre eux. Cela comprend la compréhension de leurs interrelations, la séquence dans laquelle elles sont mises en œuvre et les synergies qu'elles créent.

Pour ces services décrits (éléments répertoriés sur le diagramme), Sui Network utilise des outils spécifiques ou s'appuie sur des fournisseurs de services pour les déployer. La Fondation Sui prévoit de conditionner ces composants et de les mettre à la disposition de toute entreprise cherchant à les adopter à leur pleine utilité. Ainsi, les zones compartimentées du schéma représentent des référentiels bien structurés à explorer, à la disposition des entités cherchant à renforcer la sécurité.

Q4. Il y a beaucoup d'éléments dans ce diagramme. Sont-ils égaux et étroitement liés ? Ou existe-t-il un mécanisme prioritaire?

Oui, il y a des priorités, et la philosophie derrière ce tableau est bien pensée. Comme partir de zéro et déterminer ce qui nécessite une attention immédiate, vous pouvez le considérer comme la construction d'un bloc de sécurité fondamental, ou vous pouvez le considérer comme une boîte à outils de sécurité fondamentale. Cet outil peut inclure ce que nous appelons la « défense de la marque », ce qui signifie être vigilant pour tout préjudice qui pourrait affecter la réputation de votre entreprise. Cela implique la collecte de renseignements pour surveiller et atténuer toute image de marque négative. De plus, "l'intégrité" est également essentielle, ce qui signifie que la boîte à outils a la capacité de détecter et de traiter les éventuels dommages à l'image de marque.

Maintenant, les boîtes à outils ne sont pas universelles. Différentes organisations peuvent avoir besoin de différentes boîtes à outils adaptées à leurs objectifs uniques. Par exemple, une entreprise étroitement liée au codage peut donner la priorité au développement de "capacités de détection de vulnérabilité". Cela implique d'examiner de près les systèmes à la recherche de vulnérabilités potentielles et d'effectuer des tâches telles que le "fuzzing" pour tester leur code. D'autre part, considérez une société financière décentralisée par rapport à une société de jeux. Une société financière décentralisée peut se tourner vers une boîte à outils axée sur le risque réglementaire, la gouvernance et la conformité. À l'inverse, une société de jeux peut se concentrer davantage sur les opérations, le renseignement et certaines couches d'ingénierie de sécurité.

Essentiellement, ce schéma résume la notion d'adaptation des politiques de sécurité aux différentes cultures et priorités des différents types d'entreprises.

Les entreprises pensent souvent : "Voilà tous mes risques, comment puis-je les atténuer ?" Est-ce l'idée à laquelle il faut commencer à réfléchir ? Ou y aura-t-il d'autres perspectives ?

Est telle que.

#### Q5. Les boîtes à outils semblent être un moyen essentiel de protéger l'ensemble de l'écosystème de la blockchain. Étant donné que l'intérêt d'une chaîne publique est qu'elle est décentralisée et sans autorisation. Techniquement, comment assurer la sécurité d'un réseau lorsque n'importe qui peut y accéder et y participer ?

Oui, le concept de boîtes à outils joue un rôle clé dans le maintien de la sécurité de l'ensemble de l'écosystème. La beauté d'une blockchain publique réside dans sa nature décentralisée et sans autorisation, qui permet à de nombreuses personnes d'en examiner les aspects. La capacité de construire les outils nécessaires et de faciliter l'éducation est donc essentielle.

Imaginez ceci : les personnes au sein de l'écosystème doivent comprendre non seulement ce qui se passe, mais également les outils disponibles et comment les utiliser efficacement. Il convient de noter que de nombreux facteurs qui affectent l'écosystème vont au-delà de la blockchain elle-même. Les discussions sur les réseaux sociaux, la peur, l'incertitude et le doute (FUD) et la fraude potentielle peuvent toutes avoir un impact sur l'écosystème. Cela appelle à souligner l'importance de la prise de conscience holistique.

Le troisième facteur clé est l'échange d'informations au sein de la communauté. Lorsque les individus peuvent communiquer et collaborer, ils améliorent la base de connaissances collectives. Il s'agit donc d'une approche à trois volets : l'éducation pour la connaissance, l'information pour les connaissances de l'industrie et les outils pour l'action. Cette combinaison offre aux communautés la capacité non seulement de comprendre, mais aussi d'influencer positivement les comportements de toutes sortes.

Q6. Quelle est la communication actuelle entre l'écosystème Sui ?

L'écosystème Sui communique de différentes manières. Le récent Validator Summit a fourni une plate-forme inestimable permettant aux individus de se connecter les uns aux autres et d'échanger des idées. L'événement Builder Houses offre également une telle opportunité pour tout le monde. De plus, j'ai appris que la Fondation Sui prévoyait de publier une série d'articles sur la sécurité Sui dans un proche avenir.

Les canaux de communication quotidiens couvrent des plates-formes telles que Discord et Telegram, facilitant les interactions entre les validateurs, les opérateurs de nœuds et les autres parties intéressées. Ces forums ont non seulement accru la sensibilisation à la collaboration, mais se sont également élargis au fil du temps, créant une plate-forme en constante évolution pour la discussion et le partage des connaissances.

Q7, Sui Move est conçu pour être intrinsèquement plus sécurisé que les autres langages de programmation blockchain. Comment cela affecte-t-il la façon dont Sui gère la sécurité ?

Il ne fait aucun doute que Move est plus sûr que certains autres langages de programmation. Je voudrais ajouter qu'une grande partie de l'équipe d'origine impliquée dans le développement de Sui se concentrait sur la sécurité. Il ne s'agit donc pas seulement de langage, mais de la façon dont les différents composants de Sui sont construits, ce qui le rend plus résistant et plus difficile à exploiter. Bien sûr, cela ne veut pas dire qu'il n'y a pas de personnes aussi intelligentes dans le domaine de la sécurité. Avec suffisamment d'incitations, ils travailleront également dur pour trouver des échappatoires. Par conséquent, les experts doivent comprendre qui, quand, où, pourquoi et comment cela a pu se produire. C'est sur cela que nous nous concentrons.

Q8. Comment l'événement de vulnérabilité dans d'autres endroits de Web3 affecte-t-il le travail en cours de Sui ?

Malheureusement, lorsqu'il y a une brèche dans l'espace Web3, cela attire toujours beaucoup d'attention. Cependant, ce sont aussi des expériences d'apprentissage précieuses. Ils incitent les praticiens de la sécurité à se plonger dans les mécanismes des vulnérabilités : comment, quoi, quand, qui et pourquoi. Ces aperçus fournissent un aperçu supplémentaire dans le domaine plus large.

L'équipe de la Fondation Sui a consacré d'importantes ressources de sécurité à la compréhension des identités et des capacités de ces acteurs de la menace, en mettant l'accent sur le déchiffrement de leurs cibles et motivations préférées.

Ces vulnérabilités nous apportent deux révélations différentes. Premièrement, il y a de la sympathie pour les personnes touchées parce que ces événements touchent de vraies personnes. Deuxièmement, c'est une opportunité d'améliorer la stratégie de Sui. Ces leçons ont permis à Sui d'affiner et de renforcer sa position face à des risques similaires.

Q9. Quelle est votre opinion sur la sécurité du futur Web3 ?

Nous sommes au seuil d'une nouvelle ère marquée par l'avènement du Web3 et des technologies extraordinaires qu'il apporte : intelligence artificielle, machine learning, réalité augmentée, réalité virtuelle, etc. Ce qui m'excite, c'est l'incroyable potentiel qu'il y a à l'intérieur. Nous sommes sur le point de découvrir des interfaces hautement immersives et d'accéder aux informations plus rapidement et d'une manière jamais possible auparavant.

Ce changement s'étend également à la sécurité. Imaginez avoir un partenaire IA capable d'identifier les menaces potentielles pour nous, peut-être même un scénario IA contre IA. Il ne fait aucun doute que c'est ce vers quoi nous travaillons, et je m'attends à ce que Sui soit à la pointe de ces technologies avancées.