Dialog dengan Web3 Penyedia Layanan Keamanan Luar Biasa: "Pertempuran Ofensif dan Defensif" Keamanan Cloud

Ekosistem yang dibangun oleh Web3 dengan teknologi dasar Blockchain (Distributed Ledger) dengan cepat berulang, inovasi teknologi rantai publik L1 dan L2 membuatnya layak untuk menjadi generasi berikutnya dari jaringan komputasi yang mendasarinya, berbagai infrastruktur terus meningkat seperti komponen “Lego”, dan Web3 BUIDLers terus membangun dApps yang kaya di berbagai trek aplikasi.

Sebagai fasilitas dasar Web3 yang sangat penting, layanan cloud juga sangat diperlukan untuk seluruh ekosistem Web3, dengan puluhan ribu program berjalan di server cloud setiap tahun. Menurut data yang dilaporkan secara publik dari badan keamanan Immunefi, “46,5% kerugian finansial pada tahun 2022 berasal dari infrastruktur yang mendasarinya, dengan manajemen, praktik, dan rencana tanggap darurat untuk kunci pribadi menjadi yang paling penting.” Keamanan cloud Web3 terus menghadapi tantangan, seperti kebocoran kunci pribadi, akses tidak sah, analisis dan audit SmartContract, serangan DDoS, ancaman orang dalam, kepatuhan dan stabilitas, dan masalah lain yang telah mengganggu BUIDLers Web3, dan juga membawa tantangan baru bagi penyedia layanan cloud dan penyedia layanan keamanan.

Sebagai perusahaan pertama yang meluncurkan layanan cloud, Amazon Web Services (AWS) selalu menjadi pemimpin di bidang layanan cloud, dan sekarang AWS secara aktif merangkul ekosistem Web3, dan bersama-sama meluncurkan serangkaian seminar online dan offline tentang “Keamanan Web3” dengan CrossSpace, merek komunitas Web3 terkemuka, untuk masuk jauh ke bidang keamanan layanan cloud, mendengarkan tantangan praktik keamanan dari bursa, rantai publik, infrastruktur dan dApps, dan mendiskusikan solusi praktis.

Sebagai bagian dari seri ini, kami merasa terhormat untuk mewawancarai empat penyedia layanan keamanan Web3 terkemuka, Beosin, CertiK, MetaTrust dan SlowMist, serta pakar keamanan cloud AWS, untuk membahas tantangan keamanan cloud saat ini dan cara mengatasinya.

Mengapa keamanan cloud Web3 begitu penting?

Keamanan adalah prioritas utama untuk bisnis apa pun. Layanan cloud dan Web3 saling menguatkan. Sejak peluncuran mainnet Bitcoin pada tahun 2009 dan peluncuran mainnet Ethereum pada tahun 2015, insiden keamanan dan kerugian aset telah meningkat dari tahun ke tahun, sehingga keamanan sebagai landasan dunia Web3 perlu lebih diperhatikan. Baik itu pertukaran terpusat, atau DeFi, GameFi, NFT, DAO, Sosial, Bridge, dan skenario lainnya yang terdesentralisasi, akan ada berbagai skenario aplikasi berdasarkan token. Bagaimana memastikan keamanan seluruh proses pemrosesan token telah menjadi masalah yang perlu dipertimbangkan dengan cermat oleh Web3 BUDLers. Sebagai ahli di bidang keamanan cloud dan organisasi yang telah melayani banyak pihak proyek Web3, AWS telah memperhatikan keamanan bidang Blockchain dan Web3, secara aktif berkomunikasi dengan pihak proyek, dan mengadakan berbagai bentuk pembagian dan pelatihan keamanan Web3.

Menjelang akhir tahun 2023, sinyal pasar bull secara bertahap jelas, jumlah proyek Web3 yang menyebarkan server cloud akan meningkat pesat, dan peran cloud sebagai lapisan infrastruktur menjadi semakin penting, sehingga keamanan cloud adalah elemen keamanan yang harus diperhatikan oleh setiap pengembang dan BUDLers.

Apa tantangan utama yang dihadapi keamanan cloud saat ini?

