Sayfer LitePaper - Un nuovo approccio per la sicurezza dei progetti Web3

Lo striscione di carta lite
Problema

Il problema

Gli attacchi Web3 sono in aumento. Ogni pochi giorni, un altro grande progetto viene violato. Nella migliore delle ipotesi, l'unica misura di sicurezza adottata dai progetti Web3 è un controllo dei loro contratti. Questa misura di sicurezza alla fine lascia molti altri aspetti dell'azienda vulnerabili agli attacchi. Lo abbiamo visto spesso in hack come BadgerDao da 120 milioni di dollari, Ronin Bridge da 650 milioni di dollari e praticamente tutti i CEX che hanno perso le chiavi private.

Questo vecchio approccio contiene molte pessime pratiche di sicurezza che aumenteranno la possibilità di essere violati.

Questi problemi includono:

  1. Singolo punto di errore;
  2. Mancanza di livelli di sicurezza;
  3. Una volta testato.

Riteniamo che affinché i progetti ottengano un'adozione di massa da parte degli utenti "mainstream", debbano essere molto più stabili nella loro sicurezza informatica. Oggi, la maggior parte del mercato delle criptovalute sono i primi ad adottare, ma le cose stanno cambiando e il nuovo tipo di clienti non accetterà tale rischio.

Diagramma

Singolo punto di errore

Quando crei progetti e protocolli complessi, vuoi assicurarti che anche se un componente del tuo sistema viene compromesso, non perderai tutti i tuoi fondi. Questo approccio è più facile a dirsi che a farsi. 

A volte è facile sapere dove si trovano i punti deboli, ma è difficile trovare un modo per mitigare il rischio.

Immagina di aver sviluppato un contratto token. Analizzare i rischi è semplice con domande semplici come: "Come puoi non perdere tutti i soldi dei tuoi investitori se il contratto viene violato?" "Come fai a sapere se succede qualcosa di brutto?" “Quale componente del tuo sistema è il più debole?

È difficile trovare il punto di fallimento non così ovvio.

Ecco un altro esempio, hai un contratto molto sicuro, ma il telefono del tuo nuovo dipendente è stato rubato. Questo telefono è connesso a un account GitHub che può eseguire il commit e il push di nuovo codice. Come verrà impedito o bloccato?

Senza adeguati strumenti di monitoraggio, una backdoor può essere inserita nel tuo contratto a tua insaputa.

Grafico a candele

Mancanza di livelli di sicurezza

L'unico modo per creare un progetto protetto è disporre di più livelli di sicurezza. Era molto presente prima dell'era dei computer ed è più che mai rilevante nel progetto Web3 e nelle architetture dei protocolli di oggi.

La sicurezza non è un risultato binario; sono strati. Non puoi chiudere a chiave la porta e lasciare la finestra aperta. Diversi progetti hanno esigenze diverse e diversi livelli di rischio. Se il tuo rischio è elevato, dovresti mitigarlo con più livelli di sicurezza.

Sebbene la teoria suoni bene, cosa significa quando viene implementata?

I progetti dovrebbero avere molti componenti e ogni componente dovrebbe essere in grado di affrontare compromessi senza mettere a rischio l'integrità dell'intero progetto. Ogni componente dovrebbe essere monitorato e, quando viene rilevato un comportamento anomalo, i responsabili del progetto dovrebbero essere informati e, in base a politiche predefinite, le transazioni dovrebbero essere bloccate.

Test una tantum

Quando costruisci un progetto complesso, devi considerare che il progetto è una creatura vivente in continua crescita. Tuttavia, la natura degli audit deve avvenire una volta ogni pochi mesi. Eppure, in quel periodo dell'anno, i progetti non possono rischiare di essere meno sicuri. I progetti necessitano di un processo di sicurezza continuo.

processi

Esempio di vita reale:

Un perfetto esempio di questo problema è l'exploit del ponte Wormhole. Otto ore dopo che un commit con una funzione deprecata è stato distribuito alla blockchain, sono stati rubati 300 milioni di dollari. Questo caso sarebbe stato prevenuto con gli strumenti CI/CD adeguati che avrebbero bloccato il commit oltre ad altre misure di sicurezza in corso in grado di rilevare le vulnerabilità in movimento e non solo il giorno dell'audit. Questo problema è così comune che persino i progetti che hanno appena effettuato un audit pochi giorni fa tendono ad aggiungere una "ultima funzionalità" dopo l'audit, il che può causare danni.
bloccare
la nostra soluzione

La soluzione

Un approccio informatico a 360°. Progetti e protocolli non sono solo contratti. Sono sistemi complessi che richiedono soluzioni complesse.

Essendo una società di sicurezza informatica Web3 nativa, Sayfer può comprendere l'architettura della tua piattaforma, la struttura della tua attività e il budget e le ore di sviluppo che puoi permetterti di allocare a un progetto. Forniremo una roadmap completa per la sicurezza informatica su misura per te.

Dopo aver implementato tutti i nostri risultati, che assomiglieranno a un supporto continuo piuttosto che a una possibilità una tantum, la sicurezza del tuo progetto crescerà allo stesso ritmo con cui cresce il tuo progetto.

In questo modo, la sicurezza non sarà un punto debole che danneggerà la tua crescita in futuro. Seguiremo questi passaggi per garantire la protezione della sicurezza informatica a 360° della tua azienda:

Valutazione attiva e passiva

Valutazione attiva e passiva

Analisi storica degli hack

Analisi storica degli hack

Costruisci una roadmap per la sicurezza

Costruisci una roadmap per la sicurezza

Guida all'implementazione

Guida all'implementazione

Valutazione attiva e passiva

Primo passo: condurre una valutazione passiva e attiva

Durante la prima fase del nostro processo per rendere sicuro il tuo progetto, eseguiremo una valutazione completa della posizione di sicurezza informatica della tua azienda. Questa parte è essenziale perché abbiamo bisogno di conoscere il tuo punto di partenza per costruire una corretta roadmap di sicurezza su misura per te.

In primo luogo, utilizzeremo l'approccio passivo. Parleremo con te e capiremo il tuo progetto. In questo primo approccio, ci dirai quanti più dettagli possibili sulle tue applicazioni, architettura, dipendenti, potenziali vulnerabilità di sicurezza note e sui rischi che poni al tuo sistema.

Una volta ottenuti i dettagli dell'approccio passivo, procederemo all'approccio attivo. "Testeremo" le tue affermazioni tentando di hackerare il tuo sistema. Il processo verrà eseguito mediante audit di sicurezza dei contratti, un test di penetrazione standard per testare la sicurezza delle applicazioni Web o mobili o un test di penetrazione in stile red-team per trovare nuove violazioni del sistema.

Dopo aver eseguito entrambi i tipi di valutazione, avremo un'elevata comprensione della tua attuale posizione di sicurezza informatica aziendale e dei suoi potenziali rischi.

Telefono e lista di controllo
Analisi storica degli hack

Secondo passaggio: condurre un'analisi storica degli hack

Gli hacker non sono diversi da qualsiasi altro essere umano. Vedono cosa stanno facendo i loro colleghi e, se funziona, provano a fare lo stesso.

Quindi, per prevedere da dove verrà il prossimo attacco al tuo sistema, dovremo comprendere le attuali pratiche standard nella comunità degli hacker. 

Lo faremo eseguendo analisi per qualsiasi progetto con struttura e caratteristiche simili alle tue.

Un esempio pratico di tale comportamento è l'hack dell'exchange centralizzato, che comporta quasi sempre la perdita delle chiavi private dell'exchange. Questo ci dice che dobbiamo implementare servizi di custodia affidabili con politiche rigorose.

Alcune capsule di Petri per l'ingegneria sociale e gli attacchi di phishing avanzati includono progetti NFT, comunità Discord e account Twitter. In altri attacchi, l'arte viene copiata e pubblicata in un mercato diverso a seconda del tipo di arte NFT e della popolarità. Comprendendoli, adotteremo l'approccio educativo insieme agli strumenti di rilevamento per i collegamenti dannosi nelle comunità Discord e agli strumenti di rilevamento per trovare opere d'arte rubate e avvisare i mercati. 

Ci sono molti altri esempi di questo, e ogni progetto ha le sue sfumature. Questo è il motivo per cui dobbiamo comprendere il comportamento attuale degli hacker per cliente.

Analisi storica degli hack
Costruisci una roadmap per la sicurezza

Terzo passo: costruire una roadmap per la sicurezza informatica

Dopo aver ottenuto tutte le informazioni di cui sopra sui tuoi progetti, come risorse preziose e il loro potenziale di rischio, il mercato e i potenziali rischi per la sicurezza che il tuo sistema pone, siamo pronti a costruire una roadmap per la sicurezza per te.

Cosa comporta la roadmap per la sicurezza informatica

È difficile per un progetto passare da uno stato non sicuro a uno completamente sicuro. Non puoi farlo semplicemente aggiungendo due attività alla tua piattaforma di gestione dei progetti e dimenticandoti di tutto.

Ci saranno molti compiti. Alcuni sono più urgenti di altri, alcuni sono bloccati da attività di sviluppo, altri sono complessi e non hai nemmeno idea di come avviarli. Nessun problema, è per questo che siamo qui. 

Creando una roadmap per i prossimi mesi, avrai l'opportunità di implementare la sicurezza informatica senza ritardare la roadmap del tuo progetto di sviluppo principale.

Costruisci una roadmap per la sicurezza

Passi coinvolti nella roadmap per la sicurezza informatica

Sulla base del nostro lavoro di valutazione iniziale, ogni tabella di marcia sarà diversa e personalizzata per il progetto specifico. Anche se la tabella di marcia sarà diversa, l'obiettivo è sempre lo stesso, ovvero mappare tutte le risorse preziose e i relativi vettori di attacco e quindi proteggerle da diverse angolazioni, in più livelli, in fase di esecuzione e assicurarsi di eliminare il singolo punto di fallimento nella fase di sviluppo, la mancanza di livelli di sicurezza e i problemi di test una tantum.

La maggior parte dei progetti presenta somiglianze e passaggi tipici per ottenere protezioni informatiche a 360°. Questi passaggi comuni includono

  1. Risolvere vulnerabilità note: durante la nostra valutazione, troveremo significative vulnerabilità di sicurezza; pertanto, il primo passo sarà correggere queste vulnerabilità e assicurarsi che gli hacker non possano sfruttarle;
  2. Mappatura delle risorse e dei loro vettori di attacco;
  3. Implementa i livelli di sicurezza per proteggere questi vettori di attacco. Questi livelli di sicurezza includono:
    • prodotti di terze parti;
    • Moduli sviluppati internamente;
  4. Implementa un processo di sviluppo software sicuro;
  5. Modifica dell'architettura di sicurezza;
  6. Sviluppa processi aziendali sicuri;
  7. Educare i dipendenti sui potenziali rischi.
Guida all'implementazione

Quarta fase: Guida all'implementazione

Come accennato in precedenza, la sicurezza informatica non è uno spettacolo unico. È un processo live come qualsiasi altro processo di sviluppo di un progetto crittografico.  

Forniremo tutte le indicazioni necessarie per implementare correttamente la nostra tabella di marcia. Ti accompagneremo in ogni fase del percorso. Questa guida all'implementazione include: 

  1. Ti stiamo aiutando a implementare strumenti di terze parti e a scrivere le loro politiche.
  2. Consulta e fornisci le nostre conoscenze quando progetti nuovi moduli che influenzano direttamente la sicurezza o influenzano indirettamente la sicurezza del tuo progetto.
  3. Esecuzione di modifiche alla roadmap per allinearsi ai mutevoli requisiti aziendali e aiutare a trovare ed eliminare nuove violazioni della sicurezza. 
  4. Aiutandoti in caso di incidente, se dovesse succedere qualcosa, saremmo con te per aiutarti a capire cosa è successo, cosa si è perso e cosa possiamo fare al riguardo.
Guida all'implementazione
sommario

sommario

La sicurezza Web3 è difficile e quasi tutti i progetti sono vittime di una sorta di attacco alla sicurezza informatica.

Utilizzando il nostro approccio unico alla protezione informatica a 360°, porteremo il tuo progetto al più alto livello possibile di standard di sicurezza informatica e garantiremo che i malintenzionati non ti hackerino.  

Per fare ciò, troveremo prima attivamente e passivamente le risorse di sicurezza e le violazioni del tuo sistema. Analizziamo anche hack storici per progetti simili al tuo per sapere meglio quali sono gli hack comuni sul mercato.

Costruiremo quindi con te una roadmap di sicurezza che aggiungerà ulteriori livelli di sicurezza, preverrà un singolo punto di errore nel tuo sistema e integrerà uno schema di test di sicurezza in corso per garantire che il tuo sistema rimanga sicuro anche dopo che avremo finito.

Dopo che il progetto della roadmap di sicurezza sarà stato completato, rimarremo al tuo fianco per aiutarti a implementare correttamente i nostri risultati per assicurarci che tutto sia al massimo livello di sicurezza.

Scudo
Contattaci

Rimaniamo in contatto

Geolocalizzazione
Tel Aviv, Israele
messaggeri:
Non esitate a contattarci, saremo lieti di rispondere!





    Questo sito è protetto da reCAPTCHA e Google Informativa sulla Privacy e Termini di Servizio applicare.
    Salta al contenuto