Dialogue avec l’excellent fournisseur de services de sécurité Web3 : la « bataille offensive et défensive » de la sécurité du cloud

L’écosystème construit par le Web3 avec la technologie sous-jacente de la Blockchain (Distributed Ledger) s’itère rapidement, l’innovation technologique des chaînes publiques L1 et L2 permet de devenir la prochaine génération de réseaux informatiques sous-jacents, diverses infrastructures s’améliorent constamment comme les composants « Lego », et les BUIDLers du Web3 continuent de créer des dApps riches dans de multiples pistes d’applications.

En tant qu’installation sous-jacente particulièrement importante du Web3, les services cloud sont également indispensables à l’ensemble de l’écosystème Web3, avec des dizaines de milliers de programmes exécutés sur des serveurs cloud chaque année. Selon les données publiques de l’agence de sécurité d’Immunefi, « 46,5 % des pertes financières en 2022 provenaient de l’infrastructure sous-jacente, la gestion, les pratiques et les plans d’intervention d’urgence pour les clés privées étant les plus importants ». La sécurité du cloud Web3 continue de faire face à des défis, tels que les fuites de clés privées, les accès non autorisés, l’analyse et l’audit des contrats intelligents, les attaques DDoS, les menaces internes, la conformité et la stabilité, ainsi que d’autres problèmes qui ont affecté les utilisateurs de BUIDL Web3, et ont également apporté de nouveaux défis aux fournisseurs de services cloud et aux fournisseurs de services de sécurité.

En tant que première entreprise à lancer des services cloud, Amazon Web Services (AWS) a toujours été un leader dans le domaine des services cloud, et maintenant AWS adopte activement l’écosystème Web3, et a lancé conjointement une série de séminaires en ligne et hors ligne sur la « sécurité Web3 » avec CrossSpace, une marque communautaire Web3 de premier plan, pour approfondir le domaine de la sécurité des services cloud, écouter les défis des pratiques de sécurité des échanges, des chaînes publiques, de l’infrastructure et des dApps, et discuter de solutions pratiques.

Dans le cadre de cette série, nous avons l’honneur d’interviewer quatre fournisseurs de services de sécurité Web3 de premier plan, Beosin, CertiK, MetaTrust et SlowMist, ainsi que des experts en sécurité du cloud AWS, pour discuter des défis actuels de la sécurité du cloud et de la manière de les résoudre.

Pourquoi la sécurité du cloud Web3 est-elle si importante ?

La sécurité est une priorité absolue pour toute entreprise. Les services cloud et le Web3 se renforcent mutuellement. Depuis le lancement du réseau principal Bitcoin en 2009 et le lancement du réseau principal Ethereum en 2015, les incidents de sécurité et les pertes d’actifs ont augmenté d’année en année, de sorte que la sécurité en tant que pierre angulaire du monde Web3 doit faire l’objet d’une plus grande attention. Qu’il s’agisse d’un échange centralisé ou d’un scénario décentralisé DeFi, GameFi, NFT, DAO, Social, Bridge et autres, il y aura divers scénarios d’application basés sur les jetons. Comment assurer la sécurité de l’ensemble du processus de traitement des jetons est devenu un problème que les Web3 BUDLers doivent examiner attentivement. En tant qu’expert dans le domaine de la sécurité du cloud et en tant qu’organisation qui a servi de nombreuses parties au projet Web3, AWS a accordé une attention particulière à la sécurité du domaine de la blockchain et du Web3, en communiquant activement avec les parties au projet et en organisant diverses formes de partage et de formation sur la sécurité Web3.

Vers la fin de l’année 2023, le signal du marché haussier est progressivement clair, le nombre de projets Web3 déployant des serveurs cloud augmentera rapidement et le rôle du cloud en tant que couche d’infrastructure devient de plus en plus important, de sorte que la sécurité du cloud est un élément de sécurité auquel chaque développeur et BUDLers doit prêter attention.

Quels sont les principaux défis auxquels est confrontée la sécurité du cloud aujourd’hui ?

