Діалог із заступником директора з інформаційної безпеки Mysten Labs: питання безпеки, дизайн і практика Sui Blockchain

Нещодавно ми поспілкувалися віч-на-віч із Крістіаном Томпсоном, заступником директора з інформаційної безпеки Mysten Labs, щоб дізнатися про його думку про взаємозв’язок практик безпеки, а також про спостереження та коментарі щодо практик безпеки розробників Sui.

Ось зміст цього інтерв’ю:

Q1. Яка відповідальність CISO для технологічних компаній?

Обов’язки керівників інформаційної безпеки (CISO) є широкими та відіграють важливу роль у забезпеченні безпеки нашого цифрового середовища. Одним із ключових завдань є збір інформації про загрози, яка включає в себе розуміння свідомості потенційних зловмисників: хто вони, чому вони можуть націлитися на нас, коли вони можуть атакувати, що ними рухає та наскільки вони вміють застосовувати методи атаки .

Маючи чітке уявлення про потенційних супротивників і розуміючи їхні можливості, ми можемо вживати проактивних заходів для захисту наших систем. Ви можете порівняти це з головоломкою - якщо ми знаємо, хто такі гравці в пазл і як вони працюють, ми зможемо складати шматочки разом ефективніше. Наприклад, ми можемо поєднати їх відому тактику з областями нашої системи, які, ймовірно, будуть найбільш вразливими. Це схоже на систему захисту, яка подає тривогу, коли хтось намагається порушити наші цифрові кордони.

Подібно до того, як система сигналізації сповіщає нас, коли хтось намагається проникнути в наш будинок, ця установка захисту може попередити нас у режимі реального часу про будь-яку підозрілу активність. Це означає, що ми можемо швидко реагувати на потенційні загрози та вживати відповідних заходів для зменшення ризиків.

Ці фокуси охоплюють широкий спектр сфер, включаючи кібербезпеку, управління даними, ризики в різних доменах, архітектуру, відповідність, управління, стійкість і звітність.

Частина ролі CISO також поширюється на захист внутрішніх членів команди. Ми докладаємо багато зусиль, щоб зрозуміти, наскільки ризиковані члени нашої команди. Ці рівні ризику можуть суттєво змінюватися, особливо коли члени команди подорожують у місця, де панує насильство чи інші небезпечні місця.

Питання 2. Чим відрізнятимуться питання безпеки, розглядаючи блокчейн L1, як-от Sui?

Щоб створити цілісну оборонну стратегію, таку як блокчейн Sui, необхідно поєднати кілька функцій і послуг. Ця стратегія має зосереджуватися на областях, які вважаються слабкими, але на цьому вона не закінчується – спільнота Sui несе відповідальність за захист інтересів усієї екосистеми, включаючи мережу та розробників, які створюють програми на платформі Sui. Досягнення досконалості в безпеці є дорогим і складним завданням, особливо для стартапів.

Щоб вирішити цю проблему, Sui Foundation розробляє продукт, який поширить заходи безпеки на більшу екосистему. По суті, Sui Foundation надаватиме невеликим компаніям інструменти та послуги безпеки, які зазвичай доступні лише для великих організацій. Це дозволяє їм створювати більш безпечне середовище, підвищуючи довіру кінцевих користувачів і регуляторів. Наша мета — переконатися, що коли люди будують на Sui, вони не тільки продуктивні, але й безпечні.

Q3. Які інструменти та служби використовуються в процесі підтримки безпеки блокчейну?

У діаграмі нижче показано типи послуг та інструментів, які я б вважав для використання кваліфікованою командою безпеки сьогодні. Ці елементи представляють різноманітний набір послуг, необхідних для створення надійної системи безпеки. Необхідно визнати, що справжня ефективність полягає не в окремому існуванні кожної служби, а в складній взаємодії між ними. Це включає розуміння їхніх взаємозв’язків, послідовності, у якій вони реалізуються, та синергії, яку вони створюють.

Для цих описаних служб (елементи, перелічені на схемі) Sui Network використовує спеціальні інструменти або покладається на постачальників послуг для їх розгортання. Фонд Sui планує упакувати ці компоненти та зробити їх доступними для будь-якого бізнесу, який прагне використовувати їх у повній мірі. Таким чином, розділені області на діаграмі являють собою добре структуровані сховища, які потрібно дослідити, доступні для суб’єктів, які прагнуть посилити безпеку.

Q4. У цій таблиці багато елементів. Чи вони рівноправні та тісно пов’язані? Або є механізм пріоритетів?

Так, є пріоритети, і філософія цієї діаграми добре продумана. Подібно до того, як почати з нуля та з’ясувати, що потребує негайної уваги, ви можете думати про це як про створення основного блоку безпеки або про це як про базовий інструментарій безпеки. Цей інструмент може включати те, що ми називаємо «захистом бренду», що означає пильність щодо будь-якої шкоди, яка може вплинути на репутацію вашої компанії. Це передбачає збір розвідувальних даних для моніторингу та пом’якшення будь-якого негативного брендування. Крім того, «цілісність» також є ключовою, що означає, що набір інструментів має здатність виявляти можливу шкоду іміджу бренду та впоратися з нею.

