Mysten Labs Bilgi Güvenliği Sorumlusu Yardımcısı ile Diyalog: Sui Blockchain'in Güvenlik Hususları, Tasarımı ve Uygulaması

Son zamanlarda, güvenlik uygulamalarının birbirine bağlılığı hakkındaki görüşlerini ve Sui geliştiricilerinin güvenlik uygulamalarına ilişkin gözlemlerini ve yorumlarını öğrenmek için Mysten Labs Bilgi Güvenliği Sorumlusu Yardımcısı Christian Thompson ile yüz yüze bir görüşme yaptık.

Bu röportajın içeriği şöyle:

S1.Teknoloji şirketleri için CISO'nun sorumluluğu nedir?

Baş Bilgi Güvenliği Görevlilerinin (CISO'lar) sorumlulukları kapsamlıdır ve dijital ortamımızın güvenliğini sağlamada hayati bir rol oynar. Kilit görevlerden biri, potansiyel saldırganların kim oldukları, neden bizi hedef alıyor olabilecekleri, ne zaman saldırabilecekleri, onları neyin harekete geçirdiği ve saldırı yöntemlerinde ne kadar yetenekli oldukları gibi zihinlerine ilişkin fikir edinmeyi içeren tehdit istihbaratı toplamaktır. .

Potansiyel rakipleri net bir şekilde görerek ve yeteneklerini anlayarak, sistemlerimizi korumak için proaktif önlemler alabiliriz. Bunu bir yapboza benzetebilirsiniz - yapboz oyuncularının kim olduğunu ve nasıl çalıştıklarını bilirsek parçaları daha verimli bir şekilde bir araya getirebiliriz. Örneğin, onların bilinen taktiklerini sistemimizin en savunmasız olması muhtemel alanlarıyla birleştirebiliriz. Birisi dijital sınırlarımızı aşmaya çalıştığı anda alarm verecek bir savunma sistemine sahip olmak gibi.

Birisi evimize girmeye çalıştığında bir alarm sisteminin bizi uyarması gibi, bu savunma düzeni de herhangi bir şüpheli etkinlik konusunda bizi gerçek zamanlı olarak uyarabilir. Bu, potansiyel tehditlere hızla yanıt verebileceğimiz ve riskleri azaltmak için uygun adımları atabileceğimiz anlamına gelir.

Bu odak noktaları, siber güvenlik, veri yönetimi, etki alanları genelinde risk, mimari, uyumluluk, yönetişim, dayanıklılık ve raporlama gibi çok çeşitli alanları kapsar.

CISO'nun rolünün bir kısmı, dahili ekip üyelerini korumaya da uzanır. Ekip üyelerimizin ne kadar riskli olduğunu anlamak için çok çaba harcıyoruz. Bu risk seviyeleri, özellikle ekip üyeleri şiddetli veya başka bir şekilde güvenli olmayan alanlara seyahat ettiğinde önemli ölçüde değişebilir.

S2.Sui gibi bir L1 blok zinciri düşünüldüğünde, güvenlik sorunları nasıl farklı olacak?

Sui blok zinciri gibi tutarlı bir savunma stratejisi oluşturmak için birden çok işlev ve hizmet birleştirilmelidir. Bu strateji, zayıf olduğu düşünülen alanlara odaklanmalıdır, ancak burada bitmez - Sui topluluğu, ağ ve Sui platformunda uygulamalar oluşturan geliştiriciler dahil olmak üzere tüm ekosistemin çıkarlarını koruma sorumluluğuna sahiptir. Güvenlikte mükemmelliğe ulaşmak, özellikle yeni başlayanlar için pahalı ve zorlu bir girişimdir.

Bunu ele almak için Sui Vakfı, güvenlik önlemlerini daha büyük ekosisteme genişletecek bir ürün geliştiriyor. Aslında, Sui Vakfı küçük şirketlere normalde yalnızca daha büyük kuruluşlara sunulan güvenlik araçlarını ve hizmetlerini sağlayacaktır. Bu, son kullanıcıların ve düzenleyicilerin güvenini artırarak daha güvenli bir ortam oluşturmalarına olanak tanır. Amacımız, insanların Sui üzerine inşa ettiklerinde yalnızca üretken değil aynı zamanda güvenli olmalarını sağlamaktır.

S3.Blockchain güvenliğini sağlama sürecinde hangi araçlar ve hizmetler kullanılıyor?

Aşağıdaki tablo, bugün yetenekli bir güvenlik ekibinin kullanmayı düşünebileceğim hizmet türlerini ve araçları göstermektedir. Bu öğeler, güçlü bir güvenlik çerçevesi oluşturmak için gerekli çeşitli hizmetleri temsil eder. Gerçek etkinliğin her bir hizmetin bireysel varlığında değil, aralarındaki karmaşık etkileşimde yattığını kabul etmeye ihtiyaç vardır. Bu, aralarındaki ilişkileri, uygulanma sıralarını ve yarattıkları sinerjileri anlamayı içerir.

Açıklanan bu hizmetler için (şemada listelenen öğeler), Sui Network belirli araçları kullanır veya bunları dağıtmak için hizmet sağlayıcılara güvenir. Sui Vakfı, bu bileşenleri bir paket halinde sunmayı ve bunları tam anlamıyla kullanmak isteyen tüm işletmelerin kullanımına sunmayı planlıyor. Bu nedenle, diyagramdaki bölümlere ayrılmış alanlar, güvenliği güçlendirmek isteyen kuruluşlar için mevcut olan, keşfedilecek iyi yapılandırılmış depoları temsil eder.

S4.Bu diyagramda birçok öğe var. Eşit ve yakından bağlantılı mı? Veya bir öncelik mekanizması var mı?

Evet, öncelikler var ve bu tablonun arkasındaki felsefe iyi düşünülmüş. Sıfırdan başlamak ve neyin acil ilgilenilmesi gerektiğini bulmak gibi, bunu temel bir güvenlik bloğu oluşturmak olarak düşünebilirsiniz veya bunu temel bir güvenlik araç seti olarak düşünebilirsiniz. Bu araç, şirketinizin itibarını etkileyebilecek herhangi bir zarara karşı tetikte olmak anlamına gelen "marka savunması" dediğimiz şeyi içerebilir. Herhangi bir olumsuz markalamayı izlemek ve hafifletmek için istihbarat toplamayı içerir. Ek olarak, "dürüstlük" de anahtardır; bu, araç setinin marka imajına olası zararları tespit etme ve bunlarla başa çıkma yeteneğine sahip olduğu anlamına gelir.

Şimdi, araç takımları herkese uyan tek beden değil. Farklı kuruluşlar, benzersiz amaçlarına uyacak şekilde uyarlanmış farklı araç setlerine ihtiyaç duyabilir. Örneğin, kodlama ile yakından ilgili bir şirket, "güvenlik açığı tespit etme yeteneklerinin" geliştirilmesine öncelik verebilir. Bu, potansiyel güvenlik açıkları için sistemleri yakından incelemeyi ve kodlarını stres testi yapmak için "bulanıklaştırma" gibi görevleri yürütmeyi içerir. Öte yandan, merkezi olmayan bir finans şirketini bir oyun şirketine karşı düşünün. Merkezi olmayan bir finans şirketi, düzenleyici risk, yönetişim ve uyumluluğa odaklanan bir araç setine yönelebilir. Tersine, bir oyun şirketi daha çok operasyonlara, istihbarata ve belirli güvenlik mühendisliği katmanlarına odaklanabilir.

Temel olarak, bu şema, güvenlik politikalarını farklı şirket türlerinin farklı kültürlerine ve önceliklerine uyarlama kavramını özetlemektedir.

Şirketler genellikle "İşte tüm risklerim, onları nasıl azaltabilirim?" Düşünmeye başlamak için fikir bu mu? Yoksa başka bakış açıları mı olacak?

Şekildedir.

S5. Araç takımları, tüm blockchain ekosistemini güvende tutmanın önemli bir yolu gibi görünüyor. Bir halka açık zincirin amacı, merkezi olmayan ve izinsiz olmasıdır. Teknik olarak, herkes erişip katılabileceği bir ağı nasıl güvenli tutabilirsiniz?

Evet, araç seti kavramı, tüm ekosistemin güvenliğini sağlamada önemli bir rol oynar. Halka açık bir blok zincirin güzelliği, merkezi olmayan ve izin gerektirmeyen doğasıdır, bu da birçok kişinin onun özelliklerini incelemesine olanak tanır. Bu nedenle, gerekli araçları oluşturma ve eğitimi kolaylaştırma yeteneği kritik öneme sahiptir.

Şunu hayal edin: Ekosistemdeki insanların yalnızca neler olup bittiğini değil, aynı zamanda mevcut araçları ve bunların nasıl etkili bir şekilde kullanılacağını da anlaması gerekiyor. Ekosistemi etkileyen birçok faktörün blok zincirinin kendisinin ötesine geçtiğini belirtmekte fayda var. Sosyal medya tartışmaları, Korku, Belirsizlik ve Şüphe (FUD) ve potansiyel dolandırıcılığın ekosistem üzerinde etkisi olabilir. Bu, bütüncül farkındalığın önemini vurgulamayı gerektirir.

Üçüncü anahtar faktör, topluluk içindeki bilgi alışverişidir. Bireyler iletişim kurabildiklerinde ve işbirliği yapabildiklerinde, ortak bilgi tabanını geliştirirler. Yani, üç yönlü bir yaklaşım: bilgi için eğitim, sektör içgörüleri için bilgi ve eylem için araçlar. Bu kombinasyon, topluluklara her türden davranışı yalnızca anlama değil, aynı zamanda olumlu yönde etkileme yeteneği de sağlar.

S6.Sui ekosistemi arasındaki mevcut iletişim nasıl?

Sui ekosistemi çeşitli şekillerde iletişim kurar. Son Doğrulayıcı Zirvesi, bireylerin birbirleriyle bağlantı kurması ve bilgi alışverişinde bulunması için paha biçilmez bir platform sağladı. Builder Houses etkinliği de herkes için böyle bir fırsat sunuyor. Ek olarak, Sui Vakfı'nın yakın gelecekte Sui güvenliğine odaklanan bir dizi makale yayınlamayı planladığını öğrendim.

Günlük iletişim kanalları, doğrulayıcılar, düğüm operatörleri ve diğer ilgili taraflar arasındaki etkileşimleri kolaylaştıran Discord ve Telegram gibi platformları kapsar. Bu forumlar yalnızca işbirliği konusundaki farkındalığı artırmakla kalmadı, aynı zamanda zaman içinde genişleyerek bilgi tartışması ve paylaşımı için sürekli gelişen bir platform yarattı.

Q7, Sui Move, doğası gereği diğer blockchain programlama dillerinden daha güvenli olacak şekilde tasarlanmıştır. Bu, Sui'nin güvenliği ele alma şeklini nasıl etkiler?

Move'un diğer bazı programlama dillerinden daha güvenli olduğuna şüphe yok. Sui'nin geliştirilmesinde yer alan orijinal ekibin çoğunun güvenliğe odaklandığını eklemek isterim. Yani bu sadece dille ilgili değil, Sui'nin çeşitli bileşenlerinin nasıl inşa edildiğiyle ilgili, bu da onu daha dayanıklı ve kötüye kullanılması daha zor hale getiriyor. Elbette bu, güvenlikte eşit derecede akıllı insanlar olmadığı anlamına gelmez. Yeterince teşvik verildiğinde, boşlukları bulmak için de çok çalışacaklar. Bu nedenle uzmanların bunun kim, ne zaman, nerede, neden ve nasıl olmuş olabileceğini anlaması gerekiyor. Odaklandığımız şey bu.

S8.Web3'teki diğer yerlerdeki güvenlik açığı olayı Sui'nin devam eden çalışmalarını nasıl etkiler?

Ne yazık ki, Web3 alanında bir ihlal olduğunda, her zaman çok dikkat çeker. Ancak bunlar aynı zamanda değerli öğrenme deneyimleridir. Güvenlik uygulayıcılarını güvenlik açıklarının mekaniğini (nasıl, ne, ne zaman, kim ve neden) araştırmaya yönlendirirler. Bu bilgiler, daha geniş alana ilişkin ek bilgiler sağlar.

Sui Vakfı ekibi, tercih ettikleri hedefleri ve motivasyonları deşifre etmeye odaklanarak, bu tehdit aktörlerinin kimliklerini ve yeteneklerini anlamak için önemli güvenlik kaynakları ayırdı.

Bu güvenlik açıkları bize iki farklı açıklama getiriyor. Birincisi, etkilenenlere sempati var çünkü bu olaylar gerçek insanları etkiliyor. İkincisi, bu Sui'nin stratejisini geliştirmek için bir fırsat. Bu dersler, Sui'nin benzer risklere karşı konumunu iyileştirmesine ve güçlendirmesine olanak sağladı.

S9. Gelecekteki Web3'teki güvenlik hakkında ne düşünüyorsunuz?

Web3'ün gelişiyle ve getirdiği olağanüstü teknolojilerle (yapay zeka, makine öğrenimi, artırılmış gerçeklik, sanal gerçeklik ve daha fazlası) damgasını vuran yeni bir çağın eşiğindeyiz. Beni heyecanlandıran, içimde yatan inanılmaz potansiyel. Son derece sürükleyici arayüzleri deneyimlemenin ve bilgiye daha hızlı ve daha önce hiç mümkün olmayan şekillerde erişmenin eşiğindeyiz.

Bu değişim, güvenliğe de uzanıyor. Bize yönelik potansiyel tehditleri, hatta belki de bir AI'ya karşı bir AI senaryosunu tanımlayabilen bir AI ortağınız olduğunu hayal edin. Hiç şüphe yok ki, bunun için çalışıyoruz ve Sui'nin bu ileri teknolojilerin ön saflarında yer almasını bekliyorum.