Dans cette interview, la société de sécurité Beosin a déclaré : « L’attaque des fournisseurs de données de services cloud est l’un des principaux types d’attaques de ces derniers temps, principalement par le biais d’attaques DDoS, de détournements de comptes, d’implantations malveillantes et d’autres moyens, contre les services informatiques et de stockage fournis par les fournisseurs de données de services cloud, et les conséquences sont des fuites de données sensibles et des interruptions de service. » L’équipe a partagé : « Mixin Network et Fortress IO ont récemment perdu 200 millions de dollars et 15 millions de dollars, respectivement, en raison d’attaques contre les fournisseurs de services cloud. "

La fuite de données sensibles, notamment la fuite de clés privées, est à l’origine d’incidents de sécurité évoqués à maintes reprises par différents experts en sécurité au cours de cette interview. Le rapport trimestriel sur la sécurité du troisième trimestre de CertiK indiquait également que « les fuites de clés privées ont été l’une des raisons des pertes importantes au cours du trimestre ». Les 14 incidents de vol de clés privées ont entraîné une perte totale de 204 millions de dollars. "

En plus des violations de données, l’équipe de SlowMist a également identifié plusieurs autres catégories impliquant des menaces pour la sécurité du cloud, notamment :

1. Compromission de compte et accès non autorisé : Les pirates peuvent obtenir un accès non autorisé aux comptes et aux informations d’identification des utilisateurs par le biais du craquage de mots de passe, de l’ingénierie sociale ou d’attaques de mots de passe faibles.

2. Attaques DDoS : les attaques par déni de service distribué (DDoS) peuvent rendre les services cloud indisponibles, paralyser les services en monopolisant les ressources ou en inondant le trafic réseau, entraînant une interruption de l’activité.

3. Menaces internes malveillantes : Les utilisateurs ou les employés internes peuvent abuser de leur autorité pour voler des données, détruire des informations ou se livrer à d’autres actes malveillants.

4. Conformité et gestion des données : L’équipe de projet n’a pas utilisé efficacement divers outils pour protéger les données lors du traitement des données sur la plate-forme du fournisseur de services cloud, ce qui a entraîné une confusion ou une perte de données.

Face aux angles d’attaque multidimensionnels des pirates et aux risques potentiels de sécurité interne, les experts en sécurité du Web3 appellent tout le monde à réaliser que la sécurité du cloud nécessite une stratégie de sécurité complète, et qu’il ne s’agit donc pas d’une simple prévention de sécurité unidimensionnelle.

La « bataille d’attaque et de défense » de Cloud Security, comment casser le jeu ?

Face aux défis continus de la sécurité du cloud, comment faire un bon travail de « défense » pour aider les utilisateurs à protéger leur vie privée, leurs données et leurs fonds ? Des experts et des équipes de diverses agences de sécurité ont donné leur point de vue.

Équipe Beosin :

« Les violations de données sensibles se produisent fréquemment, et il est recommandé aux techniciens de chiffrer les données lors de leur stockage et de leur transmission afin d’éviter tout accès par des tiers non autorisés. Pour les données sensibles telles que les clés privées, nous vous recommandons d’utiliser des technologies informatiques et de chiffrement homomorphes qui préservent la confidentialité afin d’éviter les fuites de clés privées.

Dans le même temps, l’équipe de projet doit s’assurer que le client n’accède au service cloud que par le biais d’API sécurisées afin d’éviter les activités malveillantes telles que les attaques par injection et le cross-site scripting. Vous pouvez également utiliser des API pour authentifier et vérifier les données avant d’accéder aux services cloud afin de garantir la sécurité des accès et des données. Étant donné que la capacité de protection de la sécurité des ordinateurs personnels en tant que clients est faible, il n’est pas recommandé d’appeler directement les API pour accéder au système et l’exploiter via des ordinateurs personnels, mais d’effectuer l’accès approprié via des bureaux virtuels dans le cloud ou des serveurs de saut sécurisés. "

Prof. Kang Li, Directeur de la sécurité, CertiK :

« Nous observons principalement deux types de risques courants lors de l’utilisation de plateformes cloud, à savoir la mauvaise configuration des données cloud par l’utilisateur et le risque causé par les utilisateurs qui cachent les services du backend cloud aux dApps. La plupart du temps, le cloud offre une grande protection des ressources et un contrôle des données, mais souvent, en raison d’une mauvaise utilisation de la configuration par l’utilisateur, des personnes extérieures ont la possibilité d’entrer dans le backend de l’utilisateur. Un autre type de risque vient du fait que les développeurs du côté projet cachent les services de l’arrière-plan cloud à la dApp - afin de faciliter leur propre utilisation, certains développeurs concevront une interface pour l’ensemble du projet qu’ils pensent n’être utilisée qu’en interne, afin que la dApp puisse être directement accessible par l’application mobile sans être exposée au public. Bien que l’API cloud de l’équipe de projet dispose d’un contrôle particulier, cela conduit toujours à beaucoup d’interaction entre la dApp et le backend.

