Dialog dengan Wakil Kepala Petugas Keamanan Informasi Mysten Labs: Pertimbangan Keamanan, Desain, dan Praktik Sui Blockchain

Baru-baru ini, kami melakukan percakapan tatap muka dengan Christian Thompson, Wakil Kepala Petugas Keamanan Informasi Mysten Labs, untuk mempelajari wawasannya tentang keterkaitan praktik keamanan, serta observasi dan komentar tentang praktik keamanan pengembang Sui.

Berikut isi wawancara tersebut:

Q1. Untuk perusahaan teknologi, apa tanggung jawab CISO?

Tanggung jawab Chief Information Security Officer (CISO) sangat luas dan memainkan peran penting dalam mengamankan lingkungan digital kita. Salah satu tugas utamanya adalah mengumpulkan intelijen ancaman, yang mencakup memperoleh wawasan tentang pikiran penyerang potensial: siapa mereka, mengapa mereka menargetkan kita, kapan mereka mungkin menyerang, apa yang mendorong mereka, dan seberapa terampil mereka dalam metode penyerangan. .

Dengan memiliki pandangan yang jelas tentang musuh potensial dan memahami kemampuan mereka, kami dapat mengambil tindakan proaktif untuk melindungi sistem kami. Anda dapat membandingkannya dengan teka-teki jigsaw - jika kita mengetahui siapa pemain jigsaw dan bagaimana mereka bekerja, kita dapat menyatukan potongan-potongan tersebut dengan lebih efisien. Misalnya, kami dapat menggabungkan taktik mereka yang diketahui dengan area sistem kami yang cenderung paling rentan. Ini seperti memiliki sistem pertahanan untuk membunyikan alarm saat seseorang mencoba menembus batas digital kita.

Sama seperti sistem alarm yang memberi tahu kita saat seseorang mencoba masuk ke rumah kita, pengaturan pertahanan ini dapat mengingatkan kita secara real time jika ada aktivitas mencurigakan. Artinya, kami dapat merespons potensi ancaman dengan cepat dan mengambil langkah yang tepat untuk memitigasi risiko.

Fokus ini mencakup berbagai bidang, termasuk keamanan siber, manajemen data, risiko lintas domain, arsitektur, kepatuhan, tata kelola, ketahanan, dan pelaporan.

Bagian dari peran CISO juga meluas untuk melindungi anggota tim internal. Kami menghabiskan banyak upaya untuk memahami betapa berisikonya anggota tim kami. Tingkat risiko ini dapat berubah secara signifikan, terutama saat anggota tim melakukan perjalanan ke daerah yang penuh kekerasan atau tidak aman.

Q2. Saat mempertimbangkan blockchain L1 seperti Sui, bagaimana perbedaan masalah keamanan?

Untuk membuat strategi pertahanan yang kohesif seperti blockchain Sui, beberapa fungsi dan layanan harus digabungkan. Strategi ini harus fokus pada area yang dianggap lemah, tetapi tidak berhenti di situ - komunitas Sui memiliki tanggung jawab untuk melindungi kepentingan seluruh ekosistem, termasuk jaringan dan pengembang yang membangun aplikasi di platform Sui. Mencapai keunggulan dalam keamanan adalah pekerjaan yang mahal dan menantang, terutama untuk pemula.

Untuk mengatasinya, Yayasan Sui sedang mengembangkan produk yang akan memperluas langkah-langkah keamanan ke ekosistem yang lebih besar. Akibatnya, Yayasan Sui akan memberi perusahaan kecil alat dan layanan keamanan yang biasanya hanya tersedia untuk organisasi besar. Hal ini memungkinkan mereka membangun di lingkungan yang lebih aman, meningkatkan kepercayaan pengguna akhir dan regulator. Tujuan kami adalah memastikan bahwa ketika orang membangun di atas Sui, mereka tidak hanya produktif tetapi juga aman.

Q3. Alat dan layanan apa yang digunakan dalam proses menjaga keamanan blockchain?

Bagan di bawah menunjukkan jenis layanan dan alat yang menurut saya akan digunakan oleh tim keamanan terampil saat ini. Elemen-elemen ini mewakili beragam rangkaian layanan yang diperlukan untuk membangun kerangka keamanan yang kuat. Ada kebutuhan untuk menyadari bahwa keefektifan sejati tidak terletak pada keberadaan individual dari setiap layanan, tetapi pada interaksi yang rumit di antara mereka. Ini termasuk memahami keterkaitan mereka, urutan penerapannya, dan sinergi yang mereka buat.

Untuk layanan yang dijelaskan ini (item yang tercantum pada diagram), Sui Network menggunakan alat khusus atau bergantung pada penyedia layanan untuk menerapkannya. Sui Foundation berencana untuk mengemas komponen-komponen ini dan membuatnya tersedia untuk bisnis apa pun yang ingin mengadopsinya untuk kegunaan penuh mereka. Dengan demikian, area yang terkotak-kotak dalam diagram mewakili repositori yang terstruktur dengan baik untuk dieksplorasi, tersedia bagi entitas yang ingin memperkuat keamanan.

Q4 Ada banyak elemen dalam diagram ini. Apakah mereka setara dan terkait erat? Atau ada mekanisme prioritas?

Ya, ada prioritas, dan filosofi di balik bagan ini dipikirkan dengan baik. Seperti memulai dari awal dan mencari tahu apa yang memerlukan perhatian segera, Anda dapat menganggapnya sebagai membangun blok keamanan dasar, atau Anda dapat menganggapnya sebagai perangkat keamanan dasar. Alat ini mungkin mencakup apa yang kami sebut "pertahanan merek", yang berarti waspada terhadap bahaya apa pun yang dapat memengaruhi reputasi perusahaan Anda. Ini melibatkan pengumpulan intelijen untuk memantau dan mengurangi branding negatif apa pun. Selain itu, "integritas" juga menjadi kunci, yang berarti toolkit memiliki kemampuan untuk mendeteksi dan menangani kemungkinan kerusakan citra merek.

Sekarang, toolkit bukanlah satu ukuran untuk semua. Organisasi yang berbeda mungkin memerlukan perangkat yang berbeda yang disesuaikan dengan tujuan unik mereka. Misalnya, perusahaan yang terkait erat dengan pengkodean dapat memprioritaskan pengembangan "kemampuan deteksi kerentanan". Ini melibatkan pemeriksaan sistem yang cermat untuk potensi kerentanan dan melakukan tugas-tugas seperti "fuzzing" untuk menguji tekanan kode mereka. Di sisi lain, pertimbangkan perusahaan keuangan terdesentralisasi versus perusahaan game. Perusahaan keuangan yang terdesentralisasi mungkin tertarik pada perangkat yang berfokus pada risiko regulasi, tata kelola, dan kepatuhan. Sebaliknya, perusahaan game mungkin lebih fokus pada operasi, intelijen, dan lapisan teknik keamanan tertentu.

Pada dasarnya, diagram ini meringkas gagasan mengadaptasi kebijakan keamanan dengan budaya dan prioritas yang berbeda dari jenis perusahaan yang berbeda.

Perusahaan sering berpikir, "Ini semua risiko saya, bagaimana cara menguranginya?" Apakah itu ide untuk mulai dipikirkan? Atau akan ada perspektif lain?

Apakah seperti itu.

Q5. Toolkit tampaknya menjadi cara utama untuk menjaga keamanan seluruh ekosistem blockchain. Mengingat bahwa inti dari rantai publik adalah terdesentralisasi dan tanpa izin. Secara teknis, bagaimana Anda menjaga keamanan jaringan ketika siapa pun dapat mengakses dan berpartisipasi di dalamnya?

Ya, konsep toolkit memainkan peran kunci dalam menjaga keamanan seluruh ekosistem. Keindahan blockchain publik adalah sifatnya yang terdesentralisasi dan tanpa izin, yang memungkinkan banyak orang untuk meneliti aspek-aspeknya. Jadi kemampuan untuk membangun alat yang diperlukan dan memfasilitasi pendidikan sangatlah penting.

Bayangkan ini: Orang-orang dalam ekosistem perlu memahami tidak hanya apa yang terjadi, tetapi juga alat yang tersedia dan cara menggunakannya secara efektif. Perlu dicatat bahwa banyak faktor yang memengaruhi ekosistem melampaui blockchain itu sendiri. Diskusi media sosial, Ketakutan, Ketidakpastian, dan Keraguan (FUD), dan potensi penipuan semuanya dapat berdampak pada ekosistem. Ini panggilan untuk menekankan pentingnya kesadaran holistik.

