Il problema
Gli attacchi Web3 sono in aumento. Ogni pochi giorni, un altro grande progetto viene violato. Nella migliore delle ipotesi, l'unica misura di sicurezza adottata dai progetti Web3 è un controllo dei loro contratti. Questa misura di sicurezza alla fine lascia molti altri aspetti dell'azienda vulnerabili agli attacchi. Lo abbiamo visto spesso in hack come BadgerDao da 120 milioni di dollari, Ronin Bridge da 650 milioni di dollari e praticamente tutti i CEX che hanno perso le chiavi private.
Questo vecchio approccio contiene molte pessime pratiche di sicurezza che aumenteranno la possibilità di essere violati.
Questi problemi includono:
- Singolo punto di errore;
- Mancanza di livelli di sicurezza;
- Una volta testato.
Riteniamo che affinché i progetti ottengano un'adozione di massa da parte degli utenti "mainstream", debbano essere molto più stabili nella loro sicurezza informatica. Oggi, la maggior parte del mercato delle criptovalute sono i primi ad adottare, ma le cose stanno cambiando e il nuovo tipo di clienti non accetterà tale rischio.
Singolo punto di errore
Quando crei progetti e protocolli complessi, vuoi assicurarti che anche se un componente del tuo sistema viene compromesso, non perderai tutti i tuoi fondi. Questo approccio è più facile a dirsi che a farsi.
A volte è facile sapere dove si trovano i punti deboli, ma è difficile trovare un modo per mitigare il rischio.
Immagina di aver sviluppato un contratto token. Analizzare i rischi è semplice con domande semplici come: "Come puoi non perdere tutti i soldi dei tuoi investitori se il contratto viene violato?" "Come fai a sapere se succede qualcosa di brutto?" “Quale componente del tuo sistema è il più debole?
È difficile trovare il punto di fallimento non così ovvio.
Ecco un altro esempio, hai un contratto molto sicuro, ma il telefono del tuo nuovo dipendente è stato rubato. Questo telefono è connesso a un account GitHub che può eseguire il commit e il push di nuovo codice. Come verrà impedito o bloccato?
Senza adeguati strumenti di monitoraggio, una backdoor può essere inserita nel tuo contratto a tua insaputa.
Mancanza di livelli di sicurezza
L'unico modo per creare un progetto protetto è disporre di più livelli di sicurezza. Era molto presente prima dell'era dei computer ed è più che mai rilevante nel progetto Web3 e nelle architetture dei protocolli di oggi.
La sicurezza non è un risultato binario; sono strati. Non puoi chiudere a chiave la porta e lasciare la finestra aperta. Diversi progetti hanno esigenze diverse e diversi livelli di rischio. Se il tuo rischio è elevato, dovresti mitigarlo con più livelli di sicurezza.
Sebbene la teoria suoni bene, cosa significa quando viene implementata?
I progetti dovrebbero avere molti componenti e ogni componente dovrebbe essere in grado di affrontare compromessi senza mettere a rischio l'integrità dell'intero progetto. Ogni componente dovrebbe essere monitorato e, quando viene rilevato un comportamento anomalo, i responsabili del progetto dovrebbero essere informati e, in base a politiche predefinite, le transazioni dovrebbero essere bloccate.
Test una tantum
Quando costruisci un progetto complesso, devi considerare che il progetto è una creatura vivente in continua crescita. Tuttavia, la natura degli audit deve avvenire una volta ogni pochi mesi. Eppure, in quel periodo dell'anno, i progetti non possono rischiare di essere meno sicuri. I progetti necessitano di un processo di sicurezza continuo.
La Soluzione
Un approccio informatico a 360°. Progetti e protocolli non sono solo contratti. Sono sistemi complessi che richiedono soluzioni complesse.
Essendo una società di sicurezza informatica Web3 nativa, Sayfer può comprendere l'architettura della tua piattaforma, la struttura della tua attività e il budget e le ore di sviluppo che puoi permetterti di allocare a un progetto. Forniremo una roadmap completa per la sicurezza informatica su misura per te.
Dopo aver implementato tutti i nostri risultati, che assomiglieranno a un supporto continuo piuttosto che a una possibilità una tantum, la sicurezza del tuo progetto crescerà allo stesso ritmo con cui cresce il tuo progetto.
In questo modo, la sicurezza non sarà un punto debole che danneggerà la tua crescita in futuro. Seguiremo questi passaggi per garantire la protezione della sicurezza informatica a 360° della tua azienda:
Valutazione attiva e passiva
Analisi storica degli hack
Costruisci una roadmap per la sicurezza
Guida all'implementazione
Primo passo: condurre una valutazione passiva e attiva
Durante la prima fase del nostro processo per rendere sicuro il tuo progetto, eseguiremo una valutazione completa della posizione di sicurezza informatica della tua azienda. Questa parte è essenziale perché abbiamo bisogno di conoscere il tuo punto di partenza per costruire una corretta roadmap di sicurezza su misura per te.
In primo luogo, utilizzeremo l'approccio passivo. Parleremo con te e capiremo il tuo progetto. In questo primo approccio, ci dirai quanti più dettagli possibili sulle tue applicazioni, architettura, dipendenti, potenziali vulnerabilità di sicurezza note e sui rischi che poni al tuo sistema.
Una volta ottenuti i dettagli dell'approccio passivo, procederemo all'approccio attivo. "Testeremo" le tue affermazioni tentando di hackerare il tuo sistema. Il processo verrà eseguito mediante audit di sicurezza dei contratti, un test di penetrazione standard per testare la sicurezza delle applicazioni Web o mobili o un test di penetrazione in stile red-team per trovare nuove violazioni del sistema.
Dopo aver eseguito entrambi i tipi di valutazione, avremo un'elevata comprensione della tua attuale posizione di sicurezza informatica aziendale e dei suoi potenziali rischi.
Secondo passaggio: condurre un'analisi storica degli hack
Gli hacker non sono diversi da qualsiasi altro essere umano. Vedono cosa stanno facendo i loro colleghi e, se funziona, provano a fare lo stesso.
Quindi, per prevedere da dove verrà il prossimo attacco al tuo sistema, dovremo comprendere le attuali pratiche standard nella comunità degli hacker.
Lo faremo eseguendo analisi per qualsiasi progetto con struttura e caratteristiche simili alle tue.
Un esempio pratico di tale comportamento è l'hack dell'exchange centralizzato, che comporta quasi sempre la perdita delle chiavi private dell'exchange. Questo ci dice che dobbiamo implementare servizi di custodia affidabili con politiche rigorose.
Alcune capsule di Petri per l'ingegneria sociale e gli attacchi di phishing avanzati includono progetti NFT, comunità Discord e account Twitter. In altri attacchi, l'arte viene copiata e pubblicata in un mercato diverso a seconda del tipo di arte NFT e della popolarità. Comprendendoli, adotteremo l'approccio educativo insieme agli strumenti di rilevamento per i collegamenti dannosi nelle comunità Discord e agli strumenti di rilevamento per trovare opere d'arte rubate e avvisare i mercati.
Ci sono molti altri esempi di questo, e ogni progetto ha le sue sfumature. Questo è il motivo per cui dobbiamo comprendere il comportamento attuale degli hacker per cliente.
Terzo passo: costruire una roadmap per la sicurezza informatica
Dopo aver ottenuto tutte le informazioni di cui sopra sui tuoi progetti, come risorse preziose e il loro potenziale di rischio, il mercato e i potenziali rischi per la sicurezza che il tuo sistema pone, siamo pronti a costruire una roadmap per la sicurezza per te.
Cosa comporta la roadmap per la sicurezza informatica
È difficile per un progetto passare da uno stato non sicuro a uno completamente sicuro. Non puoi farlo semplicemente aggiungendo due attività alla tua piattaforma di gestione dei progetti e dimenticandoti di tutto.
Ci saranno molti compiti. Alcuni sono più urgenti di altri, alcuni sono bloccati da attività di sviluppo, altri sono complessi e non hai nemmeno idea di come avviarli. Nessun problema, è per questo che siamo qui.
Creando una roadmap per i prossimi mesi, avrai l'opportunità di implementare la sicurezza informatica senza ritardare la roadmap del tuo progetto di sviluppo principale.
Passi coinvolti nella roadmap per la sicurezza informatica
Sulla base del nostro lavoro di valutazione iniziale, ogni tabella di marcia sarà diversa e personalizzata per il progetto specifico. Anche se la tabella di marcia sarà diversa, l'obiettivo è sempre lo stesso, ovvero mappare tutte le risorse preziose e i relativi vettori di attacco e quindi proteggerle da diverse angolazioni, in più livelli, in fase di esecuzione e assicurarsi di eliminare il singolo punto di fallimento nella fase di sviluppo, la mancanza di livelli di sicurezza e i problemi di test una tantum.
La maggior parte dei progetti presenta somiglianze e passaggi tipici per ottenere protezioni informatiche a 360°. Questi passaggi comuni includono
- Risolvere vulnerabilità note: durante la nostra valutazione, troveremo significative vulnerabilità di sicurezza; pertanto, il primo passo sarà correggere queste vulnerabilità e assicurarsi che gli hacker non possano sfruttarle;
- Mappatura delle risorse e dei loro vettori di attacco;
- Implementa i livelli di sicurezza per proteggere questi vettori di attacco. Questi livelli di sicurezza includono:
- prodotti di terze parti;
- Moduli sviluppati internamente;
- Implementa un processo di sviluppo software sicuro;
- Modifica dell'architettura di sicurezza;
- Sviluppa processi aziendali sicuri;
- Educare i dipendenti sui potenziali rischi.
Quarta fase: Guida all'implementazione
Come accennato in precedenza, la sicurezza informatica non è uno spettacolo unico. È un processo live come qualsiasi altro processo di sviluppo di un progetto crittografico.
Forniremo tutte le indicazioni necessarie per implementare correttamente la nostra tabella di marcia. Ti accompagneremo in ogni fase del percorso. Questa guida all'implementazione include:
- Ti stiamo aiutando a implementare strumenti di terze parti e a scrivere le loro politiche.
- Consulta e fornisci le nostre conoscenze quando progetti nuovi moduli che influenzano direttamente la sicurezza o influenzano indirettamente la sicurezza del tuo progetto.
- Esecuzione di modifiche alla roadmap per allinearsi ai mutevoli requisiti aziendali e aiutare a trovare ed eliminare nuove violazioni della sicurezza.
- Aiutandoti in caso di incidente, se dovesse succedere qualcosa, saremmo con te per aiutarti a capire cosa è successo, cosa si è perso e cosa possiamo fare al riguardo.
Vuoi saperne di più?
Un incontro di consulenza gratuito incluso.
Sommario
La sicurezza Web3 è difficile e quasi tutti i progetti sono vittime di una sorta di attacco alla sicurezza informatica.
Utilizzando il nostro approccio unico alla protezione informatica a 360°, porteremo il tuo progetto al più alto livello possibile di standard di sicurezza informatica e garantiremo che i malintenzionati non ti hackerino.
Per fare ciò, troveremo prima attivamente e passivamente le risorse di sicurezza e le violazioni del tuo sistema. Analizziamo anche hack storici per progetti simili al tuo per sapere meglio quali sono gli hack comuni sul mercato.
Costruiremo quindi con te una roadmap di sicurezza che aggiungerà ulteriori livelli di sicurezza, preverrà un singolo punto di errore nel tuo sistema e integrerà uno schema di test di sicurezza in corso per garantire che il tuo sistema rimanga sicuro anche dopo che avremo finito.
Dopo che il progetto della roadmap di sicurezza sarà stato completato, rimarremo al tuo fianco per aiutarti a implementare correttamente i nostri risultati per assicurarci che tutto sia al massimo livello di sicurezza.