Face à ces deux types de risques, CertiK a mis en place des services de sécurité pour les dApps dans le cloud et dans le cloud, notamment des audits de code, des évaluations des risques, une vérification de l’identité des équipes et des vérifications des antécédents. « Si vous ne pouvez pas garantir que vous pouvez faire confiance à l’équipe de développement, il est important de demander à un expert en audit de réaliser un audit complet de la dApp. "

Prof. Yang Liu, Co-fondateur de MetaTrust :

« En tant que couche d’infrastructure, la sécurité du cloud doit faire du bon travail en matière de sécurité des données et de protection de la vie privée des utilisateurs. Mettez en place une sécurité complète de bout en bout, en mettant l’accent sur la protection des données. Définissez des autorisations d’accès pour différents types de données afin d’empêcher tout accès non autorisé. Le mécanisme des services cloud est complexe et les différents types de données doivent avoir des mécanismes d’accès indépendants.

En outre, la conformité des données doit également être prise au sérieux. À l’heure actuelle, de nombreuses données dans le cloud se trouvent dans le même cloud, qui peut être restreint en raison de différentes régions. Si vous ne comprenez pas cette situation, cela peut facilement entraîner des problèmes de conformité causés par des violations de données transfrontalières. Par conséquent, le contrôle d’accès et l’authentification sont également très importants. Nous devons mettre en place un mécanisme de contrôle d’accès et d’authentification strict et précis pour empêcher tout accès non autorisé. "

Équipe SlowMist :

« La sécurité du cloud nécessite une stratégie de sécurité complète, y compris un contrôle d’accès approprié, un chiffrement, une surveillance continue et des agences de sécurité professionnelles pour mener une gamme complète d’audits, d’éducation et de formation et d’autres mesures pour assurer la sécurité et la stabilité de l’environnement cloud. Par exemple, le chiffrement de bout en bout des données critiques, si le chiffrement doit être utilisé, la gestion de la sécurité de la clé de chiffrement est cruciale, conservez une sauvegarde de la clé, de préférence pas dans le cloud. Par exemple, en empêchant les vulnérabilités de base telles que les erreurs de configuration, les risques de sécurité du cloud sont considérablement réduits. Enfin, que vous soyez un particulier, une petite ou moyenne entreprise ou un utilisateur de cloud au niveau de l’entreprise, il est important de vous assurer que votre réseau et vos appareils sont aussi sécurisés que possible. "

AWS : La sécurité est une protection multicouche de type oignon

Que ce soit dans le Web2 ou le Web3, AWS fournit activement des services de cloud computing et de sécurité pour une variété de projets. En tant qu’entreprise de premier plan et participant actif au cloud computing, les experts techniques d’AWS Web3 estiment que la sécurité n’est pas une protection à une seule couche du modèle de l’œuf, mais un modèle en forme d’oignon de protection multicouche, qui est progressivement et déplié couche par couche. Plus précisément, la première couche est la détection des menaces et la réponse aux incidents, la deuxième couche est l’authentification de l’identité et le contrôle d’accès, la troisième couche est la sécurité du réseau et de l’infrastructure, la quatrième couche est la protection des données et de la confidentialité, et la cinquième couche est le contrôle des risques et la conformité. AWS fournit une solution complète pour chaque couche afin d’aider les propriétaires de projets Web3 à gérer l’ensemble du système d’applications de manière plus sécurisée.

Conclusion : Pour gagner la bataille offensive et défensive de la sécurité du cloud Web3, elle doit s’appuyer sur les efforts conjoints de toutes les parties

La sécurité de l’écosystème Web3 est indissociable de la sécurité de l’infrastructure cloud, et tous les participants liés à l’infrastructure cloud, y compris les parties au projet, les fournisseurs de services cloud et les fournisseurs de services de sécurité, doivent établir une stratégie de sécurité complète, effectuer des audits réguliers et effectuer des contrôles d’auto-sécurité pour garantir une sécurité maximale.

Pour les développeurs Web3, en plus d’améliorer leur propre niveau éthique, ils doivent également continuer à améliorer leurs compétences en matière de sécurité, et peuvent participer activement aux activités et aux formations d’AWS pour les développeurs, telles que Web3 Ethical Hacking and Security Best Practice, afin d’identifier les risques contractuels courants.

Notre objectif commun est de construire un écosystème Web3 sécurisé et de parvenir à un développement durable dans l’industrie, et nous espérons que vous pourrez vous inspirer de cette interview et l’appliquer activement à votre pratique quotidienne.

Si les projets Web3 ont besoin de savoir comment créer des applications cloud sécurisées, cliquez sur le lien pour en savoir plus :