Diálogo com Web3 Excelente provedor de serviços de segurança: A "batalha ofensiva e defensiva" da segurança na nuvem

O ecossistema construído pela Web3 com a tecnologia subjacente de Blockchain (Distributed Ledger) está iterando rapidamente, a inovação tecnológica da cadeia pública L1 e L2 torna viável se tornar a próxima geração de redes de computação subjacentes, várias infraestruturas estão constantemente melhorando como componentes “Lego”, e Web3 BUIDLers continuam a construir dApps ricos em várias trilhas de aplicativos.

Como uma instalação subjacente particularmente importante da Web3, os serviços em nuvem também são indispensáveis para todo o ecossistema Web3, com dezenas de milhares de programas em execução em servidores em nuvem todos os anos. De acordo com dados divulgados publicamente pela agência de segurança da Immunefi, “46,5% das perdas financeiras em 2022 vieram da infraestrutura subjacente, com a gestão, práticas e planos de resposta a emergências para chaves privadas sendo os mais importantes”. A segurança na nuvem Web3 continua a enfrentar desafios, como vazamento de chave privada, acesso não autorizado, análise e auditoria SmartContract, ataques DDoS, ameaças internas, conformidade e estabilidade, e outros problemas que têm atormentado Web3 BUIDLers, e também trouxeram novos desafios para provedores de serviços em nuvem e provedores de serviços de segurança.

Como a primeira empresa a lançar serviços em nuvem, a Amazon Web Services (AWS) sempre foi líder no campo dos serviços em nuvem, e agora a AWS está adotando ativamente o ecossistema Web3, e lançou em conjunto uma série de seminários on-line e off-line sobre “Segurança Web3” com a CrossSpace, uma marca líder da comunidade Web3, para se aprofundar no campo da segurança de serviços em nuvem, ouvir os desafios das práticas de segurança de exchanges, cadeias públicas, infraestrutura e dApps e discutir soluções práticas.

Como parte desta série, temos a honra de entrevistar quatro provedores líderes de serviços de segurança Web3, Beosin, CertiK, MetaTrust e SlowMist, bem como especialistas em segurança na nuvem da AWS, para discutir os desafios atuais da segurança na nuvem e como resolvê-los.

Porque é que a segurança na nuvem Web3 é tão importante?

A segurança é uma prioridade para qualquer empresa. Os serviços na nuvem e a Web3 reforçam-se mutuamente. Desde o lançamento da mainnet Bitcoin em 2009 e o lançamento da mainnet Ethereum em 2015, os incidentes de segurança e perdas de ativos aumentaram ano a ano, portanto, a segurança como a pedra angular do mundo Web3 precisa ser prestada mais atenção. Seja uma exchange centralizada, ou uma DeFi descentralizada, GameFi, NFT, DAO, Social, Bridge e outros cenários, haverá vários cenários de aplicativos baseados em tokens. Como garantir a segurança de todo o processo de processamento de token tornou-se um problema que os Web3 BUDLers precisam considerar cuidadosamente. Como especialista no campo da segurança na nuvem e uma organização que tem servido muitas partes do projeto Web3, a AWS tem prestado muita atenção à segurança do campo Blockchain e Web3, comunicando-se ativamente com as partes do projeto e realizando várias formas de compartilhamento e treinamento de segurança Web3.

No final de 2023, o sinal do mercado altista é gradualmente claro, o número de projetos Web3 implantando servidores em nuvem aumentará rapidamente e o papel da nuvem como uma camada de infraestrutura está se tornando cada vez mais importante, então a segurança na nuvem é um elemento de segurança ao qual todos os desenvolvedores e BUDLers devem prestar atenção.

Quais são os principais desafios que a segurança na nuvem enfrenta atualmente?

Nesta entrevista, a empresa de segurança Beosin disse: “O ataque de provedores de dados de serviços em nuvem é um dos principais tipos de ataques nos últimos tempos, principalmente por meio de ataques DDoS, sequestro de contas, implantação maliciosa e outros meios, contra os serviços de computação e armazenamento fornecidos por provedores de dados de serviços em nuvem, e as consequências são vazamento de dados sensíveis e interrupção do serviço”. A equipe compartilhou: "A Mixin Network e a Fortress IO perderam recentemente US$ 200 milhões e US$ 15 milhões, respectivamente, devido a ataques a provedores de serviços em nuvem. "

O vazamento de dados sensíveis, especialmente o vazamento de chaves privadas, é a causa de incidentes de segurança mencionados muitas vezes por vários especialistas em segurança durante esta entrevista. O relatório trimestral de segurança do 3º trimestre da CertiK também afirmou que “os vazamentos de chaves privadas foram uma das razões para perdas significativas no trimestre”. Os 14 incidentes de roubo de chaves privadas resultaram em um prejuízo total de US$ 204 milhões. "

Além das violações de dados, a equipe do SlowMist também identificou várias outras categorias envolvendo ameaças à segurança na nuvem, incluindo:

1. Comprometimento de conta e acesso não autorizado: os hackers podem obter acesso não autorizado a contas e credenciais de usuários por meio de quebra de senha, engenharia social ou ataques de senha fraca.

2. Ataques DDoS: Os ataques distribuídos de negação de serviço (DDoS) podem tornar os serviços em nuvem indisponíveis, paralisar os serviços ao consumir recursos ou inundar o tráfego da rede, levando à interrupção dos negócios.

3. Ameaças internas maliciosas: usuários ou funcionários internos podem abusar de sua autoridade para roubar dados, destruir informações ou se envolver em outros atos maliciosos.

4. Conformidade e gestão de dados: A equipa do projeto não utilizou eficazmente várias ferramentas para proteger os dados no processo de tratamento de dados na plataforma do prestador de serviços em nuvem, resultando em confusão ou perda de dados.

Face aos ângulos de ataque multidimensionais dos hackers e aos potenciais riscos de segurança interna, os especialistas em segurança da Web3 apelam a todos para que percebam que a segurança na nuvem requer uma estratégia de segurança abrangente, pelo que não se trata apenas de uma simples prevenção de segurança unidimensional.

Cloud Security’s “Batalha de Ataque e Defesa”, Como Quebrar o Jogo?

Diante dos desafios contínuos da segurança na nuvem, como fazer um bom trabalho de “defesa” para ajudar os dados de privacidade dos usuários e a segurança dos fundos? Especialistas e equipas de várias agências de segurança deram a sua opinião.

Equipa Beosin:

"Violações de dados sensíveis ocorrem com frequência, e recomenda-se que os técnicos criptografem os dados ao armazená-los e transmiti-los para evitar o acesso por terceiros não autorizados. Para dados confidenciais, como chaves privadas, recomendamos que você use tecnologias de computação que preservam a privacidade e criptografia homomórfica para evitar o vazamento de chave privada.

Ao mesmo tempo, a equipe do projeto precisa garantir que o cliente acesse o serviço de nuvem apenas por meio de APIs seguras para evitar atividades maliciosas, como ataques de injeção e scripts entre sites. Você também pode usar APIs para autenticar e verificar dados antes de acessar serviços de nuvem para garantir a segurança de acesso e a segurança de dados. Considerando que a capacidade de proteção de segurança dos computadores pessoais como clientes é fraca, não é recomendado chamar diretamente APIs para acessar e operar o sistema por meio de computadores pessoais, mas para completar o acesso relevante por meio de desktops virtuais em nuvem ou servidores de salto seguros. "

Prof. Kang Li, Diretor de Segurança, CertiK:

"Observamos principalmente dois tipos comuns de riscos ao usar plataformas em nuvem, ou seja, a configuração inadequada de dados em nuvem pelo usuário e o risco causado por usuários ocultando os serviços do backend em nuvem para dApps. Na maioria das vezes, a nuvem fornece muita proteção de recursos e controle de dados, mas muitas vezes devido ao uso inadequado da configuração pelo usuário, pessoas de fora têm a oportunidade de entrar no backend do usuário. Outro tipo de risco vem do fato de que os desenvolvedores do lado do projeto escondem os serviços do fundo da nuvem do dApp - a fim de facilitar seu próprio uso, alguns desenvolvedores projetarão uma interface para todo o projeto que eles acham que é usada apenas internamente, para que o dApp possa ser acessado diretamente pelo aplicativo móvel sem ser exposto ao público. Embora a API de nuvem da equipe do projeto tenha controle especial, isso ainda leva a muita interação entre o dApp e o back-end.

Face a estes dois tipos de riscos, a CertiK estabeleceu serviços de segurança para dApps baseados na nuvem e na nuvem, incluindo auditorias de código, avaliações de risco, verificação de identidade da equipa e verificações de antecedentes. "Se você não pode garantir que a equipe de desenvolvimento possa ser confiável, é importante que um especialista em auditoria realize uma auditoria completa do dApp. "

Prof. Yang Liu, Cofundador da MetaTrust:

"Como uma camada de infraestrutura, a segurança na nuvem precisa fazer um bom trabalho em segurança de dados e proteção da privacidade do usuário. Crie segurança completa de ponta a ponta, com foco especial na proteção de dados. Defina permissões de acesso para diferentes tipos de dados para impedir o acesso não autorizado. O mecanismo dos serviços em nuvem é complexo e diferentes tipos de dados precisam ter mecanismos de acesso independentes.

Além disso, a conformidade com os dados também precisa ser levada a sério. Atualmente, muitos dados na nuvem estão na mesma nuvem, o que pode ser restrito devido a diferentes regiões. Se você não entender essa situação, isso pode facilmente levar a problemas de conformidade causados por violações de dados transfronteiriças. Portanto, o controle de acesso e a autenticação também são muito importantes. Precisamos construir um mecanismo de controle de acesso e autenticação rigoroso e refinado para impedir o acesso não autorizado. "

Equipa SlowMist:

"A segurança na nuvem requer uma estratégia de segurança abrangente, incluindo controle de acesso apropriado, criptografia, monitoramento contínuo e agências de segurança profissionais para conduzir uma gama completa de auditorias, educação e treinamento e outras medidas para garantir a segurança e a estabilidade do ambiente de nuvem. Por exemplo, criptografia de ponta a ponta de dados críticos, se a criptografia for usada, o gerenciamento de segurança da chave de criptografia é crucial, mantenha um backup da chave, de preferência não na nuvem. Por exemplo, ao prevenir vulnerabilidades básicas, como configurações incorretas, os riscos de segurança na nuvem são consideravelmente reduzidos. Por fim, seja você um indivíduo, uma pequena ou média empresa ou um usuário de nuvem de nível empresarial, é importante garantir que sua rede e dispositivos estejam o mais seguros possível. "

AWS: A segurança é uma proteção multicamadas do tipo cebola

Seja na Web2 ou na Web3, a AWS fornece ativamente serviços de computação em nuvem e segurança para uma variedade de projetos. Como empresa líder e participante ativa na computação em nuvem, os especialistas técnicos do AWS Web3 acreditam que a segurança não é uma proteção de camada única do modelo ovo, mas um modelo de proteção multicamada, que é progressiva e desdobrada camada por camada. Especificamente, a primeira camada é a deteção de ameaças e resposta a incidentes, a segunda camada é autenticação de identidade e controle de acesso, a terceira camada é segurança de rede e infraestrutura, a quarta camada é proteção de dados e privacidade e a quinta camada é controle de risco e conformidade. A AWS fornece uma solução completa para cada camada para ajudar os proprietários de projetos Web3 a gerenciar todo o sistema de aplicativos com mais segurança.

Conclusão: Para vencer a batalha ofensiva e defensiva da segurança na nuvem Web3, ela precisa contar com os esforços conjuntos de todas as partes

A segurança do ecossistema Web3 é inseparável da segurança da infraestrutura de nuvem, e todos os participantes relacionados à infraestrutura de nuvem, incluindo partes do projeto, provedores de serviços de nuvem e provedores de serviços de segurança, precisam estabelecer uma estratégia de segurança abrangente, realizar auditorias regulares e realizar verificações de autosegurança para garantir a máxima segurança.

Para os desenvolvedores Web3, além de melhorar seu próprio nível ético, eles também precisam continuar a melhorar suas habilidades relacionadas à segurança e podem participar ativamente das atividades e treinamentos da AWS para desenvolvedores, como Web3 Ethical Hacking e Security Best Practice, para identificar riscos contratuais comuns.

Nosso objetivo comum é construir um ecossistema Web3 seguro e alcançar o desenvolvimento sustentável na indústria, e esperamos que você possa se inspirar nesta entrevista e aplicá-la ativamente à sua prática diária.

Se os projetos Web3 precisarem saber como criar aplicativos de nuvem seguros, clique no link para saber mais: