לוגו של סייפר
צור קשר

Sayfer LitePaper - גישה חדשה לאבטחת Web3 Projects

הורד Litepaper (pdf 5.3 מגה-בייט)
באנר נייר לייט
הפתרון
הערכה אקטיבית ופסיבית
ניתוח פריצות היסטוריות
בניית מפת דרכים לאבטחת סייבר
הנחיית יישום
<br> סיכום

הבעיה

פריצות ל-Web3 נמצאות במגמת עלייה. מדי כמה ימים, פרויקט גדול אחר נפרץ. במקרה הטוב, אמצעי האבטחה היחיד שפרויקטי Web3 מבצעים הוא ביקורת של החוזים שלהם. אמצעי אבטחה זה משאיר בסופו של דבר היבטים רבים אחרים של העסק חשופים להתקפות. ראינו זאת לעתים קרובות בפריצות כמו הפריצה של BadgerDao של 120 מיליון דולר, פריצת Ronin Bridge של 650 מיליון דולר, ובערך בכל CEX שאיבד את המפתחות הפרטיים שלו.

הגישה הישנה הזו מכילה שיטות אבטחה עלובות רבות שיגדילו את הסיכוי להיפרץ.

בעיות אלה כוללות:

  1. נקודת כשל יחידה;
  2. היעדר שכבות אבטחה;
  3. בדיקה חד פעמית.

אנו מאמינים שכדי שפרויקטים יזכו לאימוץ המוני ממשתמשי "הזרם המרכזי", הם צריכים להיות הרבה יותר יציבים באבטחת הסייבר שלהם. כיום, רוב שוק הקריפטו הם מאמצים מוקדמים, אבל זה משתנה, והסוג החדש של לקוחות לא יקבל סיכון כזה.

תרשים

נקודת כשל יחידה

בעת יצירת פרויקטים ופרוטוקולים מורכבים, אתה רוצה להבטיח שגם אם רכיב אחד של המערכת שלך ייפגע, לא תאבד את כל הכספים שלך. גישה זו קלה יותר לומר מאשר לעשות. 

לפעמים קל לדעת היכן נקודות הכשל, אבל קשה למצוא דרך להפחית את הסיכון.

תאר לעצמך שפיתחת חוזה סמלי. ניתוח הסיכונים הוא פשוט עם שאלות פשוטות כגון - "איך אתה יכול לא להפסיד את כל הכסף של המשקיעים שלך אם החוזה נפרץ?" "איך תדע אם משהו רע יקרה?" "איזה רכיב במערכת שלך הוא החלש ביותר?

קשה למצוא את נקודת הכישלון הלא כל כך ברורה.

הנה דוגמה נוספת, יש לך חוזה מאוד בטוח, אבל הטלפון של העובד החדש שלך נגנב. הטלפון הזה מחובר לחשבון GitHub שיכול לבצע ולדחוף קוד חדש. איך זה יימנע או ייחסם?

ללא כלי ניטור מתאימים, ניתן להכניס דלת אחורית לחוזה שלך מבלי שתדע על כך.

תרשים פמוט

היעדר שכבות אבטחה

הדרך היחידה ליצור פרויקט מאובטח היא באמצעות שכבות אבטחה מרובות. זה היה קיים מאוד לפני עידן המחשבים ורלוונטי בארכיטקטורות הפרויקטים והפרוטוקולים של Web3 של היום יותר מתמיד.

אבטחה אינה תוצאה בינארית; זה שכבות. אתה לא יכול לנעול את הדלת ולהשאיר את החלון פתוח. לפרויקטים שונים יש צרכים שונים ורמות סיכון שונות. אם הסיכון שלך גבוה, עליך להפחית אותו באמצעות שכבות אבטחה נוספות.

למרות שהתיאוריה נשמעת נחמדה, מה המשמעות של יישום?

לפרויקטים צריכים להיות מרכיבים רבים, וכל רכיב צריך להיות מסוגל להתמודד עם פשרות מבלי לסכן את שלמות הפרויקט כולו. יש לנטר כל רכיב, וכאשר מתגלה התנהגות חריגה, יש ליידע את האחראים על הפרויקט, ועל סמך מדיניות מוגדרת מראש, יש לחסום עסקאות.

בדיקה חד פעמית

כאשר בונים פרויקט מורכב, אתה צריך לקחת בחשבון שהפרויקט הוא יצור חי שצומח תמיד. עם זאת, אופי הביקורות הוא להתקיים אחת לכמה חודשים. עם זאת, בתקופה זו של השנה, פרויקטים לא יכולים להסתכן בהיותם פחות מאובטחים. הפרויקטים זקוקים לתהליך אבטחה מתמשך.

תהליך

דוגמה מהחיים האמיתיים:

דוגמה מושלמת לבעיה זו היא ניצול גשר חור התולעת. שמונה שעות לאחר פריסה של commit עם פונקציה שהוצאה משימוש בבלוקצ'יין, נגנבו 300 מיליון דולר. מקרה זה היה נמנע עם כלי ה-CI/CD המתאימים שייחסמו את ההתחייבות בנוסף לאמצעי אבטחה מתמשכים אחרים שיכולים לזהות פרצות תוך כדי תנועה ולא רק ביום הביקורת. בעיה זו כל כך נפוצה שאפילו פרויקטים שרק עשו ביקורת לפני מספר ימים נוטים להוסיף "פיצ'ר אחרון" לאחר הביקורת, שעלול לגרום לנזק.
הורד את Litepaper (pdf 5.3 מגה-בייט)
לנעול
הפתרון שלנו

הפתרון

גישת סייבר של 360°. פרויקטים ופרוטוקולים הם לא רק חוזים. הן מערכות מורכבות הדורשות פתרונות מורכבים.

בהיותה חברת אבטחת סייבר מקורית של Web3, Sayfer יכולה להבין את הארכיטקטורה של הפלטפורמה שלך, את מבנה העסק שלך ואת התקציב ושעות הפיתוח שאתה יכול להרשות לעצמך להקצות לפרויקט. אנו נספק עבורך מפת דרכים שלמה של אבטחת סייבר בהתאמה אישית.

לאחר שתטמיע את כל הממצאים שלנו, שידמו לתמיכה מתמשכת ולא צילום חד פעמי, האבטחה של הפרויקט שלך תגדל באותו קצב שבו הפרויקט שלך גדל.

בדרך זו, האבטחה לא תהיה נקודה רכה שתפגע בצמיחה שלך בעתיד. אנו נבצע את השלבים הבאים כדי להבטיח את הגנת אבטחת הסייבר של העסק שלך ב-360°:

הערכה אקטיבית ופסיבית

הערכה אקטיבית ופסיבית

ניתוח פריצות היסטוריות

ניתוח פריצות היסטוריות

בניית מפת דרכים אבטחה

בניית מפת דרכים אבטחה

הנחיית יישום

הנחיית יישום

הערכה אקטיבית ופסיבית

שלב ראשון: ביצוע הערכה פסיבית ואקטיבית

במהלך השלב הראשון של התהליך שלנו להבטחת הפרויקט שלך, אנו נבצע הערכה מלאה של עמדת אבטחת הסייבר העסקית שלך. חלק זה חיוני מכיוון שאנו צריכים לדעת את נקודת המוצא שלך כדי לבנות מפת דרכים אבטחה נכונה המותאמת עבורך.

ראשית, נשתמש בגישה הפסיבית. נדבר איתך ונבין את הפרויקט שלך. בגישה הראשונה הזו, תספר לנו כמה שיותר פרטים על היישומים שלך, הארכיטקטורה, העובדים, פרצות אבטחה פוטנציאליות ידועות והסיכונים שאתה מהווה למערכת שלך.

לאחר שקיבלנו את הפרטים בגישה הפסיבית, נמשיך לגישה האקטיבית. אנו "נבדוק" את הטענות שלך על ידי ניסיון לפרוץ למערכת שלך. התהליך יתבצע על ידי ביקורת אבטחה לחוזים, מבחן חדירה סטנדרטי לבדיקת אבטחת האינטרנט או האפליקציות הניידות, או מבחן חדירה בסגנון צוות אדום כדי למצוא הפרות חדשות למערכת שלך.

