Диалог с отличным поставщиком услуг безопасности Web3: «наступательная и оборонительная битва» облачной безопасности

Экосистема, построенная Web3 с базовой технологией блокчейн (распределенный реестр), быстро развивается, технологические инновации публичных цепочек L1 и L2 позволяют стать следующим поколением базовых вычислительных сетей, различные инфраструктуры постоянно совершенствуются, как компоненты «Лего», а BUIDLеры Web3 продолжают создавать богатые децентрализованные приложения в нескольких направлениях приложений.

Будучи особенно важным базовым средством Web3, облачные сервисы также незаменимы для всей экосистемы Web3, с десятками тысяч программ, работающих на облачных серверах каждый год. Согласно публично опубликованным данным агентства безопасности Immunefi, «46,5% финансовых потерь в 2022 году были связаны с базовой инфраструктурой, при этом наиболее важными являются управление, практики и планы реагирования на чрезвычайные ситуации для закрытых ключей». Облачная безопасность Web3 продолжает сталкиваться с такими проблемами, как утечка закрытого ключа, несанкционированный доступ, анализ и аудит смарт-контрактов, DDoS-атаки, инсайдерские угрозы, соответствие требованиям и стабильность, а также другие проблемы, которые преследовали BUIDLеров Web3, а также создавали новые проблемы для поставщиков облачных услуг и поставщиков услуг безопасности.

Будучи первой компанией, запустившей облачные сервисы, Amazon Web Services (AWS) всегда была лидером в области облачных сервисов, и сейчас AWS активно охватывает экосистему Web3 и совместно запустила серию онлайн- и офлайн-семинаров на тему «Безопасность Web3» с CrossSpace, ведущим брендом сообщества Web3, чтобы углубиться в область безопасности облачных сервисов, послушать вызовы практики безопасности от бирж, публичных сетей, инфраструктуры и dApps, а также обсудить практические решения.

В рамках этой серии мы имеем честь взять интервью у четырех ведущих поставщиков услуг безопасности Web3, Beosin, CertiK, MetaTrust и SlowMist, а также у экспертов по облачной безопасности AWS, чтобы обсудить текущие проблемы облачной безопасности и способы их решения.

Почему облачная безопасность Web3 так важна?

Безопасность является главным приоритетом для любого бизнеса. Облачные сервисы и Web3 взаимно усиливают друг друга. С момента запуска основной сети Bitcoin в 2009 году и запуска основной сети Ethereum в 2015 году инциденты безопасности и потери активов увеличивались с каждым годом, поэтому безопасности как краеугольному камню мира Web3 необходимо уделять больше внимания. Будь то централизованная биржа или децентрализованная DeFi, GameFi, NFT, DAO, Social, Bridge и другие сценарии, будут различные сценарии применения на основе токенов. Вопрос о том, как обеспечить безопасность всего процесса обработки токенов, стал проблемой, которую Web3 BUDLers необходимо тщательно продумать. Как эксперт в области облачной безопасности и организация, которая обслуживала многие участники проектов Web3, AWS уделяет пристальное внимание безопасности в области блокчейна и Web3, активно общается со сторонами проекта и проводит различные формы обмена информацией и обучения безопасности Web3.

К концу 2023 года сигнал бычьего рынка постепенно проясняется, количество Web3-проектов, развертывающих облачные серверы, будет стремительно увеличиваться, а роль облака как инфраструктурного слоя становится все более важной, поэтому облачная безопасность — это элемент безопасности, на который должен обратить внимание каждый разработчик и BUDLеры.

Каковы основные проблемы, стоящие сегодня перед облачной безопасностью?

В этом интервью компания Beosin заявила: «Атака на поставщиков облачных услуг данных является одним из основных типов атак в последнее время, в основном с помощью DDoS-атак, захвата учетных записей, вредоносного внедрения и других средств, против услуг вычислений и хранения, предоставляемых поставщиками данных облачных услуг, и последствиями являются утечка конфиденциальных данных и прерывание обслуживания». Команда поделилась: «Mixin Network и Fortress IO недавно потеряли $200 млн и $15 млн соответственно из-за атак на поставщиков облачных услуг. "

Утечка конфиденциальных данных, особенно утечка закрытых ключей, является причиной инцидентов безопасности, о которых неоднократно упоминали различные эксперты по безопасности в ходе этого интервью. В квартальном отчете CertiK о безопасности за третий квартал также говорится, что «утечки закрытых ключей были одной из причин значительных убытков в этом квартале». 14 случаев кражи закрытых ключей привели к общему ущербу в размере 204 миллионов долларов. "

Помимо утечек данных, команда SlowMist также выявила несколько других категорий, связанных с угрозами облачной безопасности, в том числе:

1. Компрометация учетной записи и несанкционированный доступ: хакеры могут получить несанкционированный доступ к учетным записям и учетным данным пользователей с помощью взлома паролей, социальной инженерии или атак на слабые пароли.

2. DDoS-атаки: распределенные атаки типа «отказ в обслуживании» (DDoS) могут сделать облачные сервисы недоступными, нанести ущерб сервисам, потребляя ресурсы или перегружая сетевой трафик, что приводит к сбоям в работе.

3. Вредоносные инсайдерские угрозы: Инсайдерские пользователи или сотрудники могут злоупотреблять своими полномочиями для кражи данных, уничтожения информации или участия в других злонамеренных действиях.

4. Комплаенс и управление данными: Команда проекта не использовала эффективно различные инструменты для защиты данных в процессе обработки данных на платформе поставщика облачных услуг, что привело к путанице или потере данных.

Перед лицом многомерных углов атаки хакеров и потенциальных рисков внутренней безопасности эксперты по безопасности Web3 призывают всех осознать, что облачная безопасность требует комплексной стратегии безопасности, поэтому это не просто одномерная простая профилактика безопасности.

«Битва атаки и защиты» в Cloud Security, как сломать игру?

Перед лицом постоянных проблем облачной безопасности, как сделать хорошую работу по «защите», чтобы обеспечить конфиденциальность данных и средств пользователей? Эксперты и команды из различных силовых ведомств высказали свое мнение.

Команда Beosin:

«Утечки конфиденциальных данных происходят часто, и техническим специалистам рекомендуется шифровать данные при их хранении и передаче, чтобы избежать несанкционированного доступа третьих лиц. Для конфиденциальных данных, таких как закрытые ключи, рекомендуется использовать технологии шифрования с сохранением конфиденциальности и гомоморфного шифрования, чтобы предотвратить утечку закрытого ключа.

В то же время проектная группа должна убедиться, что клиент получает доступ к облачной службе только через защищенные API, чтобы избежать вредоносных действий, таких как атаки путем внедрения и межсайтовые сценарии. Вы также можете использовать API для проверки подлинности и проверки данных перед доступом к облачным службам, чтобы обеспечить безопасность доступа и данных. Учитывая, что возможности защиты персональных компьютеров в качестве клиентов слабы, не рекомендуется напрямую вызывать API для доступа к системе и управления ею через персональные компьютеры, а осуществлять соответствующий доступ через облачные виртуальные рабочие столы или защищенные серверы переходов. "

Профессор Кан Ли, директор по безопасности, CertiK:

«Мы в основном наблюдаем два распространенных типа рисков при использовании облачных платформ, а именно неправильную настройку пользователем облачных данных и риск, вызванный тем, что пользователи скрывают сервисы облачного бэкенда в dApps. Большую часть времени облако обеспечивает большую защиту ресурсов и контроль данных, но часто из-за неправильного использования пользователем конфигурации посторонние имеют возможность проникнуть в бэкенд пользователя. Другой тип риска возникает из-за того, что разработчики на стороне проекта скрывают сервисы облачного фона от dApp - чтобы облегчить собственное использование, некоторые разработчики разрабатывают интерфейс для всего проекта, который, по их мнению, используется только внутри компании, чтобы мобильное приложение могло получить прямой доступ к dApp, не будучи общедоступным. Несмотря на то, что облачный API проектной команды имеет особый контроль, это все равно приводит к большому взаимодействию между dApp и бэкендом.