Тепер набори інструментів не є універсальними. Різним організаціям можуть знадобитися різні інструменти, адаптовані відповідно до їхніх унікальних цілей. Наприклад, компанія, яка тісно пов’язана з кодуванням, може надати пріоритет розвитку «можливостей виявлення вразливостей». Це передбачає ретельний аналіз систем на потенційні вразливості та виконання таких завдань, як «фаззинг» для стрес-тестування коду. З іншого боку, розглянемо децентралізовану фінансову компанію проти ігрової компанії. Децентралізована фінансова компанія може тяжіти до інструментарію, який зосереджується на регулятивних ризиках, управлінні та відповідності. І навпаки, ігрова компанія може більше зосередитися на операціях, розвідці та певних рівнях техніки безпеки.

По суті, ця діаграма підсумовує поняття адаптації політики безпеки до різних культур і пріоритетів різних типів компаній.

Компанії часто думають: «Ось усі мої ризики, як їх пом’якшити?» Це ідея, про яку варто почати думати? Або будуть інші перспективи?

Таке що.

Q5. Набори інструментів, здається, є ключовим способом збереження всієї екосистеми блокчейну в безпеці. Враховуючи, що сенс загальнодоступного ланцюга полягає в тому, що він децентралізований і не має дозволу. Технічно, як забезпечити безпеку мережі, коли будь-хто може отримати до неї доступ і брати участь у ній?

Так, концепція наборів інструментів відіграє ключову роль у підтримці безпеки всієї екосистеми. Краса загальнодоступного блокчейну полягає в його децентралізованості та без дозволу, що дозволяє багатьом людям ретельно вивчати його аспекти. Тому вміння створювати необхідні інструменти та сприяти навчанню є критично важливим.

Уявіть собі: люди в екосистемі повинні розуміти не тільки те, що відбувається, але й доступні інструменти та те, як їх ефективно використовувати. Варто зазначити, що багато факторів, які впливають на екосистему, виходять за межі самого блокчейну. Дискусії в соціальних мережах, страх, невпевненість і сумнів (FUD) і потенційне шахрайство можуть вплинути на екосистему. Це вимагає підкреслити важливість цілісного усвідомлення.

Третій ключовий фактор – це обмін інформацією всередині спільноти. Коли люди можуть спілкуватися та співпрацювати, вони розширюють колективну базу знань. Отже, це тристоронній підхід: освіта для знань, інформація для розуміння галузі та інструменти для дій. Ця комбінація дає громадам можливість не тільки розуміти, але й позитивно впливати на будь-яку поведінку.

Запитання 6. Яким є поточний зв’язок між екосистемою Sui?

Екосистема Sui спілкується різними способами. Нещодавній саміт валідаторів надав безцінну платформу для людей, щоб спілкуватися один з одним і обмінюватися досвідом. Захід Builder Houses також надає таку можливість усім бажаючим. Крім того, я дізнався, що Sui Foundation найближчим часом планує опублікувати серію статей, присвячених безпеці Sui.

Щоденні канали зв’язку охоплюють такі платформи, як Discord і Telegram, сприяючи взаємодії між валідаторами, операторами вузлів та іншими зацікавленими сторонами. Ці форуми не тільки підвищили обізнаність про співпрацю, але й розширилися з часом, створивши платформу для обговорення та обміну знаннями, що постійно розвивається.

Q7, Sui Move за своєю суттю є більш безпечною, ніж інші мови програмування блокчейну. Як це впливає на спосіб безпеки Sui?

Немає сумніву, що Move безпечніша за деякі інші мови програмування. Я хотів би додати, що багато хто з початкової команди, яка брала участь у розробці Sui, були зосереджені на безпеці. Отже, справа не лише в мові, а й у тому, як побудовано різні компоненти Sui, що робить його стійкішим і важчим для експлуатації. Звичайно, це не означає, що в охороні немає однаково розумних людей. Маючи достатньо стимулів, вони також наполегливо працюватимуть, щоб знайти лазівки. Тому експерти мають зрозуміти, хто, коли, де, чому і як це могло статися. Ось на чому ми зосереджуємося.

Q8. Як вразливість в інших місцях Web3 впливає на поточну роботу Sui?

На жаль, коли в просторі Web3 виникає пролом, він завжди привертає багато уваги. Однак це також цінний досвід навчання. Вони спонукають практиків безпеки заглибитися в механізм уразливостей — як, що, коли, хто і чому. Ці відомості дають додаткове розуміння ширшого поля.

Команда Sui Foundation виділила значні ресурси безпеки для розуміння ідентичності та можливостей цих загроз, зосередившись на розшифровці їхніх бажаних цілей і мотивів.

Ці вразливості приносять нам два різні відкриття. По-перше, є співчуття тим, хто постраждав, тому що ці події стосуються реальних людей. По-друге, це можливість покращити стратегію Суї. Ці уроки дозволили Sui вдосконалити та зміцнити свою позицію проти подібних ризиків.

Q9. Яка ваша думка щодо безпеки в майбутньому Web3?

Ми стоїмо на порозі нової ери, відзначеної появою Web3 і надзвичайних технологій, які він приносить — штучного інтелекту, машинного навчання, доповненої реальності, віртуальної реальності тощо. Що мене хвилює, так це неймовірний потенціал, який криється всередині. Ми знаходимося на порозі того, щоб отримати інтерфейси з високим ефектом занурення та отримати доступ до інформації швидше та раніше неможливим способом.

Ця зміна також стосується безпеки. Уявіть собі партнера зі штучного інтелекту, який може визначити потенційні загрози для нас, можливо, навіть сценарій ШІ проти ШІ. Немає сумніву, що це те, над чим ми працюємо, і я очікую, що Суї буде в авангарді цих передових технологій.