Діалог з надійним постачальником послуг безпеки Web3: «наступальна та оборонна битва» хмарної безпеки

Екосистема, побудована Web3 з базовою технологією блокчейну (розподіленого реєстру), швидко повторюється, технологічні інновації публічного ланцюга L1 і L2 роблять можливим стати наступним поколінням базових обчислювальних мереж, різні інфраструктури постійно вдосконалюються, як-от компоненти Lego, а розробники Web3 продовжують створювати багаті dApps у кількох доріжках додатків.

Як особливо важливий базовий об’єкт Web3, хмарні сервіси також є незамінними для всієї екосистеми Web3, з десятками тисяч програм, що працюють на хмарних серверах щороку. Згідно з публічно опублікованими даними агентства безпеки Immunefi, «46,5% фінансових втрат у 2022 році припали на базову інфраструктуру, причому управління, практика та плани реагування на надзвичайні ситуації для приватних ключів є найважливішими». Хмарна безпека Web3 продовжує стикатися з такими проблемами, як витік приватного ключа, несанкціонований доступ, аналіз і аудит смарт-контрактів, DDoS-атаки, внутрішні загрози, відповідність і стабільність, а також інші проблеми, які переслідували користувачів Web3 BUIDL, а також принесли нові виклики постачальникам хмарних послуг і постачальникам послуг безпеки.

Будучи першою компанією, яка запустила хмарні сервіси, Amazon Web Services (AWS) завжди була лідером у сфері хмарних сервісів, а зараз AWS активно охоплює екосистему Web3 і спільно запустила серію онлайн і офлайн семінарів на тему «Web3 Security» з CrossSpace, провідним брендом спільноти Web3, щоб заглибитися в сферу безпеки хмарних сервісів, вислухати виклики практики безпеки від бірж, публічних мереж, інфраструктури та dApps, а також обговорити практичні рішення.

У рамках цієї серії ми маємо честь взяти інтерв’ю у чотирьох провідних постачальників послуг безпеки Web3, Beosin, CertiK, MetaTrust і SlowMist, а також експертів з хмарної безпеки AWS, щоб обговорити поточні виклики хмарної безпеки та способи їх вирішення.

Чому хмарна безпека Web3 така важлива?

Безпека є головним пріоритетом для будь-якого бізнесу. Хмарні сервіси та Web3 доповнюють одна одну. З моменту запуску основної мережі Bitcoin у 2009 році та запуску основної мережі Ethereum у 2015 році інциденти безпеки та втрати активів зростали з кожним роком, тому безпеці як наріжному каменю світу Web3 потрібно приділяти більше уваги. Незалежно від того, чи це централізована біржа, чи децентралізований DeFi, GameFi, NFT, DAO, Social, Bridge та інші сценарії, будуть різні сценарії застосування на основі токенів. Те, як забезпечити безпеку всього процесу обробки токенів, стало проблемою, яку Web3 BUDLers повинні ретельно продумати. Як експерт у галузі хмарної безпеки та організація, яка обслуговувала багато вечірок проєктів Web3, AWS приділяє пильну увагу безпеці сфери блокчейну та Web3, активно спілкується зі сторонами проєктів і проводить різні форми обміну безпекою Web3 та навчання.

Ближче до кінця 2023 року сигнал бичачого ринку поступово зрозумілий, кількість Web3-проєктів, що розгортають хмарні сервери, стрімко зростатиме, а роль хмари як інфраструктурного рівня стає все більш важливою, тому хмарна безпека є елементом безпеки, на який кожен розробник та BUDLers має звернути увагу.

Які основні виклики стоять перед хмарною безпекою сьогодні?

У цьому інтерв’ю охоронна компанія Beosin сказала: «Атака постачальників даних хмарних послуг є одним з основних типів атак останнім часом, в основному через DDoS-атаки, викрадення облікових записів, зловмисну імплантацію та інші засоби, проти обчислювальних послуг і послуг зберігання, що надаються постачальниками даних хмарних послуг, і наслідками є витік конфіденційних даних і переривання обслуговування». Команда поділилася: «Mixin Network і Fortress IO нещодавно втратили $200 млн і $15 млн відповідно через атаки на постачальників хмарних послуг. "

Витік конфіденційних даних, особливо витік приватних ключів, є причиною інцидентів безпеки, про які багато разів згадували різні експерти з безпеки під час цього інтерв’ю. У квартальному звіті CertiK про безпеку за 3 квартал також зазначено, що «витоки приватних ключів були однією з причин значних збитків у кварталі». 14 інцидентів крадіжки приватних ключів призвели до загальних збитків у розмірі 204 мільйони доларів. "

Окрім витоків даних, команда SlowMist також визначила кілька інших категорій, пов’язаних із загрозами хмарній безпеці, зокрема:

1. Компрометація облікового запису та несанкціонований доступ: хакери можуть отримати несанкціонований доступ до облікових записів користувачів та облікових даних за допомогою злому паролів, соціальної інженерії або атак на слабкі паролі.

2. DDoS-атаки: розподілені атаки типу «відмова в обслуговуванні» (DDoS) можуть зробити хмарні сервіси недоступними, вивести з ладу послуги, перевантажуючи ресурси або переповнюючи мережевий трафік, що призведе до збою в бізнесі.

3. Зловмисні внутрішні загрози: Інсайдерські користувачі або співробітники можуть зловживати своїми повноваженнями для крадіжки даних, знищення інформації або участі в інших зловмисних діях.

4. Комплаєнс та управління даними: Команда проєкту неефективно використовувала різні інструменти для захисту даних у процесі обробки даних на платформі постачальника хмарних послуг, що призвело до плутанини або втрати даних.

Зважаючи на багатовимірні кути атак хакерів і потенційні внутрішні ризики безпеки, експерти з безпеки Web3 закликають усіх усвідомити, що хмарна безпека вимагає комплексної стратегії безпеки, тому це не просто одновимірне просте запобігання безпеці.

Битва атаки та оборони від Cloud Security, як зламати гру?

В умовах постійних викликів хмарної безпеки, як зробити хорошу роботу «захисту», щоб допомогти безпеці конфіденційних даних і коштів користувачів? Експерти та команди з різних силових відомств висловили свою думку.

Команда Beosin:

«Витоки конфіденційних даних відбуваються часто, і рекомендується, щоб технічні спеціалісти шифрували дані під час їх зберігання та передачі, щоб уникнути доступу неавторизованих третіх осіб. Для конфіденційних даних, таких як приватні ключі, ми рекомендуємо використовувати технології шифрування, що зберігають конфіденційність, і гомоморфне шифрування, щоб запобігти витоку приватного ключа.

У той же час команда проекту повинна переконатися, що клієнт отримує доступ до хмарного сервісу лише через безпечні API, щоб уникнути шкідливих дій, таких як ін’єкційні атаки та міжсайтові сценарії. Ви також можете використовувати API для автентифікації та перевірки даних перед доступом до хмарних служб, щоб забезпечити безпеку доступу та безпеку даних. Враховуючи, що можливості захисту персональних комп’ютерів як клієнтів слабкі, рекомендується не безпосередньо викликати API для доступу та управління системою через персональні комп’ютери, а здійснювати відповідний доступ через хмарні віртуальні робочі столи або захищені сервери стрибків. "

Професор Кан Лі, директор з безпеки, CertiK:

«В основному ми спостерігаємо два поширених типи ризиків при використанні хмарних платформ, а саме неправильну конфігурацію користувачем хмарних даних і ризик, викликаний приховуванням користувачами сервісів хмарного бекенда для dApps. У більшості випадків хмара забезпечує великий захист ресурсів і контроль даних, але часто через неправильне використання користувачем конфігурації сторонні особи мають можливість увійти в бекенд користувача. Інший тип ризику пов’язаний з тим, що розробники на стороні проекту приховують сервіси хмарного фону від dApp - щоб полегшити власне використання, деякі розробники розробляють інтерфейс для всього проекту, який, на їхню думку, використовується лише всередині компанії, щоб до dApp можна було отримати прямий доступ через мобільний додаток, не виставляючи його на загальний огляд. Незважаючи на те, що хмарний API команди проекту має особливий контроль, це все одно призводить до великої взаємодії між dApp і бекендом.

Зіткнувшись із цими двома типами ризиків, CertiK створила послуги безпеки як для хмарних, так і для хмарних dApps, включаючи аудит коду, оцінку ризиків, перевірку особи команди та перевірку біографічних даних. «Якщо ви не можете гарантувати, що команді розробників можна довіряти, важливо, щоб експерт з аудиту провів повний аудит dApp. "

Професор Ян Лю, співзасновник MetaTrust:

«Як рівень інфраструктури, хмарна безпека повинна добре справлятися з безпекою даних і захистом конфіденційності користувачів. Створюйте комплексну систему безпеки з повним стеком, приділяючи особливу увагу захисту даних. Встановіть дозволи на доступ до різних типів даних, щоб запобігти несанкціонованому доступу. Механізм роботи хмарних сервісів складний, і різні типи даних повинні мати незалежні механізми доступу.

Крім того, до відповідності даних також потрібно ставитися серйозно. Наразі багато даних у хмарі знаходяться в одній хмарі, яка може бути обмежена через різні регіони. Якщо ви не розумієте цю ситуацію, це може легко призвести до проблем із дотриманням вимог, спричинених транскордонними витоками даних. Тому контроль доступу та аутентифікація також дуже важливі. Нам потрібно побудувати суворий і тонкий механізм контролю доступу та аутентифікації, щоб запобігти несанкціонованому доступу. "

Команда SlowMist:

«Хмарна безпека вимагає комплексної стратегії безпеки, що включає відповідний контроль доступу, шифрування, безперервний моніторинг та професійні агентства безпеки для проведення повного спектру аудитів, навчання та навчання та інших заходів для забезпечення безпеки та стабільності хмарного середовища. Наприклад, наскрізне шифрування критично важливих даних, якщо буде використовуватися шифрування, управління безпекою ключа шифрування має вирішальне значення, зберігайте резервну копію ключа, бажано не в хмарі. Наприклад, запобігаючи основним вразливостям, таким як неправильні конфігурації, ризики безпеки хмари значно знижуються. Нарешті, незалежно від того, чи є ви приватною особою, малим чи середнім бізнесом або користувачем хмари корпоративного рівня, важливо переконатися, що ваша мережа та пристрої максимально захищені. "

AWS: Безпека - це багаторівневий захист цибулевого типу

Незалежно від того, чи це Web2, чи Web3, AWS активно надає послуги хмарних обчислень і безпеки для різноманітних проєктів. Як провідне підприємство та активний учасник хмарних обчислень, технічні експерти AWS Web3 вважають, що безпека – це не одношаровий захист моделі яйця, а цибульна модель багатошарового захисту, яка поступово та розгортається шар за шаром. Зокрема, перший рівень – це виявлення загроз та реагування на інциденти, другий рівень – аутентифікація особи та контроль доступу, третій рівень – безпека мережі та інфраструктури, четвертий рівень – захист даних та конфіденційність, а п’ятий рівень – контроль ризиків та відповідність. AWS надає комплексне рішення для кожного рівня, щоб допомогти власникам проєктів Web3 безпечніше керувати всією системою додатків.

Висновок: щоб виграти наступальну та оборонну битву хмарної безпеки Web3, їй потрібно покладатися на спільні зусилля всіх сторін

Безпека екосистеми Web3 невіддільна від безпеки хмарної інфраструктури, і всім учасникам, пов’язаним із хмарною інфраструктурою, включаючи учасників проєкту, постачальників хмарних послуг та постачальників послуг безпеки, необхідно розробити комплексну стратегію безпеки, проводити регулярні аудити та проводити перевірки самобезпеки для забезпечення максимальної безпеки.

Розробники Web3, окрім підвищення власного етичного рівня, також повинні продовжувати вдосконалювати свої навички, пов’язані з безпекою, і можуть брати активну участь у заходах AWS та тренінгах для розробників, таких як етичний хакінг Web3 та найкраща практика безпеки, щоб визначити загальні ризики контрактів.

Наша спільна мета — побудувати безпечну екосистему Web3 та досягти сталого розвитку в галузі, і ми сподіваємося, що ви зможете черпати натхнення з цього інтерв’ю та активно застосовувати його у своїй повсякденній практиці.

Якщо проєктам Web3 потрібно знати, як створювати безпечні хмарні додатки, перейдіть за посиланням, щоб дізнатися більше: