Sayfer LitePaper - Une nouvelle approche pour la sécurité des projets Web3

La bannière papier allégée
Problème

Le problème

Les hacks Web3 sont en augmentation. Tous les quelques jours, un autre projet majeur est piraté. Au mieux, la seule mesure de sécurité que prennent les projets Web3 est un audit de leurs contrats. Cette mesure de sécurité laisse finalement de nombreux autres aspects de l'entreprise vulnérables aux attaques. Nous avons souvent vu cela dans des piratages comme le piratage BadgerDao de 120 millions de dollars, le piratage de Ronin Bridge de 650 millions de dollars et à peu près tous les CEX qui ont perdu leurs clés privées.

Cette ancienne approche contient de nombreuses pratiques de sécurité moche qui augmenteront les risques de piratage.

Ces problèmes incluent:

  1. Point de défaillance unique;
  2. Manque de couches de sécurité ;
  3. Test unique.

Nous pensons que pour que les projets soient adoptés massivement par les utilisateurs « grand public », ils doivent être beaucoup plus stables dans leur cybersécurité. Aujourd'hui, la plupart des acteurs du marché de la cryptographie sont des adopteurs précoces, mais cela est en train de changer et le nouveau type de clients n'acceptera pas un tel risque.

Diagramme

Point de défaillance unique

Lors de la création de projets et de protocoles complexes, vous voulez vous assurer que même si un composant de votre système est compromis, vous ne perdrez pas tous vos fonds. Cette approche est plus facile à dire qu'à faire. 

Parfois, il est facile de savoir où se situent les points de défaillance, mais il est difficile de trouver un moyen d'atténuer le risque.

Imaginez que vous développiez un contrat symbolique. L'analyse des risques est simple avec des questions simples telles que - "Comment pouvez-vous ne pas perdre tout l'argent de vos investisseurs si le contrat est piraté?" « Comment saurez-vous si quelque chose de grave se produit ? » « Quel composant de votre système est le plus faible ?

Il est difficile de trouver le point de défaillance pas si évident.

Voici un autre exemple, vous avez un contrat très sécurisé, mais le téléphone de votre nouvel employé s'est fait voler. Ce téléphone est connecté à un compte GitHub qui peut valider et envoyer un nouveau code. Comment cela sera-t-il évité ou bloqué ?

Sans outils de surveillance appropriés, une porte dérobée peut être insérée dans votre contrat sans que vous le sachiez.

Chandelier tableau

Manque de couches de sécurité

La seule façon de créer un projet sécurisé est d'avoir plusieurs couches de sécurité. Il était très en place avant l'ère informatique et est plus que jamais pertinent dans les architectures de projets et de protocoles Web3 d'aujourd'hui.

La sécurité n'est pas un résultat binaire ; ce sont des couches. Vous ne pouvez pas verrouiller la porte et laisser la fenêtre ouverte. Des projets différents ont des besoins différents et des niveaux de risque différents. Si votre risque est élevé, vous devez l'atténuer avec plus de couches de sécurité.

Bien que la théorie semble agréable, qu'est-ce que cela signifie une fois mis en œuvre ?

Les projets doivent avoir de nombreux composants, et chaque composant doit pouvoir faire face à des compromis sans risquer l'intégrité du projet dans son ensemble. Chaque composant doit être surveillé, et lorsqu'un comportement anormal est détecté, les personnes en charge du projet doivent être informées et, sur la base de politiques prédéfinies, les transactions doivent être bloquées.

Test unique

Lors de la construction d'un projet complexe, vous devez considérer que le projet est une créature vivante en croissance constante. Cependant, la nature des audits est de se produire une fois tous les quelques mois. Pourtant, à cette période de l'année, les projets ne peuvent pas risquer d'être moins sûrs. Les projets ont besoin d'un processus de sécurité continu.

processus

Exemple concret :

Un exemple parfait de ce problème est l'exploit du pont Wormhole. Huit heures après le déploiement d'un commit avec une fonction obsolète sur la blockchain, 300 millions de dollars ont été volés. Ce cas aurait été évité avec les outils CI/CD appropriés qui bloqueraient la validation en plus d'autres mesures de sécurité en cours qui peuvent détecter les vulnérabilités en déplacement et pas seulement le jour de l'audit. Ce problème est si courant que même les projets qui viennent de faire un audit il y a quelques jours ont tendance à ajouter une "dernière fonctionnalité" après l'audit, ce qui peut causer des dommages.
Bloquer
notre solution

La solution

Une approche cyber à 360°. Les projets et les protocoles ne sont pas que des contrats. Ce sont des systèmes complexes qui nécessitent des solutions complexes.

En tant qu'entreprise native de cybersécurité Web3, Sayfer peut comprendre l'architecture de votre plateforme, la structure de votre entreprise, ainsi que le budget et les heures de développement que vous pouvez vous permettre d'allouer à un projet. Nous vous fournirons une feuille de route complète sur mesure en matière de cybersécurité.

Une fois que vous aurez mis en œuvre toutes nos découvertes, qui ressembleront à un support continu plutôt qu'à un coup ponctuel, la sécurité de votre projet augmentera au même rythme que votre projet se développe.

De cette façon, la sécurité ne sera pas un point faible qui nuira à votre croissance future. Nous suivrons ces étapes pour assurer la protection de la cybersécurité à 360° de votre entreprise :

Évaluation active et passive

Évaluation active et passive

Analyse historique des hacks

Analyse historique des hacks

Construire une feuille de route de sécurité

Construire une feuille de route de sécurité

Guide de mise en œuvre

Guide de mise en œuvre

Évaluation active et passive

Première étape : mener une évaluation passive et active

Au cours de la première phase de notre processus de sécurisation de votre projet, nous effectuerons une évaluation complète de la posture de cybersécurité de votre entreprise. Cette partie est essentielle car nous avons besoin de connaître votre point de départ pour construire une feuille de route de sécurité adaptée à vos besoins.

Dans un premier temps, nous utiliserons l'approche passive. Nous vous parlerons et comprendrons votre projet. Dans cette première approche, vous nous donnerez autant de détails que possible sur vos applications, votre architecture, vos employés, les vulnérabilités de sécurité potentielles connues et les risques que vous posez à votre système.

Une fois que nous aurons obtenu les détails de l'approche passive, nous passerons ensuite à l'approche active. Nous « testerons » vos réclamations en essayant de pirater votre système. Le processus se fera soit par un audit de sécurité des contrats, soit par un test de pénétration standard pour tester la sécurité des applications Web ou mobiles, soit par un test de pénétration de type équipe rouge pour trouver de nouvelles failles dans votre système.

Après avoir effectué les deux types d'évaluations, nous aurons une bonne compréhension de la position actuelle de votre entreprise en matière de cybersécurité et de ses risques potentiels.

Téléphone et liste de contrôle
Analyse historique des hacks

Deuxième étape : Effectuer une analyse historique des hacks

Les hackers ne sont pas différents des autres êtres humains. Ils voient ce que font leurs collègues et si cela fonctionne, ils essaient de faire de même.

Donc, pour prédire d'où viendra la prochaine attaque contre votre système, nous devrons comprendre les pratiques standard actuelles de la communauté des pirates. 

Nous le ferons en effectuant une analyse pour tout projet ayant une structure et des fonctionnalités similaires aux vôtres.

Un exemple pratique d'un tel comportement est le piratage d'échange centralisé, qui implique presque toujours la perte des clés privées de l'échange. Cela nous indique que nous devons mettre en place des services de garde fiables avec des politiques strictes.

Certaines boîtes de Pétri pour l'ingénierie sociale et les attaques de phishing avancées incluent les projets NFT, les communautés Discord et les comptes Twitter. Dans d'autres attaques, l'art est copié et publié sur un marché différent en fonction du type d'art NFT et de sa popularité. En les comprenant, nous adopterons l'approche pédagogique aux côtés des outils de détection des liens malveillants dans les communautés Discord et des outils de détection pour trouver l'art volé et notifier les places de marché. 

Il existe de nombreux autres exemples de cela, et chaque projet a ses propres nuances. C'est pourquoi nous devons comprendre le comportement actuel des pirates par client.

Analyse historique des hacks
Construire une feuille de route de sécurité

Troisième étape : créer une feuille de route pour la cybersécurité

Après avoir obtenu toutes les informations ci-dessus sur vos projets, telles que les actifs précieux et leur potentiel de risque, le marché et les risques de sécurité potentiels que pose votre système, nous sommes prêts à élaborer une feuille de route de sécurité pour vous.

Ce qu'implique la feuille de route de la cybersécurité

Il est difficile pour un projet de passer d'un état non sécurisé à un état entièrement sécurisé. Vous ne pouvez pas simplement le faire en ajoutant deux tâches à votre plateforme de gestion de projet et en oubliant tout cela.

Il y aura de nombreuses tâches. Certains sont plus urgents que d'autres, certains sont bloqués par des tâches de développement, certains sont complexes et vous ne savez même pas comment les démarrer. Pas de soucis, c'est pourquoi nous sommes ici. 

En construisant une feuille de route pour les mois à venir, vous aurez l'opportunité de mettre en place la cybersécurité sans retarder la feuille de route de votre projet de développement principal.

Construire une feuille de route de sécurité

Étapes impliquées dans la feuille de route de la cybersécurité

Sur la base de notre travail d'évaluation initial, chaque feuille de route sera différente et adaptée au projet spécifique. Bien que la feuille de route soit différente, l'objectif est toujours le même, qui est de cartographier tous les actifs précieux et leurs vecteurs d'attaque correspondants, puis de les protéger sous plusieurs angles, en plusieurs couches, en cours d'exécution, et de s'assurer que nous éliminons le point unique d'échec lors de la phase de développement, le manque de couches de sécurité et les problèmes ponctuels de test.

La plupart des projets présentent des similitudes et des étapes typiques pour réaliser des cyberprotections à 360°. Ces étapes courantes comprennent

  1. Correction des vulnérabilités connues - lors de notre évaluation, nous trouverons des vulnérabilités de sécurité importantes ; par conséquent, la première étape consistera à corriger ces vulnérabilités et à s'assurer que les pirates ne peuvent pas les exploiter ;
  2. Cartographier les actifs et leurs vecteurs d'attaque;
  3. Implémentez des couches de sécurité pour protéger ces vecteurs d'attaque. Ces couches de sécurité comprennent :
    • produits tiers ;
    • Modules développés en interne ;
  4. Mettre en place un processus de développement logiciel sécurisé;
  5. Modification de l'architecture de sécurité;
  6. Développer des processus métier sécurisés;
  7. Sensibiliser les employés aux risques potentiels.
Guide de mise en œuvre

Quatrième étape : conseils de mise en œuvre

Comme mentionné ci-dessus, la cybersécurité n'est pas un spectacle ponctuel. Il s'agit d'un processus en direct comme tout autre processus de développement d'un projet de cryptographie.  

Nous fournirons autant de conseils que nécessaire pour mettre en œuvre correctement notre feuille de route. Nous vous accompagnerons à chaque étape. Ce guide de mise en œuvre comprend : 

  1. Nous vous aidons à mettre en œuvre des outils tiers et à rédiger leurs politiques.
  2. Consultez et apportez nos connaissances lorsque vous concevez de nouveaux modules qui affectent directement ou indirectement la sécurité de votre projet.
  3. Apporter des modifications à la feuille de route pour s'aligner sur l'évolution des besoins de l'entreprise et aider à trouver et éliminer de nouvelles failles de sécurité. 
  4. En vous aidant en cas d'incident, si quelque chose arrivait, nous serions avec vous pour vous aider à comprendre ce qui s'est passé, ce qui s'est perdu et ce que nous pouvons faire à ce sujet.
Guide de mise en œuvre
Résumé

Résumé

La sécurité Web3 est difficile et presque tous les projets sont victimes d'une sorte d'attaque de cybersécurité.

Grâce à notre approche unique de la cyberprotection à 360°, nous amènerons votre projet au niveau le plus élevé possible des normes de cybersécurité et nous assurerons que les méchants ne vous pirateront pas.  

Pour ce faire, nous allons d'abord rechercher activement et passivement les actifs de sécurité et les failles de votre système. Nous analysons également les hacks historiques pour des projets similaires au vôtre afin de mieux savoir quels sont les hacks courants sur le marché.

Nous établirons ensuite avec vous une feuille de route de sécurité qui ajoutera des couches de sécurité supplémentaires, empêchera un point de défaillance unique dans votre système et intégrera un programme de test de sécurité continu pour s'assurer que votre système reste sécurisé même après que nous ayons terminé.

Une fois le plan de feuille de route de sécurité terminé, nous resterons à vos côtés pour vous aider à mettre en œuvre correctement nos conclusions afin de vous assurer que tout est au plus haut niveau de sécurité.

bouclier
Nous contacter

Restez à l'écoute

Téléphone
Localisation
Tel Aviv, Israël
Messagers:
N'hésitez pas à nous contacter, nous nous ferons un plaisir de vous répondre !





    Ce site est protégé par reCAPTCHA et Google Politique de confidentialité et Conditions d'utilisation s'appliquent.
    Passer au contenu