Diálogo con el excelente proveedor de servicios de seguridad Web3: la "batalla ofensiva y defensiva" de la seguridad en la nube

El ecosistema construido por Web3 con la tecnología subyacente de Blockchain (Distributed Ledger) está iterando rápidamente, la innovación tecnológica de las cadenas públicas L1 y L2 hace factible convertirse en la próxima generación de redes informáticas subyacentes, varias infraestructuras están mejorando constantemente como componentes “Lego”, y los BUIDLers de Web3 continúan construyendo dApps enriquecidas en múltiples pistas de aplicación.

Como una instalación subyacente particularmente importante de Web3, los servicios en la nube también son indispensables para todo el ecosistema Web3, con decenas de miles de programas que se ejecutan en servidores en la nube cada año. Según los datos publicados de la agencia de seguridad de Immunefi, “el 46,5% de las pérdidas financieras en 2022 provinieron de la infraestructura subyacente, siendo la gestión, las prácticas y los planes de respuesta a emergencias para las claves privadas las más importantes”. La seguridad en la nube de Web3 sigue enfrentándose a desafíos, como la fuga de claves privadas, el acceso no autorizado, el análisis y la auditoría de SmartContract, los ataques DDoS, las amenazas internas, el cumplimiento y la estabilidad, y otros problemas que han afectado a los BUIDLers de Web3, y que también han planteado nuevos retos a los proveedores de servicios en la nube y a los proveedores de servicios de seguridad.

Como primera empresa en lanzar servicios en la nube, Amazon Web Services (AWS) siempre ha sido líder en el campo de los servicios en la nube, y ahora AWS está adoptando activamente el ecosistema Web3, y lanzó conjuntamente una serie de seminarios en línea y fuera de línea sobre “Seguridad Web3” con CrossSpace, una marca líder de la comunidad Web3, para profundizar en el campo de la seguridad de los servicios en la nube, escuchar los desafíos de la práctica de seguridad de los intercambios, las cadenas públicas, la infraestructura y las dApps, y discutir soluciones prácticas.

Como parte de esta serie, tenemos el honor de entrevistar a cuatro proveedores líderes de servicios de seguridad Web3, Beosin, CertiK, MetaTrust y SlowMist, así como a expertos en seguridad en la nube de AWS, para discutir los desafíos actuales de la seguridad en la nube y cómo resolverlos.

¿Por qué es tan importante la seguridad en la nube de Web3?

La seguridad es una prioridad para cualquier empresa. Los servicios en la nube y la Web3 se refuerzan mutuamente. Desde el lanzamiento de la red principal de Bitcoin en 2009 y el lanzamiento de la red principal de Ethereum en 2015, los incidentes de seguridad y las pérdidas de activos han aumentado año tras año, por lo que hay que prestar más atención a la seguridad como piedra angular del mundo Web3. Ya sea que se trate de un intercambio centralizado o de un DeFi, GameFi, NFT, DAO, Social, Bridge y otros escenarios descentralizados, habrá varios escenarios de aplicación basados en tokens. Cómo garantizar la seguridad de todo el proceso de procesamiento de tokens se ha convertido en un problema que los BUDLers de Web3 deben considerar cuidadosamente. Como experto en el campo de la seguridad en la nube y una organización que ha servido a muchas partes del proyecto Web3, AWS ha estado prestando mucha atención a la seguridad del campo Blockchain y Web3, comunicándose activamente con las partes del proyecto y realizando diversas formas de intercambio y capacitación en seguridad Web3.

Hacia finales de 2023, la señal del mercado alcista es gradualmente clara, el número de proyectos Web3 que despliegan servidores en la nube aumentará rápidamente y el papel de la nube como capa de infraestructura es cada vez más importante, por lo que la seguridad en la nube es un elemento de seguridad al que todos los desarrolladores y BUDLers deben prestar atención.

¿Cuáles son los principales retos a los que se enfrenta la seguridad en la nube hoy en día?

En esta entrevista, la empresa de seguridad Beosin dijo: “El ataque a los proveedores de datos de servicios en la nube es uno de los principales tipos de ataques en los últimos tiempos, principalmente a través de ataques DDoS, secuestro de cuentas, implantación maliciosa y otros medios, contra los servicios informáticos y de almacenamiento proporcionados por los proveedores de datos de servicios en la nube, y las consecuencias son la fuga de datos confidenciales y la interrupción del servicio”. El equipo compartió: "Mixin Network y Fortress IO perdieron recientemente 200 millones de dólares y 15 millones de dólares, respectivamente, debido a los ataques a los proveedores de servicios en la nube. "

La fuga de datos sensibles, especialmente la fuga de claves privadas, es la causa de los incidentes de seguridad mencionados muchas veces por varios expertos en seguridad durante esta entrevista. El informe trimestral de seguridad del tercer trimestre de CertiK también afirmó que “las fugas de claves privadas fueron una de las razones de las pérdidas significativas en el trimestre”. Los 14 incidentes de robo de claves privadas se saldaron con una pérdida total de 204 millones de dólares. "

Además de las filtraciones de datos, el equipo de SlowMist también identificó otras categorías relacionadas con las amenazas a la seguridad en la nube, entre ellas:

1. Compromiso de la cuenta y acceso no autorizado: Los piratas informáticos pueden obtener acceso no autorizado a las cuentas y credenciales de los usuarios a través del descifrado de contraseñas, la ingeniería social o los ataques de contraseñas débiles.

2. Ataques DDoS: Los ataques de denegación de servicio distribuido (DDoS) pueden hacer que los servicios en la nube no estén disponibles, paralizar los servicios al acaparar los recursos o inundar el tráfico de la red, lo que provoca la interrupción del negocio.

3. Amenazas internas maliciosas: Los usuarios o empleados internos pueden abusar de su autoridad para robar datos, destruir información o participar en otros actos maliciosos.

4. Cumplimiento y gestión de datos: El equipo del proyecto no utilizó de manera efectiva varias herramientas para proteger los datos en el proceso de procesamiento de datos en la plataforma del proveedor de servicios en la nube, lo que resultó en confusión o pérdida de datos.

Ante los ángulos de ataque multidimensionales de los hackers y los posibles riesgos de seguridad interna, los expertos en seguridad de Web3 piden a todo el mundo que se dé cuenta de que la seguridad en la nube requiere una estrategia de seguridad integral, por lo que no se trata de una simple prevención de seguridad unidimensional.

La “batalla de ataque y defensa” de Cloud Security, ¿cómo romper el juego?

Frente a los continuos desafíos de la seguridad en la nube, ¿cómo hacer un buen trabajo de “defensa” para ayudar a la privacidad de los datos y la seguridad de los fondos de los usuarios? Expertos y equipos de varias agencias de seguridad dieron sus puntos de vista.

Equipo Beosin:

"Las violaciones de datos confidenciales ocurren con frecuencia, y se recomienda que los técnicos encripten los datos al almacenarlos y transmitirlos para evitar el acceso de terceros no autorizados. En el caso de los datos confidenciales, como las claves privadas, le recomendamos que utilice tecnologías informáticas que preserven la privacidad y de cifrado homomórfico para evitar la fuga de claves privadas.

Al mismo tiempo, el equipo del proyecto debe asegurarse de que el cliente solo acceda al servicio en la nube a través de API seguras para evitar actividades maliciosas como ataques de inyección y secuencias de comandos entre sitios. También puede utilizar las API para autenticar y verificar los datos antes de acceder a los servicios en la nube para garantizar la seguridad del acceso y la seguridad de los datos. Teniendo en cuenta que la capacidad de protección de seguridad de los equipos personales como clientes es débil, no se recomienda llamar directamente a las API para acceder y operar el sistema a través de equipos personales, sino completar el acceso relevante a través de escritorios virtuales en la nube o servidores de salto seguros. "

Prof. Kang Li, Director de Seguridad, CertiK:

"Observamos principalmente dos tipos comunes de riesgos cuando se utilizan plataformas en la nube, a saber, la configuración incorrecta de los datos en la nube por parte del usuario y el riesgo causado por los usuarios que ocultan los servicios del backend en la nube a las dApps. La mayoría de las veces, la nube proporciona una gran cantidad de protección de recursos y control de datos, pero a menudo debido al uso inadecuado de la configuración por parte del usuario, personas ajenas tienen la oportunidad de ingresar al backend del usuario. Otro tipo de riesgo proviene del hecho de que los desarrolladores del lado del proyecto ocultan los servicios del fondo de la nube de la dApp: para facilitar su propio uso, algunos desarrolladores diseñarán una interfaz para todo el proyecto que creen que solo se usa internamente, de modo que la aplicación móvil pueda acceder directamente a la dApp sin estar expuesta al público. Aunque la API en la nube del equipo del proyecto tiene un control especial, esto sigue dando lugar a una gran interacción entre la dApp y el backend.