Столкнувшись с этими двумя типами рисков, CertiK создала службы безопасности как для облачных, так и для облачных децентрализованных приложений, включая аудит кода, оценку рисков, проверку личности команды и проверку биографических данных. «Если вы не можете гарантировать, что команде разработчиков можно доверять, важно, чтобы эксперт по аудиту провел полный аудит dApp. "

Профессор Ян Лю, соучредитель MetaTrust:

«Как уровень инфраструктуры, облачная безопасность должна хорошо справляться с безопасностью данных и защитой конфиденциальности пользователей. Создайте комплексную комплексную систему безопасности, уделяя особое внимание защите данных. Установите права доступа для различных типов данных, чтобы предотвратить несанкционированный доступ. Механизм облачных сервисов сложен, и разные типы данных должны иметь независимые механизмы доступа.

Кроме того, необходимо серьезно отнестись к соблюдению требований к данным. В настоящее время большое количество данных в облаке находится в одном облаке, которое может быть ограничено из-за разных регионов. Если вы не понимаете эту ситуацию, это может легко привести к проблемам с соответствием требованиям, вызванным трансграничными утечками данных. Поэтому контроль доступа и аутентификация также очень важны. Нам необходимо выстроить строгий и детальный механизм контроля доступа и аутентификации для предотвращения несанкционированного доступа. "

Команда SlowMist:

«Облачная безопасность требует комплексной стратегии безопасности, включающей надлежащий контроль доступа, шифрование, непрерывный мониторинг и профессиональные агентства безопасности для проведения полного спектра аудитов, обучения и тренингов, а также других мер для обеспечения безопасности и стабильности облачной среды. Например, сквозное шифрование критически важных данных, если будет использоваться шифрование, управление безопасностью ключа шифрования имеет решающее значение, храните резервную копию ключа, желательно не в облаке. Например, предотвращая основные уязвимости, такие как неправильная конфигурация, значительно снижаются риски облачной безопасности. Наконец, независимо от того, являетесь ли вы частным лицом, малым или средним предприятием или пользователем облака корпоративного уровня, важно обеспечить максимальную безопасность вашей сети и устройств. "

AWS: Безопасность – это многоуровневая защита лукового типа

Будь то Web2 или Web3, AWS активно предоставляет сервисы облачных вычислений и безопасности для различных проектов. Как ведущее предприятие и активный участник облачных вычислений, технические эксперты AWS Web3 считают, что безопасность – это не одноуровневая защита яичной модели, а луковая модель многоуровневой защиты, которая постепенно разворачивается слой за слоем. В частности, первый уровень — это обнаружение угроз и реагирование на инциденты, второй уровень — аутентификация личности и контроль доступа, третий уровень — безопасность сети и инфраструктуры, четвертый уровень — защита данных и конфиденциальность, а пятый уровень — контроль рисков и соответствие требованиям. AWS предоставляет комплексное решение для каждого уровня, чтобы помочь владельцам проектов Web3 более безопасно управлять всей системой приложений.

Заключение: Чтобы победить в наступательной и оборонительной битве за облачную безопасность Web3, необходимо опираться на совместные усилия всех сторон

Безопасность экосистемы Web3 неотделима от безопасности облачной инфраструктуры, и всем участникам, связанным с облачной инфраструктурой, включая участников проекта, поставщиков облачных услуг и поставщиков услуг безопасности, необходимо разработать комплексную стратегию безопасности, проводить регулярные аудиты и проводить самопроверки безопасности, чтобы обеспечить максимальную безопасность.

Разработчикам Web3 необходимо не только повышать свой собственный этический уровень, но и продолжать совершенствовать свои навыки, связанные с безопасностью, и они могут активно участвовать в мероприятиях AWS и тренингах для разработчиков, таких как Web3 Ethical Hacking and Security Best Practice, чтобы выявлять распространенные контрактные риски.

Наша общая цель — построить безопасную экосистему Web3 и добиться устойчивого развития в отрасли, и мы надеемся, что вы сможете вдохновиться этим интервью и активно применять его в своей повседневной практике.

Если проектам Web3 нужно знать, как создавать безопасные облачные приложения, нажмите на ссылку, чтобы узнать больше: