Sayfer LitePaper - Un nuevo enfoque para la seguridad de los proyectos Web3

La pancarta de papel lite
Problema

El problema

Los hacks Web3 están en aumento. Cada pocos días, otro proyecto importante es pirateado. En el mejor de los casos, la única medida de seguridad que realizan los proyectos Web3 es una auditoría de sus contratos. Esta medida de seguridad eventualmente deja muchos otros aspectos del negocio vulnerables a los ataques. A menudo hemos visto esto en hacks como BadgerDao de $ 120 millones, Ronin Bridge de $ 650 millones y prácticamente todos los CEX que perdieron sus claves privadas.

Este antiguo enfoque contiene muchas prácticas de seguridad pésimas que aumentarán la posibilidad de ser pirateado.

Estos problemas incluyen:

  1. Punto único de fallo;
  2. Falta de capas de seguridad;
  3. Prueba de una sola vez.

Creemos que para que los proyectos obtengan una adopción masiva por parte de los usuarios "principales", deben ser mucho más estables en su ciberseguridad. Hoy en día, la mayoría del mercado criptográfico son los primeros en adoptar, pero eso está cambiando y el nuevo tipo de clientes no aceptará tal riesgo.

Diagrama

Punto único de fallo

Al crear proyectos y protocolos complejos, desea asegurarse de que incluso si un componente de su sistema se ve comprometido, no perderá todos sus fondos. Este enfoque es más fácil decirlo que hacerlo. 

A veces es fácil saber dónde están los puntos de falla, pero es difícil encontrar una forma de mitigar el riesgo.

Imagina que desarrollaste un contrato simbólico. Analizar los riesgos es sencillo con preguntas simples como: "¿Cómo no perderá todo el dinero de sus inversores si el contrato es pirateado?" “¿Cómo sabrás si sucede algo malo?” “¿Qué componente de su sistema es el más débil?

Es difícil encontrar el punto de falla no tan obvio.

Aquí hay otro ejemplo, tiene un contrato muy seguro, pero le robaron el teléfono a su nuevo empleado. Este teléfono está conectado a una cuenta de GitHub que puede confirmar y enviar código nuevo. ¿Cómo se evitará o bloqueará esto?

Sin las herramientas de monitoreo adecuadas, se puede insertar una puerta trasera en su contrato sin que usted lo sepa.

Tabla de velas

Falta de capas de seguridad

La única forma de crear un proyecto seguro es tener varias capas de seguridad. Ya existía mucho antes de la era de las computadoras y es más relevante que nunca en las arquitecturas de protocolos y proyectos Web3 de hoy.

La seguridad no es un resultado binario; son capas. No se puede cerrar la puerta y dejar la ventana abierta. Los diferentes proyectos tienen diferentes necesidades y diferentes niveles de riesgo. Si su riesgo es alto, debe mitigarlo con más capas de seguridad.

Aunque la teoría suena bien, ¿qué significa cuando se implementa?

Los proyectos deben tener muchos componentes, y cada componente debe poder enfrentar compromisos sin poner en riesgo la integridad del proyecto completo. Cada componente debe ser monitoreado, y cuando se detecte un comportamiento anormal, se debe informar a las personas a cargo del proyecto, y en base a políticas predefinidas, se deben bloquear las transacciones.

Prueba única

Al construir un proyecto complejo, debe tener en cuenta que el proyecto es una criatura viva en constante crecimiento. Sin embargo, la naturaleza de las auditorías es que ocurran una vez cada pocos meses. Sin embargo, durante esa época del año, los proyectos no pueden correr el riesgo de ser menos seguros. Los proyectos necesitan un proceso de seguridad continuo.

Ejemplo de la vida real:

Un ejemplo perfecto de este problema es el exploit del puente Wormhole. Ocho horas después de que se implementara una confirmación con una función obsoleta en la cadena de bloques, se robaron 300 millones de dólares. Este caso se habría evitado con las herramientas de CI/CD adecuadas que bloquearían la confirmación, además de otras medidas de seguridad continuas que pueden detectar vulnerabilidades sobre la marcha y no solo el día de la auditoría. Este problema es tan común que incluso los proyectos que acaban de realizar una auditoría hace unos días tienden a agregar una "última característica" después de la auditoría, lo que puede causar daños.
Bloquear
nuestra solución

La Solución

Un enfoque cibernético de 360°. Los proyectos y protocolos no son solo contratos. Son sistemas complejos que requieren soluciones complejas.

Al ser una empresa de ciberseguridad nativa de Web3, Sayfer puede comprender la arquitectura de su plataforma, la estructura de su negocio y el presupuesto y las horas de desarrollo que puede permitirse asignar a un proyecto. Le proporcionaremos una hoja de ruta completa de ciberseguridad hecha a medida.

Después de implementar todos nuestros hallazgos, que se parecerán a un soporte continuo en lugar de una oportunidad única, la seguridad de su proyecto crecerá al mismo ritmo que crece su proyecto.

De esta forma, la seguridad no será un punto débil que perjudique tu crecimiento en el futuro. Seguiremos estos pasos para garantizar la protección de seguridad cibernética de 360 ​​° de su empresa:

Evaluación activa y pasiva

Evaluación activa y pasiva

Análisis histórico de hacks

Análisis histórico de hacks

Cree una hoja de ruta de seguridad

Cree una hoja de ruta de seguridad

Orientación de implementación

Orientación de implementación

Evaluación activa y pasiva

Primer paso: realizar una evaluación pasiva y activa

Durante la primera fase de nuestro proceso para hacer que su proyecto sea seguro, realizaremos una evaluación completa de la postura de seguridad cibernética de su empresa. Esta parte es esencial porque necesitamos conocer su punto de partida para construir una hoja de ruta de seguridad correcta adaptada a usted.

Primero, usaremos el enfoque pasivo. Hablaremos contigo y entenderemos tu proyecto. En este primer acercamiento, nos contará tantos detalles como sea posible sobre sus aplicaciones, arquitectura, empleados, posibles vulnerabilidades de seguridad conocidas y los riesgos que representa para su sistema.

Una vez que hayamos obtenido los detalles en el enfoque pasivo, procederemos al enfoque activo. “Probaremos” sus afirmaciones intentando piratear su sistema. El proceso se realizará mediante una auditoría de seguridad de los contratos, una prueba de penetración estándar para probar la seguridad de la aplicación web o móvil, o una prueba de penetración estilo equipo rojo para encontrar nuevas infracciones en su sistema.

Después de realizar ambos tipos de evaluaciones, tendremos una gran comprensión de la postura actual de ciberseguridad de su empresa y sus riesgos potenciales.

Teléfono y lista de verificación
Análisis histórico de hacks

Segundo paso: realizar un análisis histórico de hacks

Los hackers no son diferentes de cualquier otro ser humano. Ven lo que están haciendo sus colegas y, si funciona, intentan hacer lo mismo.

Entonces, para predecir de dónde provendrá el próximo ataque a su sistema, debemos comprender las prácticas estándar actuales en la comunidad de piratas informáticos. 

Lo haremos realizando análisis para cualquier proyecto con una estructura y características similares a las suyas.

Un ejemplo práctico de tal comportamiento es el pirateo de intercambio centralizado, que casi siempre implica la pérdida de las claves privadas del intercambio. Esto nos dice que debemos implementar servicios de custodia confiables con políticas estrictas.

Algunas placas de Petri para ingeniería social y ataques de phishing avanzados incluyen proyectos NFT, comunidades de Discord y cuentas de Twitter. En otros ataques, el arte se copia y se publica en un mercado diferente según el tipo de arte NFT y la popularidad. Al comprender esto, adoptaremos el enfoque educativo junto con herramientas de detección de enlaces maliciosos en las comunidades de Discord y herramientas de detección para encontrar arte robado y notificar a los mercados. 

Hay muchos más ejemplos de esto, y cada proyecto tiene sus propios matices. Es por esto que debemos entender el comportamiento actual de los hackers por cliente.

Análisis histórico de hacks
Cree una hoja de ruta de seguridad

Tercer paso: construir una hoja de ruta de ciberseguridad

Después de obtener toda la información anterior sobre sus proyectos, como activos valiosos y su potencial de riesgo, el mercado y los posibles riesgos de seguridad que plantea su sistema, estamos listos para crear una hoja de ruta de seguridad para usted.

Qué implica la hoja de ruta de ciberseguridad

Es difícil para un proyecto pasar de un estado no seguro a uno totalmente seguro. No puede hacerlo simplemente agregando dos tareas a su plataforma de gestión de proyectos y olvidándose de todo.

Habrá muchas tareas. Algunos son más urgentes que otros, algunos están bloqueados por tareas de desarrollo, algunos son complejos y no tienes idea de cómo iniciarlos. No te preocupes, es por eso que estamos aquí. 

Al crear una hoja de ruta para los próximos meses, tendrá la oportunidad de implementar la ciberseguridad sin retrasar la hoja de ruta de su proyecto de desarrollo principal.

Cree una hoja de ruta de seguridad

Pasos involucrados en la hoja de ruta de ciberseguridad

Según nuestro trabajo de evaluación inicial, cada hoja de ruta será diferente y estará hecha a medida para el proyecto específico. Aunque la hoja de ruta será diferente, el objetivo es siempre el mismo, que es mapear todos los activos valiosos y sus vectores de ataque correspondientes y luego protegerlos desde varios ángulos, en múltiples capas, en tiempo de ejecución, y asegurarnos de eliminar el punto único de falla en la fase de desarrollo, la falta de capas de seguridad y los problemas de prueba de una sola vez.

La mayoría de los proyectos tienen similitudes y pasos típicos para lograr protecciones cibernéticas de 360°. Estos pasos comunes incluyen

  1. Corrección de vulnerabilidades conocidas: durante nuestra evaluación, encontraremos importantes vulnerabilidades de seguridad; por lo tanto, el primer paso será corregir estas vulnerabilidades y asegurarse de que los piratas informáticos no puedan explotarlas;
  2. Mapeo de activos y sus vectores de ataque;
  3. Implemente capas de seguridad para proteger estos vectores de ataque. Estas capas de seguridad incluyen:
    • productos de terceros;
    • Módulos desarrollados internamente;
  4. Implementar un proceso de desarrollo de software seguro;
  5. Modificación de la arquitectura de seguridad;
  6. Desarrollar procesos de negocio seguros;
  7. Educar a los empleados sobre los riesgos potenciales..
Orientación de implementación

Cuarto paso: Guía de implementación

Como se mencionó anteriormente, la ciberseguridad no es un espectáculo de una sola vez. Es un proceso vivo como cualquier otro proceso de desarrollo de un proyecto criptográfico.  

Brindaremos tanta orientación como sea necesario para implementar nuestra hoja de ruta correctamente. Te acompañaremos en cada paso del camino. Esta guía de implementación incluye: 

  1. Lo estamos ayudando a implementar herramientas de terceros y escribir sus políticas.
  2. Consulta y brinda nuestro conocimiento cuando diseñes nuevos módulos que afecten directamente o indirectamente la seguridad de tu proyecto.
  3. Realizar modificaciones a la hoja de ruta para alinearlos con los cambiantes requisitos comerciales y ayudar a encontrar y eliminar nuevas brechas de seguridad. 
  4. Ayudándolo en caso de un incidente, si algo sucediera, estaríamos con usted para ayudarlo a comprender qué sucedió, qué se perdió y qué podemos hacer al respecto.
Orientación de implementación
Resumen

Resumen

La seguridad de Web3 es difícil, y casi cualquier proyecto es víctima de algún tipo de ataque de ciberseguridad.

Usando nuestro enfoque único para la protección cibernética de 360°, llevaremos su proyecto al nivel más alto posible de estándares de seguridad cibernética y nos aseguraremos de que los malos no lo pirateen.  

Para hacerlo, primero encontraremos activa y pasivamente los activos de seguridad y las brechas de su sistema. También analizamos hacks históricos de proyectos similares al tuyo para conocer mejor cuáles son los hacks comunes en el mercado.

Luego, construiremos con usted una hoja de ruta de seguridad que agregará capas adicionales de seguridad, evitará un punto único de falla en su sistema e integrará un esquema de prueba de seguridad continuo para garantizar que su sistema permanezca seguro incluso después de que hayamos terminado.

Una vez que se haya completado el plan de la hoja de ruta de seguridad, permaneceremos a su lado para ayudarlo a implementar correctamente nuestros hallazgos para asegurarnos de que todo esté en el nivel más alto de seguridad.

Proteccion
Contacte con nosotros

Mantenerse en contacto

Ubicación
Tel Aviv, Israel
Correo electrónico
Mensajeros
No dude en ponerse en contacto con nosotros, ¡estaremos encantados de responderle!





    Este sitio está protegido por reCAPTCHA y Google Política de Privacidad y Términos de Servicio aplican.
    Ir al contenido