Frente a estos dos tipos de riesgos, CertiK ha establecido servicios de seguridad tanto para la nube como para las dApps basadas en la nube, incluidas auditorías de código, evaluaciones de riesgos, verificación de identidad del equipo y verificación de antecedentes. "Si no se puede garantizar que se pueda confiar en el equipo de desarrollo, es importante que un experto en auditoría realice una auditoría completa de la dApp. "

Prof. Yang Liu, cofundador de MetaTrust:

"Como capa de infraestructura, la seguridad en la nube debe hacer un buen trabajo en la seguridad de los datos y la protección de la privacidad del usuario. Cree una seguridad completa de extremo a extremo, con un enfoque especial en la protección de datos. Establezca permisos de acceso para diferentes tipos de datos para evitar el acceso no autorizado. El mecanismo de los servicios en la nube es complejo y los diferentes tipos de datos deben tener mecanismos de acceso independientes.

Además, el cumplimiento de los datos también debe tomarse en serio. En la actualidad, una gran cantidad de datos en la nube se encuentran en la misma nube, que puede estar restringida debido a diferentes regiones. Si no comprende esta situación, puede conducir fácilmente a problemas de cumplimiento causados por violaciones de datos transfronterizas. Por lo tanto, el control de acceso y la autenticación también son muy importantes. Necesitamos construir un mecanismo de autenticación y control de acceso estricto y detallado para evitar el acceso no autorizado. "

Equipo de Niebla Lenta:

"La seguridad en la nube requiere una estrategia de seguridad integral, que incluya un control de acceso adecuado, cifrado, monitoreo continuo y agencias de seguridad profesionales para llevar a cabo una gama completa de auditorías, educación y capacitación y otras medidas para garantizar la seguridad y estabilidad del entorno de la nube. Por ejemplo, el cifrado de extremo a extremo de datos críticos, si se va a utilizar el cifrado, la gestión de la seguridad de la clave de cifrado es crucial, mantenga una copia de seguridad de la clave, preferiblemente no en la nube. Por ejemplo, al evitar vulnerabilidades básicas como errores de configuración, los riesgos de seguridad en la nube se reducen considerablemente. Por último, tanto si es un particular, una pequeña o mediana empresa o un usuario de la nube de nivel empresarial, es importante asegurarse de que su red y sus dispositivos sean lo más seguros posible. "

AWS: La seguridad es una protección multicapa de tipo cebolla

Ya sea en Web2 o Web3, AWS proporciona activamente servicios de seguridad y computación en la nube para una variedad de proyectos. Como empresa líder y participante activo en la computación en la nube, los expertos técnicos de AWS Web3 creen que la seguridad no es una protección de una sola capa del modelo de huevo, sino un modelo de cebolla de protección multicapa, que se despliega progresivamente capa por capa. En concreto, la primera capa es la detección de amenazas y la respuesta a incidentes, la segunda capa es la autenticación de identidad y el control de acceso, la tercera capa es la seguridad de la red y la infraestructura, la cuarta capa es la protección de datos y la privacidad, y la quinta capa es el control de riesgos y el cumplimiento. AWS proporciona una solución completa para cada capa para ayudar a los propietarios de proyectos Web3 a administrar todo el sistema de aplicaciones de forma más segura.

Conclusión: Para ganar la batalla ofensiva y defensiva de la seguridad en la nube Web3, debe contar con los esfuerzos conjuntos de todas las partes

La seguridad del ecosistema Web3 es inseparable de la seguridad de la infraestructura en la nube, y todos los participantes relacionados con la infraestructura en la nube, incluidas las partes del proyecto, los proveedores de servicios en la nube y los proveedores de servicios de seguridad, deben establecer una estrategia de seguridad integral, realizar auditorías periódicas y realizar comprobaciones de autoseguridad para garantizar la máxima seguridad.

Para los desarrolladores de Web3, además de mejorar su propio nivel ético, también deben seguir mejorando sus habilidades relacionadas con la seguridad, y pueden participar activamente en las actividades y la formación de AWS para desarrolladores, como Web3 Ethical Hacking and Security Best Practice, para identificar los riesgos comunes de los contratos.

Nuestro objetivo común es construir un ecosistema Web3 seguro y lograr un desarrollo sostenible en la industria, y esperamos que puedas inspirarte en esta entrevista y aplicarla activamente a tu práctica diaria.

Si los proyectos Web3 necesitan saber cómo crear aplicaciones seguras en la nube, haga clic en el enlace para obtener más información: