Sayfer LitePaper - En ny tilgang til Web3-projekters sikkerhed
Problemet
Web3-hack er stigende. Med få dages mellemrum bliver et andet stort projekt hacket. I bedste fald er den eneste sikkerhedsforanstaltning, som Web3-projekter udfører, en revision af deres kontrakter. Denne sikkerhedsforanstaltning efterlader i sidste ende mange andre aspekter af virksomheden sårbare over for angreb. Vi har ofte set dette i hacks som $120M BadgerDao hack, $650M Ronin Bridge hack og stort set alle CEX, der mistede sine private nøgler.
Denne gamle tilgang indeholder mange elendige sikkerhedsmetoder, der vil øge chancen for at blive hacket.
Disse problemer inkluderer:
- Single point of failure;
- Mangel på sikkerhedslag;
- Engangstest.
Vi mener, at for at projekter skal opnå masseadoption fra "mainstream"-brugere, skal de være meget mere stabile i deres cybersikkerhed. I dag er det meste af kryptomarkedet early adopters, men det er ved at ændre sig, og den nye type kunder vil ikke acceptere en sådan risiko.
Enkelt mislykket punkt
Når du opretter komplekse projekter og protokoller, vil du sikre dig, at selvom en komponent i dit system er kompromitteret, vil du ikke miste alle dine midler. Denne tilgang er lettere sagt end gjort.
Nogle gange er det let at vide, hvor fejlpunkterne er, men det er svært at finde en måde at mindske risikoen på.
Forestil dig, at du har udviklet en symbolsk kontrakt. At analysere risiciene er ligetil med simple spørgsmål som – "Hvordan kan du ikke miste alle dine investorers penge, hvis kontrakten bliver hacket?" "Hvordan ved du, om der sker noget slemt?" "Hvilken komponent i dit system er den svageste?
Det er svært at finde det ikke så indlysende punkt for fiasko.
Her er et andet eksempel, du har en meget sikker kontrakt, men din nye medarbejders telefon blev stjålet. Denne telefon er forbundet til en GitHub-konto, der kan begå og skubbe ny kode. Hvordan vil dette blive forhindret eller blokeret?
Uden ordentlige overvågningsværktøjer kan en bagdør indsættes i din kontrakt, uden at du ved om det.
Mangel på sikkerhedslag
Den eneste måde at skabe et sikret projekt på er ved at have flere sikkerhedslag. Det var meget på plads før computeræraen og er relevant i nutidens Web3-projekt- og protokolarkitekturer mere end nogensinde.
Sikkerhed er ikke et binært resultat; det er lag. Du kan ikke låse døren og lade vinduet stå åbent. Forskellige projekter har forskellige behov og forskellige risikoniveauer. Hvis din risiko er høj, bør du afbøde den med flere sikkerhedslag.
Selvom teorien lyder god, hvad betyder den, når den implementeres?
Projekter bør have mange komponenter, og hver komponent skal være i stand til at stå over for kompromiser uden at risikere hele projektets integritet. Hver komponent bør overvåges, og når unormal adfærd opdages, bør de personer, der er ansvarlige for projektet, informeres, og baseret på foruddefinerede politikker bør transaktioner blokeres.
Engangstest
Når du bygger et komplekst projekt, skal du overveje, at projektet er et evigt voksende levende væsen. Revisionernes karakter er dog at finde sted en gang hvert par måneder. På den tid af året kan projekter dog ikke risikere at blive mindre sikre. Projekterne har brug for en løbende sikkerhedsproces.
Eksempel fra det virkelige liv:
Løsningen
En 360° cybertilgang. Projekter og protokoller er ikke kun kontrakter. Det er komplekse systemer, der kræver komplekse løsninger.
Ved at være en indfødt Web3 cybersikkerhedsvirksomhed kan Sayfer forstå arkitekturen af din platform, strukturen af din virksomhed og det budget og de udviklingstimer, du har råd til at allokere til et projekt. Vi vil levere en skræddersyet komplet køreplan for cybersikkerhed til dig.
Når du har implementeret alle vores resultater, som vil ligne løbende support snarere end et engangsskud, vil sikkerheden i dit projekt vokse i samme tempo, som dit projekt vokser.
På denne måde vil sikkerheden ikke være et blødt punkt, der vil skade din vækst i fremtiden. Vi følger disse trin for at sikre din virksomheds 360° cybersikkerhedsbeskyttelse:
Aktiv og passiv vurdering
Analyse af historiske hacks
Lav en sikkerhedskøreplan
Implementeringsvejledning
Første trin: Udfør passiv og aktiv vurdering
I den første fase af vores proces for at gøre dit projekt sikkert, vil vi udføre en fuldstændig vurdering af din virksomheds cybersikkerhedsposition. Denne del er essentiel, fordi vi skal kende dit udgangspunkt for at opbygge en korrekt sikkerhedskøreplan, der er skræddersyet til dig.
Først vil vi bruge den passive tilgang. Vi taler med dig og forstår dit projekt. I denne første tilgang vil du fortælle os så mange detaljer som muligt om dine applikationer, arkitektur, medarbejdere, potentielle kendte sikkerhedssårbarheder og de risici, du udgør for dit system.
Når vi har fået detaljerne i den passive tilgang, går vi videre til den aktive tilgang. Vi vil "teste" dine påstande ved at forsøge at hacke ind i dit system. Processen vil blive udført enten ved sikkerhedsrevision af kontrakterne, en standard penetrationstest for at teste sikkerheden på nettet eller mobilapplikationer eller en red-team stil penetrationstest for at finde nye brud på dit system.
Efter at have udført begge typer vurderinger, vil vi have en høj forståelse af din nuværende forretningsposition på cybersikkerhed og dens potentielle risici.
Andet trin: Udfør historiske hacks-analyse
Hackere er ikke forskellige fra noget andet menneske. De ser, hvad deres kolleger laver, og hvis det virker, forsøger de at gøre det samme.
Så for at forudsige, hvor det næste angreb på dit system vil komme fra, bliver vi nødt til at forstå den nuværende standardpraksis i hackersamfundet.
Det vil vi gøre ved at udføre analyser for ethvert projekt med en struktur og funktioner, der ligner din.
Et praktisk eksempel på en sådan adfærd er det centraliserede børshack, som næsten altid involverer tab af børsens private nøgler. Dette fortæller os, at vi skal implementere pålidelige depottjenester med strenge politikker.
Nogle petriskåle til social engineering og avancerede phishing-angreb omfatter NFT-projekter, Discord-fællesskaber og Twitter-konti. I andre angreb kopieres kunsten og publiceres på en anden markedsplads afhængigt af NFT-kunsttypen og populariteten. Ved at forstå disse vil vi tage den pædagogiske tilgang sammen med detektionsværktøjer til de ondsindede links i Discord-fællesskaberne og detektionsværktøjer til at finde stjålet kunst og underrette markedspladserne.
Det er der mange flere eksempler på, og hvert projekt har sine egne nuancer. Det er derfor, vi skal forstå hackernes nuværende adfærd pr. klient.
Tredje trin: Byg en køreplan for cybersikkerhed
Efter at have fået alle ovenstående oplysninger om dine projekter, såsom værdifulde aktiver og deres risikopotentiale, markedet og de potentielle sikkerhedsrisici dit system udgør, er vi klar til at opbygge en sikkerhedskøreplan for dig.
Hvad Cybersikkerheds køreplanen indebærer
Det er svært for et projekt at gå fra en ikke-sikker til en fuldstændig sikker tilstand. Du kan ikke bare gøre det ved at tilføje to opgaver til din projektstyringsplatform og glemme alt om det.
Der vil være mange opgaver. Nogle er mere presserende end andre, nogle er blokeret af udviklingsopgaver, nogle er komplekse, og du aner ikke, hvordan du overhovedet skal starte dem. Ingen bekymringer, det er derfor, vi er her.
Ved at bygge en køreplan for de kommende måneder får du mulighed for at implementere cybersikkerhed uden at forsinke dit hovedudviklingsprojekts køreplan.
Trin involveret i Cybersikkerheds køreplan
Baseret på vores indledende vurderingsarbejde vil hver køreplan være forskellig og skræddersyet til det specifikke projekt. Selvom køreplanen vil være anderledes, er målet altid det samme, som er at kortlægge alle værdifulde aktiver og deres tilsvarende angrebsvektorer og derefter beskytte dem fra flere vinkler, i flere lag, i runtime, og for at sikre, at vi eliminerer det enkelte fejlpunkt i udviklingsfasen, manglen på sikkerhedslag og engangstestproblemerne.
De fleste projekter har ligheder og typiske trin for at opnå 360° cyberbeskyttelse. Disse almindelige trin omfatter
- Reparation af kendte sårbarheder – under vores vurdering vil vi finde betydelige sikkerhedssårbarheder; derfor vil det første skridt være at rette disse sårbarheder og sikre, at hackere ikke kan udnytte dem;
- Kortlægning af aktiver og deres angrebsvektorer;
- Implementer sikkerhedslag for at beskytte disse angrebsvektorer. Disse sikkerhedslag omfatter:
- 3. parts produkter;
- Internt udviklede moduler;
- Implementer en sikker softwareudviklingsproces;
- Ændring af sikkerhedsarkitektur;
- Udvikle sikre forretningsprocesser;
- Uddanne medarbejderne om potentielle risici.
Fjerde trin: Implementeringsvejledning
Som nævnt ovenfor er cybersikkerhed ikke et engangsshow. Det er en levende proces som enhver anden udviklingsproces af et kryptoprojekt.
Vi vil give så meget vejledning som nødvendigt for at implementere vores køreplan korrekt. Vi vil eskortere dig hvert trin på vejen. Denne implementeringsvejledning omfatter:
- Vi hjælper dig med at implementere 3. parts værktøjer og skrive deres politikker.
- Rådfør dig og giv vores viden, når du designer nye moduler, der direkte påvirker sikkerheden eller indirekte påvirker dit projekts sikkerhed.
- Udførelse af ændringer af køreplanen for at tilpasse sig skiftende forretningskrav og hjælpe med at finde og eliminere nye sikkerhedsbrud.
- Vi hjælper dig i tilfælde af en hændelse, hvis der skete noget, vil vi være sammen med dig for at hjælpe dig med at forstå, hvad der skete, hvad der gik tabt, og hvad vi kan gøre ved det.
Vil du høre mere?
Et gratis konsulentmøde inkluderet.
Resumé
Web3-sikkerhed er hård, og næsten ethvert projekt er offer for en form for cybersikkerhedsangreb.
Ved at bruge vores unikke tilgang til 360° cyberbeskyttelse, vil vi bringe dit projekt til det højest mulige niveau af cybersikkerhedsstandarder og sikre, at de onde ikke hacker dig.
For at gøre det, vil vi først aktivt og passivt finde sikkerhedsaktiverne og brud på dit system. Vi analyserer også historiske hacks for projekter, der ligner dine, for bedre at vide, hvad de almindelige hacks er på markedet.
Vi vil derefter sammen med dig bygge en sikkerhedskøreplan, der vil tilføje yderligere sikkerhedslag, forhindre et enkelt fejlpunkt i dit system og integrere en løbende sikkerhedstestordning for at sikre, at dit system forbliver sikkert, selv efter vi er færdige.
Når sikkerhedsplanen er gennemført, vil vi blive ved din side for at hjælpe dig med at implementere vores resultater korrekt for at sikre, at alt er på det højeste sikkerhedsniveau.
