Diálogo com o vice-diretor de segurança da informação do Mysten Labs: considerações de segurança, design e prática do Sui Blockchain

Recentemente, tivemos uma conversa cara a cara com Christian Thompson, vice-diretor de segurança da informação do Mysten Labs, para conhecer suas percepções sobre a interconectividade das práticas de segurança, bem como observações e comentários sobre as práticas de segurança dos desenvolvedores Sui.

O seguinte é o conteúdo desta entrevista:

Q1. Para empresas de tecnologia, qual é a responsabilidade do CISO?

As responsabilidades dos Chief Information Security Officers (CISOs) são extensas e desempenham um papel vital na proteção do nosso ambiente digital. Uma das principais tarefas é coletar informações sobre ameaças, o que envolve obter informações sobre as mentes dos invasores em potencial: quem são, por que podem estar nos atacando, quando podem atacar, o que os impulsiona e quão habilidosos são no grau de métodos de ataque. .

Tendo uma visão clara dos possíveis adversários e compreendendo suas capacidades, podemos tomar ações proativas para proteger nossos sistemas. Você pode compará-lo a um quebra-cabeça - se soubermos quem são os jogadores do quebra-cabeça e como eles trabalham, podemos juntar as peças com mais eficiência. Por exemplo, podemos combinar suas táticas conhecidas com áreas de nosso sistema que provavelmente serão mais vulneráveis. É como ter um sistema de defesa para soar o alarme no momento em que alguém tentar violar nossos limites digitais.

Assim como um sistema de alarme nos alerta quando alguém está tentando invadir nossa casa, essa configuração de defesa pode nos alertar em tempo real sobre qualquer atividade suspeita. Isso significa que podemos responder rapidamente a possíveis ameaças e tomar as medidas adequadas para mitigar os riscos.

Esses focos abrangem uma ampla gama de áreas, incluindo segurança cibernética, gerenciamento de dados, risco entre domínios, arquitetura, conformidade, governança, resiliência e geração de relatórios.

Parte da função do CISO também se estende à proteção dos membros internos da equipe. Nós nos esforçamos muito para entender o quão arriscados são os membros de nossa equipe. Esses níveis de risco podem mudar significativamente, especialmente quando os membros da equipe viajam para áreas violentas ou inseguras.

Q2. Ao considerar um blockchain L1 como Sui, como os problemas de segurança serão diferentes?

Para criar uma estratégia de defesa coesa como a blockchain Sui, várias funções e serviços devem ser combinados. Essa estratégia deve se concentrar em áreas consideradas fracas, mas não para por aí - a comunidade Sui tem a responsabilidade de proteger os interesses de todo o ecossistema, incluindo a rede e os desenvolvedores que constroem aplicativos na plataforma Sui. Alcançar a excelência em segurança é uma tarefa cara e desafiadora, especialmente para startups.

Para resolver isso, a Fundação Sui está desenvolvendo um produto que estenderá as medidas de segurança para um ecossistema maior. Com efeito, a Fundação Sui fornecerá às empresas menores ferramentas e serviços de segurança normalmente disponíveis apenas para organizações maiores. Isso permite que eles construam em um ambiente mais seguro, aumentando a confiança dos usuários finais e reguladores. Nosso objetivo é garantir que, quando as pessoas constroem no Sui, elas não sejam apenas produtivas, mas também seguras.

Q3. Quais ferramentas e serviços são usados no processo de manutenção da segurança do blockchain?

O gráfico abaixo mostra os tipos de serviços e ferramentas que eu consideraria uma equipe de segurança qualificada para usar hoje. Esses elementos representam o conjunto diversificado de serviços necessários para construir uma estrutura de segurança sólida. É preciso reconhecer que a verdadeira eficácia não reside na existência individual de cada serviço, mas na intrincada interação entre eles. Isso inclui entender suas inter-relações, a sequência em que são implementadas e as sinergias que criam.

Para esses serviços descritos (itens listados no diagrama), a Sui Network utiliza ferramentas específicas ou conta com provedores de serviços para implantá-los. A Sui Foundation planeja empacotar esses componentes e disponibilizá-los para qualquer empresa que queira adotá-los em sua plena utilidade. Assim, as áreas compartimentadas no diagrama representam repositórios bem estruturados a serem explorados, disponíveis para entidades que buscam reforçar a segurança.

Q4.Existem muitos elementos neste diagrama. Eles são iguais e intimamente ligados? Ou existe um mecanismo de prioridade?

Sim, existem prioridades e a filosofia por trás deste gráfico é bem pensada. Assim como começar do zero e descobrir o que precisa de atenção imediata, você pode pensar nisso como a criação de um bloco de segurança fundamental ou como um kit de ferramentas de segurança fundamental. Essa ferramenta pode incluir o que chamamos de "defesa da marca", o que significa estar atento a qualquer dano que possa afetar a reputação de sua empresa. Envolve a coleta de informações para monitorar e mitigar qualquer marca negativa. Além disso, a "integridade" também é fundamental, o que significa que o kit de ferramentas tem a capacidade de detectar e lidar com possíveis danos à imagem da marca.

Agora, os kits de ferramentas não são de tamanho único. Diferentes organizações podem precisar de kits de ferramentas diferentes adaptados para atender a seus propósitos exclusivos. Por exemplo, uma empresa intimamente relacionada à codificação pode priorizar o desenvolvimento de "capacidades de detecção de vulnerabilidade". Isso envolve examinar minuciosamente os sistemas em busca de possíveis vulnerabilidades e realizar tarefas como "fuzzing" para testar o código. Por outro lado, considere uma empresa financeira descentralizada versus uma empresa de jogos. Uma empresa financeira descentralizada pode gravitar em torno de um kit de ferramentas que se concentra em risco regulatório, governança e conformidade. Por outro lado, uma empresa de jogos pode se concentrar mais em operações, inteligência e certas camadas de engenharia de segurança.

Essencialmente, este diagrama resume a noção de adaptação das políticas de segurança às diferentes culturas e prioridades de diferentes tipos de empresas.

As empresas costumam pensar: "Aqui estão todos os meus riscos, como posso mitigá-los?" Essa é a ideia para começar a pensar? Ou haverá outras perspectivas?

É tal que.

Q5. Os kits de ferramentas parecem ser uma maneira fundamental de manter todo o ecossistema blockchain seguro. Dado que o objetivo de uma cadeia pública é que ela é descentralizada e sem permissão. Tecnicamente, como você mantém uma rede segura quando qualquer pessoa pode acessá-la e participar dela?

Sim, o conceito de kits de ferramentas desempenha um papel fundamental na manutenção da segurança de todo o ecossistema. A beleza de um blockchain público é sua natureza descentralizada e sem permissão, que permite que muitas pessoas examinem seus aspectos. Portanto, a capacidade de construir as ferramentas necessárias e facilitar a educação é fundamental.

Imagine o seguinte: as pessoas dentro do ecossistema precisam entender não apenas o que está acontecendo, mas também as ferramentas disponíveis e como usá-las de forma eficaz. Vale ressaltar que muitos fatores que afetam o ecossistema vão além do próprio blockchain. Discussões nas mídias sociais, Medo, Incerteza e Dúvida (FUD) e possíveis fraudes podem ter um impacto no ecossistema. Isso exige enfatizar a importância da consciência holística.

O terceiro fator chave é a troca de informações dentro da comunidade. Quando os indivíduos podem se comunicar e colaborar, eles aprimoram a base de conhecimento coletivo. Portanto, é uma abordagem de três frentes: educação para o conhecimento, informações para percepções do setor e ferramentas para ação. Essa combinação fornece às comunidades a capacidade de não apenas entender, mas também influenciar positivamente comportamentos de todos os tipos.

Q6. Como está a comunicação atual entre o ecossistema Sui?

O ecossistema Sui se comunica de várias maneiras. O recente Validator Summit forneceu uma plataforma inestimável para os indivíduos se conectarem e trocarem ideias. O evento Builder Houses também oferece essa oportunidade para todos. Além disso, descobri que a Fundação Sui planeja publicar uma série de artigos com foco na segurança Sui em um futuro próximo.

Os canais diários de comunicação abrangem plataformas como Discord e Telegram, facilitando as interações entre validadores, operadores de nodos e demais interessados. Esses fóruns não apenas aumentaram a conscientização sobre a colaboração, mas também se expandiram ao longo do tempo, criando uma plataforma em constante evolução para discussão e compartilhamento de conhecimento.

Q7, Sui Move foi projetado para ser inerentemente mais seguro do que outras linguagens de programação blockchain. Como isso afeta a maneira como Sui lida com a segurança?

Não há dúvida de que o Move é mais seguro do que algumas outras linguagens de programação. Gostaria de acrescentar que muitos da equipe original envolvida no desenvolvimento de Sui estavam focados na segurança. Portanto, não se trata apenas da linguagem, mas de como os vários componentes do Sui são construídos, o que o torna mais resiliente e mais difícil de explorar. Claro, isso não quer dizer que não haja pessoas igualmente inteligentes em segurança. Com incentivos suficientes, eles também trabalharão duro para encontrar brechas. Portanto, os especialistas precisam entender quem, quando, onde, por que e como isso pode ter acontecido. É nisso que estamos focando.

P8. Como o evento de vulnerabilidade em outros locais no Web3 afeta o trabalho contínuo de Sui?

Infelizmente, quando há uma brecha no espaço Web3, sempre chama muita atenção. No entanto, estas também são valiosas experiências de aprendizagem. Eles levam os profissionais de segurança a se aprofundarem na mecânica das vulnerabilidades — o como, o quê, quando, quem e por quê. Esses insights fornecem informações adicionais sobre o campo mais amplo.

A equipe da Fundação Sui dedicou recursos de segurança significativos para entender as identidades e capacidades desses agentes de ameaças, com foco em decifrar seus alvos e motivações preferenciais.

Essas vulnerabilidades nos trazem duas revelações diferentes. Primeiro, há simpatia pelos afetados porque esses eventos afetam pessoas reais. Em segundo lugar, esta é uma oportunidade de aprimorar a estratégia de Sui. Essas lições permitiram à Sui refinar e fortalecer sua posição contra riscos semelhantes.

Q9. Qual é a sua opinião sobre a segurança no futuro Web3?

Estamos no limiar de uma nova era marcada pelo advento da Web3 e das extraordinárias tecnologias que ela traz — inteligência artificial, aprendizado de máquina, realidade aumentada, realidade virtual e muito mais. O que me entusiasma é o incrível potencial que existe dentro de mim. Estamos prestes a experimentar interfaces altamente imersivas e acessar informações com mais rapidez e de maneiras nunca antes possíveis.

Essa mudança também se estende à segurança. Imagine ter um parceiro de IA que pode identificar ameaças potenciais para nós, talvez até mesmo um cenário de IA versus IA. Não há dúvida de que estamos trabalhando para isso e espero que Sui esteja na vanguarda dessas tecnologias avançadas.