Dalam wawancara ini, perusahaan keamanan Beosin mengatakan, "Serangan penyedia data layanan cloud adalah salah satu jenis serangan utama belakangan ini, terutama melalui serangan DDoS, pembajakan akun, implantasi berbahaya dan cara lain, terhadap layanan komputasi dan penyimpanan yang disediakan oleh penyedia data layanan cloud, dan konsekuensinya adalah kebocoran data sensitif dan gangguan layanan. " Tim berbagi, "Mixin Network dan Fortress IO baru-baru ini kehilangan $ 200 juta dan $ 15 juta, masing-masing, karena serangan terhadap penyedia layanan cloud. "

Kebocoran data sensitif, terutama kebocoran kunci pribadi, adalah penyebab insiden keamanan yang disebutkan berkali-kali oleh berbagai pakar keamanan selama wawancara ini. Laporan triwulanan keamanan Q3 CertiK juga menyatakan bahwa “kebocoran kunci pribadi adalah salah satu alasan kerugian yang signifikan di kuartal ini.” 14 insiden pencurian kunci pribadi mengakibatkan kerugian total $ 204 juta. "

Selain pelanggaran data, tim SlowMist juga mengidentifikasi beberapa kategori lain yang melibatkan ancaman keamanan cloud, termasuk:

1. Penyusupan Akun dan Akses Tidak Sah: Peretas dapat memperoleh akses tidak sah ke akun pengguna dan kredensial melalui peretasan kata sandi, rekayasa sosial, atau serangan kata sandi yang lemah.

2. Serangan DDoS: Serangan penolakan layanan terdistribusi (DDoS) dapat membuat layanan cloud tidak tersedia, melumpuhkan layanan dengan memonopoli sumber daya atau membanjiri lalu lintas jaringan, yang menyebabkan gangguan bisnis.

3. Ancaman Orang Dalam yang Berbahaya: Pengguna atau karyawan orang dalam dapat menyalahgunakan wewenang mereka untuk mencuri data, menghancurkan informasi, atau terlibat dalam tindakan jahat lainnya.

4. Kepatuhan dan manajemen data: Tim proyek tidak secara efektif menggunakan berbagai alat untuk melindungi data dalam proses pemrosesan data pada platform penyedia layanan cloud, yang mengakibatkan kebingungan atau kehilangan data.

Dalam menghadapi sudut serangan multi-dimensi peretas dan potensi risiko keamanan internal, pakar keamanan Web3 meminta semua orang untuk menyadari bahwa keamanan cloud memerlukan strategi keamanan yang komprehensif, jadi ini bukan hanya pencegahan keamanan sederhana satu dimensi.

Cloud Security “Pertempuran Serangan dan Pertahanan”, bagaimana cara memecahkan permainan?

Dalam menghadapi tantangan keamanan cloud yang berkelanjutan, bagaimana melakukan pekerjaan “pertahanan” dengan baik untuk membantu data privasi pengguna dan keamanan dana? Para ahli dan tim dari berbagai lembaga keamanan memberikan pandangan mereka.

Tim Beosin:

"Pelanggaran data sensitif sering terjadi, dan disarankan agar teknisi mengenkripsi data saat menyimpan dan mengirimkannya untuk menghindari akses oleh pihak ketiga yang tidak berwenang. Untuk data sensitif seperti kunci privat, sebaiknya gunakan komputasi yang menjaga privasi dan teknologi enkripsi homomorfik untuk mencegah kebocoran kunci privat.

Pada saat yang sama, tim proyek perlu memastikan bahwa klien hanya mengakses layanan cloud melalui API aman untuk menghindari aktivitas berbahaya seperti serangan injeksi dan skrip lintas situs. Anda juga dapat menggunakan API untuk mengautentikasi dan memverifikasi data sebelum mengakses layanan cloud untuk memastikan keamanan akses dan keamanan data. Mempertimbangkan bahwa kemampuan perlindungan keamanan komputer pribadi sebagai klien lemah, tidak disarankan untuk secara langsung memanggil API untuk mengakses dan mengoperasikan sistem melalui komputer pribadi, tetapi untuk melengkapi akses yang relevan melalui desktop virtual cloud atau server lompat yang aman. "

Prof. Kang Li, Kepala Petugas Keamanan, CertiK:

"Kami terutama mengamati dua jenis risiko umum saat menggunakan platform cloud, yaitu konfigurasi data cloud pengguna yang tidak tepat dan risiko yang disebabkan oleh pengguna menyembunyikan layanan backend cloud ke dApps. Sebagian besar waktu, cloud menyediakan banyak perlindungan sumber daya dan kontrol data, tetapi seringkali karena penggunaan konfigurasi yang tidak tepat oleh pengguna, orang luar memiliki kesempatan untuk memasuki backend pengguna. Jenis risiko lain berasal dari kenyataan bahwa pengembang dari sisi proyek menyembunyikan layanan latar belakang cloud dari dApp - untuk memfasilitasi penggunaannya sendiri, beberapa pengembang akan merancang antarmuka untuk seluruh proyek yang menurut mereka hanya digunakan secara internal, sehingga dApp dapat langsung diakses oleh Aplikasi seluler tanpa diekspos ke publik. Meskipun API cloud tim proyek memiliki kontrol khusus, ini masih mengarah ke banyak interaksi antara dApp dan backend.

Dalam menghadapi dua jenis risiko ini, CertiK telah membentuk layanan keamanan untuk dApps berbasis cloud dan cloud, termasuk audit kode, penilaian risiko, verifikasi identitas tim, dan pemeriksaan latar belakang. "Jika Anda tidak dapat menjamin bahwa tim pengembangan dapat dipercaya, penting untuk meminta pakar audit melakukan audit lengkap terhadap dApp. "

Prof. Yang Liu, Salah satu pendiri MetaTrust:

"Sebagai lapisan infrastruktur, keamanan cloud perlu melakukan pekerjaan dengan baik dalam keamanan data dan perlindungan privasi pengguna. Bangun keamanan tumpukan penuh end-to-end, dengan fokus khusus pada perlindungan data. Tetapkan izin akses untuk berbagai jenis data untuk mencegah akses yang tidak sah. Mekanisme layanan cloud sangat kompleks, dan berbagai jenis data harus memiliki mekanisme akses independen.

Selain itu, kepatuhan data juga perlu ditanggapi dengan serius. Saat ini, banyak data di cloud berada di cloud yang sama, yang mungkin dibatasi karena wilayah yang berbeda. Jika Anda tidak memahami situasi ini, ini dapat dengan mudah menyebabkan masalah kepatuhan yang disebabkan oleh pelanggaran data lintas batas. Oleh karena itu, kontrol akses dan otentikasi juga sangat penting. Kita perlu membangun kontrol akses dan mekanisme otentikasi yang ketat dan halus untuk mencegah akses yang tidak sah. "

Tim Kabut Lambat:

"Keamanan cloud memerlukan strategi keamanan yang komprehensif, termasuk kontrol akses yang tepat, enkripsi, pemantauan berkelanjutan, dan lembaga keamanan profesional untuk melakukan berbagai audit, pendidikan dan pelatihan, serta langkah-langkah lain untuk memastikan keamanan dan stabilitas lingkungan cloud. Misalnya, enkripsi end-to-end data penting, jika enkripsi akan digunakan, manajemen keamanan kunci enkripsi sangat penting, simpan cadangan kunci, sebaiknya tidak di cloud. Misalnya, dengan mencegah kerentanan dasar seperti kesalahan konfigurasi, risiko keamanan cloud sangat berkurang. Terakhir, baik Anda seorang individu, bisnis kecil atau menengah, atau pengguna cloud tingkat perusahaan, penting untuk memastikan bahwa jaringan dan perangkat Anda seaman mungkin. "

AWS: Keamanan adalah perlindungan berlapis tipe bawang

Baik di Web2 atau Web3, AWS secara aktif menyediakan komputasi cloud dan layanan keamanan untuk berbagai proyek. Sebagai perusahaan terkemuka dan peserta aktif dalam komputasi cloud, pakar teknis AWS Web3 percaya bahwa keamanan bukanlah perlindungan satu lapis dari model telur, tetapi model onion perlindungan multi-lapisan, yang secara progresif dan tidak terlipat lapis demi lapis. Secara khusus, lapisan pertama adalah deteksi ancaman dan respons insiden, lapisan kedua adalah otentikasi identitas dan kontrol akses, lapisan ketiga adalah keamanan jaringan dan infrastruktur, lapisan keempat adalah perlindungan data dan privasi, dan lapisan kelima adalah pengendalian risiko dan kepatuhan. AWS memberikan solusi lengkap untuk setiap lapisan guna membantu pemilik proyek Web3 mengelola seluruh sistem aplikasi dengan lebih aman.

Kesimpulan: Untuk memenangkan pertempuran ofensif dan defensif keamanan cloud Web3, perlu mengandalkan upaya bersama dari semua pihak

Keamanan ekosistem Web3 tidak terlepas dari keamanan infrastruktur cloud, dan semua peserta yang terkait dengan infrastruktur cloud, termasuk pihak proyek, penyedia layanan cloud, dan penyedia layanan keamanan, perlu menetapkan strategi keamanan yang komprehensif, melakukan audit rutin, dan melakukan pemeriksaan keamanan mandiri untuk memastikan keamanan maksimum.

Untuk pengembang Web3, selain meningkatkan tingkat etika mereka sendiri, mereka juga perlu terus meningkatkan keterampilan terkait keamanan mereka, dan dapat secara aktif berpartisipasi dalam aktivitas dan pelatihan AWS untuk pengembang, seperti Peretasan Etis Web3 dan Praktik Terbaik Keamanan, untuk mengidentifikasi risiko kontrak umum.

Tujuan bersama kami adalah membangun ekosistem Web3 yang aman dan mencapai pembangunan berkelanjutan di industri ini, dan kami harap Anda dapat mengambil inspirasi dari wawancara ini dan secara aktif menerapkannya pada praktik sehari-hari Anda.

Jika proyek Web3 perlu mengetahui cara membangun aplikasi cloud yang aman, klik tautan untuk mempelajari lebih lanjut: