Диалог с заместителем директора по информационной безопасности Mysten Labs: вопросы безопасности, дизайн и практика блокчейна Sui

Недавно у нас была беседа лицом к лицу с Кристианом Томпсоном, заместителем директора по информационной безопасности Mysten Labs, чтобы узнать его мнение о взаимосвязи методов обеспечения безопасности, а также наблюдения и комментарии относительно методов обеспечения безопасности разработчиков Sui.

Вот содержание этого интервью:

Вопрос 1. За что отвечает директор по информационной безопасности для технологических компаний?

Обязанности руководителей по информационной безопасности (CISO) обширны и играют жизненно важную роль в обеспечении безопасности нашей цифровой среды. Одной из ключевых задач является сбор информации об угрозах, которая включает в себя получение информации о сознании потенциальных злоумышленников: кто они, почему они могут нацеливаться на нас, когда они могут атаковать, что ими движет и насколько они опытны в методах атаки. .

Имея четкое представление о потенциальных противниках и понимая их возможности, мы можем принимать упреждающие меры для защиты наших систем. Вы можете сравнить это с головоломкой — если мы знаем, кто играет в головоломку и как они работают, мы можем более эффективно складывать части вместе. Например, мы можем комбинировать их известную тактику с наиболее уязвимыми областями нашей системы. Это похоже на наличие системы защиты, которая забьет тревогу в тот момент, когда кто-то попытается нарушить наши цифровые границы.

Точно так же, как система сигнализации предупреждает нас, когда кто-то пытается проникнуть в наш дом, эта система защиты может предупредить нас в режиме реального времени о любой подозрительной активности. Это означает, что мы можем быстро реагировать на потенциальные угрозы и предпринимать соответствующие шаги для снижения рисков.

Эти направления охватывают широкий спектр областей, включая кибербезопасность, управление данными, риски в разных областях, архитектуру, соответствие требованиям, управление, отказоустойчивость и отчетность.

Часть роли директора по информационной безопасности также распространяется на защиту членов внутренней команды. Мы прилагаем много усилий, чтобы понять, насколько рискованны члены нашей команды. Эти уровни риска могут значительно измениться, особенно когда члены команды отправляются в опасные или иным образом небезопасные районы.

Вопрос 2. При рассмотрении блокчейна L1, такого как Sui, как будут отличаться вопросы безопасности?

Чтобы создать целостную стратегию защиты, такую как блокчейн Sui, необходимо объединить несколько функций и услуг. Эта стратегия должна быть сосредоточена на областях, которые считаются слабыми, но на этом она не останавливается — сообщество Sui несет ответственность за защиту интересов всей экосистемы, включая сеть и разработчиков, которые создают приложения на платформе Sui. Достижение совершенства в области безопасности — дорогое и сложное мероприятие, особенно для стартапов.

Чтобы решить эту проблему, Sui Foundation разрабатывает продукт, который распространит меры безопасности на более крупную экосистему. По сути, Sui Foundation будет предоставлять небольшим компаниям инструменты и услуги безопасности, обычно доступные только крупным организациям. Это позволяет им создавать более безопасную среду, повышая доверие конечных пользователей и регулирующих органов. Наша цель — убедиться, что когда люди строят на Sui, они не только продуктивны, но и безопасны.

В3. Какие инструменты и сервисы используются в процессе обеспечения безопасности блокчейна?

На приведенной ниже диаграмме показаны типы услуг и инструментов, которые, по моему мнению, может использовать квалифицированная команда безопасности сегодня. Эти элементы представляют собой разнообразный набор услуг, необходимых для построения надежной системы безопасности. Необходимо признать, что истинная эффективность заключается не в индивидуальном существовании каждой службы, а в сложном взаимодействии между ними. Это включает в себя понимание их взаимосвязей, последовательности, в которой они реализуются, и создаваемого ими синергизма.

Для этих описанных услуг (элементы, перечисленные на диаграмме) Sui Network использует специальные инструменты или полагается на поставщиков услуг для их развертывания. Sui Foundation планирует упаковать эти компоненты и сделать их доступными для любого бизнеса, который хочет использовать их в полной мере. Таким образом, разделенные области на диаграмме представляют собой хорошо структурированные репозитории, которые необходимо изучить и которые доступны для объектов, стремящихся усилить безопасность.

Q4 На этой диаграмме много элементов. Являются ли они равными и тесно связанными? Или есть механизм приоритета?

Да, есть приоритеты, и философия этой диаграммы хорошо продумана. Подобно тому, как вы начинаете с нуля и выясняете, что требует немедленного внимания, вы можете думать об этом как о создании фундаментального блока безопасности или как о базовом наборе инструментов безопасности. Этот инструмент может включать то, что мы называем «защитой бренда», что означает бдительность в отношении любого вреда, который может повлиять на репутацию вашей компании. Это включает в себя сбор разведывательных данных для отслеживания и смягчения любого негативного брендинга. Кроме того, «целостность» также имеет ключевое значение, а это означает, что инструментарий способен обнаруживать и устранять возможный ущерб имиджу бренда.

Наборы инструментов не являются универсальными. Разным организациям могут потребоваться разные наборы инструментов, адаптированные к их уникальным целям. Например, компания, тесно связанная с кодированием, может отдать приоритет развитию «возможностей обнаружения уязвимостей». Это включает в себя тщательную проверку систем на наличие потенциальных уязвимостей и выполнение таких задач, как «фаззинг» для стресс-тестирования их кода. С другой стороны, рассмотрим децентрализованную финансовую компанию и игровую компанию. Децентрализованная финансовая компания может тяготеть к набору инструментов, который фокусируется на регулятивных рисках, управлении и соблюдении нормативных требований. И наоборот, игровая компания может больше сосредоточиться на операциях, аналитике и определенных уровнях техники безопасности.

По сути, эта диаграмма обобщает понятие адаптации политик безопасности к различным культурам и приоритетам различных типов компаний.

Компании часто думают: «Вот все мои риски, как мне их уменьшить?» Это идея, о которой стоит задуматься? Или будут другие точки зрения?

Есть такое.

Вопрос 5. Наборы инструментов кажутся ключевым способом обеспечения безопасности всей экосистемы блокчейна. Учитывая, что смысл общедоступной сети в том, что она децентрализована и не требует разрешений. Технически, как обеспечить безопасность сети, если любой может получить к ней доступ и участвовать в ней?

Да, концепция наборов инструментов играет ключевую роль в поддержании безопасности всей экосистемы. Прелесть общедоступного блокчейна заключается в его децентрализованном и не требующем разрешений характере, что позволяет многим людям тщательно изучать его аспекты. Поэтому способность создавать необходимые инструменты и способствовать обучению имеет решающее значение.

Представьте себе: люди в экосистеме должны понимать не только то, что происходит, но и доступные инструменты и способы их эффективного использования. Стоит отметить, что многие факторы, влияющие на экосистему, выходят за рамки самого блокчейна. Обсуждения в социальных сетях, страх, неуверенность и сомнение (FUD) и потенциальное мошенничество — все это может повлиять на экосистему. Это требует подчеркивания важности целостного осознания.

Третьим ключевым фактором является обмен информацией внутри сообщества. Когда люди могут общаться и сотрудничать, они расширяют коллективную базу знаний. Таким образом, это трехсторонний подход: образование для получения знаний, информация для понимания отрасли и инструменты для действий. Эта комбинация дает сообществам возможность не только понимать, но и положительно влиять на поведение всех видов.

В6. Как в настоящее время осуществляется связь между экосистемой Sui?

Экосистема Sui взаимодействует различными способами. Недавний саммит Validator предоставил бесценную платформу для людей, чтобы общаться друг с другом и обмениваться идеями. Событие Builder Houses также предоставляет такую возможность для всех. Кроме того, я узнал, что Sui Foundation планирует в ближайшем будущем опубликовать серию статей, посвященных безопасности Sui.

Ежедневные каналы связи охватывают такие платформы, как Discord и Telegram, облегчая взаимодействие между валидаторами, операторами узлов и другими заинтересованными сторонами. Эти форумы не только повысили осведомленность о сотрудничестве, но и со временем расширились, создав постоянно развивающуюся платформу для обсуждения и обмена знаниями.

Q7, Sui Move изначально более безопасен, чем другие языки программирования блокчейна. Как это влияет на то, как Суи справляется с безопасностью?

Нет никаких сомнений в том, что Move безопаснее некоторых других языков программирования. Я хотел бы добавить, что многие из оригинальной команды, участвовавшей в разработке Sui, были сосредоточены на безопасности. Так что дело не только в языке, но и в том, как построены различные компоненты Sui, что делает его более устойчивым и сложным в использовании. Конечно, это не значит, что в сфере безопасности нет таких же умных людей. Имея достаточно стимулов, они также будут усердно работать, чтобы найти лазейки. Поэтому экспертам необходимо понять, кто, когда, где, почему и как это могло произойти. Это то, на чем мы сосредоточены.

Вопрос 8. Как событие уязвимости в других местах в Web3 влияет на текущую работу Sui?

К сожалению, когда в пространстве Web3 возникает брешь, это всегда привлекает много внимания. Тем не менее, это также ценный опыт обучения. Они побуждают специалистов по безопасности вникать в механизм уязвимостей — как, что, когда, кто и почему. Эти идеи обеспечивают дополнительное понимание более широкой области.

Команда Sui Foundation выделила значительные ресурсы безопасности для понимания личности и возможностей этих субъектов угроз, уделяя особое внимание расшифровке их предпочтительных целей и мотивов.

Эти уязвимости приносят нам два разных откровения. Во-первых, есть сочувствие к пострадавшим, потому что эти события затрагивают реальных людей. Во-вторых, это возможность усилить стратегию Суи. Эти уроки позволили Sui усовершенствовать и укрепить свои позиции в отношении аналогичных рисков.

Q9.Что вы думаете о безопасности в будущем Web3?

Мы стоим на пороге новой эры, отмеченной появлением Web3 и выдающихся технологий, которые он приносит — искусственный интеллект, машинное обучение, дополненная реальность, виртуальная реальность и многое другое. Что меня волнует, так это невероятный потенциал, который скрыт внутри. Мы находимся на грани того, чтобы испытать интерфейсы с высоким уровнем погружения и получать доступ к информации быстрее и способами, которые раньше были невозможны.

Этот сдвиг распространяется и на безопасность. Представьте себе, что у вас есть партнер по ИИ, который может определить потенциальные угрозы для нас, возможно, даже сценарий «ИИ против ИИ». Нет никаких сомнений в том, что именно к этому мы и стремимся, и я ожидаю, что Суи будет в авангарде этих передовых технологий.