Faktor kunci ketiga adalah pertukaran informasi dalam komunitas. Ketika individu dapat berkomunikasi dan berkolaborasi, mereka meningkatkan basis pengetahuan kolektif. Jadi, ini adalah pendekatan tiga cabang: pendidikan untuk pengetahuan, informasi untuk wawasan industri, dan alat untuk bertindak. Kombinasi ini memberi masyarakat kemampuan untuk tidak hanya memahami, tetapi juga secara positif memengaruhi semua jenis perilaku.

Q6. Bagaimana komunikasi saat ini antara ekosistem Sui?

Ekosistem Sui berkomunikasi dalam berbagai cara. Validator Summit baru-baru ini menyediakan platform yang sangat berharga bagi individu untuk terhubung satu sama lain dan bertukar wawasan. Acara Builder Houses juga memberikan kesempatan seperti itu untuk semua orang. Selain itu, saya mengetahui bahwa Yayasan Sui berencana menerbitkan serangkaian artikel yang berfokus pada keamanan Sui dalam waktu dekat.

Saluran komunikasi harian menjangkau platform seperti Discord dan Telegram, memfasilitasi interaksi antara validator, operator node, dan pihak berkepentingan lainnya. Forum ini tidak hanya meningkatkan kesadaran tentang kolaborasi, tetapi juga berkembang dari waktu ke waktu, menciptakan platform yang terus berkembang untuk diskusi dan berbagi pengetahuan.

Q7, Sui Move dirancang agar secara inheren lebih aman daripada bahasa pemrograman blockchain lainnya. Bagaimana hal ini memengaruhi cara Sui menangani keamanan?

Tidak diragukan lagi bahwa Move lebih aman daripada beberapa bahasa pemrograman lainnya. Saya ingin menambahkan bahwa banyak tim asli yang terlibat dalam pengembangan Sui berfokus pada keamanan. Jadi ini bukan hanya tentang bahasanya, ini tentang bagaimana berbagai komponen Sui dibuat, yang membuatnya lebih tangguh dan sulit untuk dieksploitasi. Tentu saja, bukan berarti tidak ada orang yang sama pintarnya dalam hal keamanan. Dengan insentif yang cukup, mereka juga akan bekerja keras untuk mencari celah. Oleh karena itu, para ahli perlu memahami siapa, kapan, di mana, mengapa dan bagaimana hal ini bisa terjadi. Itulah yang kami fokuskan.

T8. Bagaimana peristiwa kerentanan di tempat lain di Web3 memengaruhi pekerjaan Sui yang sedang berlangsung?

Sayangnya, ketika terjadi pelanggaran di ruang Web3, hal itu selalu menarik banyak perhatian. Namun, ini juga merupakan pengalaman belajar yang berharga. Mereka mendorong praktisi keamanan untuk mempelajari mekanisme kerentanan—bagaimana, apa, kapan, siapa, dan mengapa. Wawasan ini memberikan wawasan tambahan ke bidang yang lebih luas.

Tim Sui Foundation telah mencurahkan sumber daya keamanan yang signifikan untuk memahami identitas dan kemampuan pelaku ancaman ini, dengan fokus untuk menguraikan target dan motivasi pilihan mereka.

Kerentanan ini memberi kita dua wahyu yang berbeda. Pertama, ada simpati bagi mereka yang terkena dampak karena peristiwa ini berdampak pada orang yang nyata. Kedua, ini adalah kesempatan untuk meningkatkan strategi Sui. Pelajaran itu memungkinkan Sui memperbaiki dan memperkuat posisinya terhadap risiko serupa.

Q9. Apa pendapat Anda tentang keamanan di Web3 mendatang?

Kami berdiri di ambang era baru yang ditandai dengan munculnya Web3 dan teknologi luar biasa yang dibawanya—kecerdasan buatan, pembelajaran mesin, augmented reality, virtual reality, dan banyak lagi. Yang menggairahkan saya adalah potensi luar biasa yang ada di dalamnya. Kami hampir mengalami antarmuka yang sangat imersif dan mengakses informasi lebih cepat dan dengan cara yang belum pernah ada sebelumnya.

Pergeseran ini juga meluas ke keamanan. Bayangkan memiliki mitra AI yang dapat mengidentifikasi potensi ancaman bagi kita, bahkan mungkin skenario AI-versus-AI. Tidak ada keraguan bahwa inilah yang sedang kami upayakan, dan saya berharap Sui menjadi yang terdepan dalam teknologi canggih ini.