לאחר ביצוע שני סוגי ההערכות, תהיה לנו הבנה גבוהה של עמדת אבטחת הסייבר העסקית הנוכחית שלך והסיכונים הפוטנציאליים שלה.

טלפון ורשימת תיוג
ניתוח פריצות היסטוריות

שלב שני: ביצוע ניתוח פריצות היסטוריות

האקרים אינם שונים מכל אדם אחר. הם רואים מה עמיתיהם עושים, ואם זה עובד, הם מנסים לעשות את אותו הדבר.

אז כדי לחזות מאיפה תבוא ההתקפה הבאה על המערכת שלך, נצטרך להבין את שיטות העבודה הסטנדרטיות הנוכחיות בקהילת ההאקרים. 

אנו נעשה זאת על ידי ביצוע ניתוח עבור כל פרויקט עם מבנה ותכונות דומים לשלך.

דוגמה מעשית להתנהגות כזו היא פריצת החליפין הריכוזית, שכמעט תמיד כרוכה באובדן המפתחות הפרטיים של הבורסה. זה אומר לנו שעלינו ליישם שירותי אפוטרופוס אמינים עם מדיניות קפדנית.

כמה מנות פטרי להנדסה חברתית והתקפות דיוג מתקדמות כוללות פרויקטי NFT, קהילות Discord וחשבונות טוויטר. בהתקפות אחרות, האמנות מועתקת ומתפרסמת בשוק אחר בהתאם לסוג האמנות והפופולריות של NFT. על ידי הבנתם, ניקח את הגישה החינוכית לצד כלי זיהוי עבור הקישורים הזדוניים בקהילות Discord וכלי זיהוי כדי למצוא אמנות גנובה ולהודיע ​​לשוק. 

יש עוד דוגמאות רבות לכך, ולכל פרויקט יש ניואנסים משלו. זו הסיבה שעלינו להבין את ההתנהגות הנוכחית של ההאקרים לכל לקוח.

ניתוח פריצות היסטוריות
בניית מפת דרכים אבטחה

שלב שלישי: בניית מפת דרכים לאבטחת סייבר

לאחר השגת כל המידע לעיל על הפרויקטים שלך, כגון נכסים יקרי ערך ופוטנציאל הסיכון שלהם, השוק וסיכוני האבטחה הפוטנציאליים שהמערכת שלך מציבה, אנו מוכנים לבנות עבורך מפת דרכים אבטחה.

מה כוללת מפת הדרכים של אבטחת סייבר

קשה לפרויקט לעבור ממצב לא מאובטח למצב מאובטח לחלוטין. אתה לא יכול לעשות את זה פשוט על ידי הוספת שתי משימות לפלטפורמת ניהול הפרויקטים שלך ולשכוח הכל.

יהיו הרבה משימות. חלקם דחופים יותר מאחרים, חלקם חסומים במשימות פיתוח, חלקם מורכבות, ואין לך מושג אפילו איך להתחיל אותן. אל דאגה, זו הסיבה שאנחנו כאן. 

על ידי בניית מפת דרכים לחודשים הקרובים, תהיה לך הזדמנות ליישם אבטחת סייבר מבלי לעכב את מפת הדרכים של פרויקט הפיתוח הראשי שלך.

בניית מפת דרכים אבטחה

שלבים המעורבים במפת הדרכים של אבטחת סייבר

בהתבסס על עבודת ההערכה הראשונית שלנו, כל מפת דרכים תהיה שונה ותפורה במיוחד עבור הפרויקט הספציפי. למרות שמפת הדרכים תהיה שונה, המטרה היא תמיד זהה, והיא למפות את כל הנכסים היקרים ואת וקטורי ההתקפה התואמים שלהם ואז להגן עליהם מכמה זוויות, בשכבות מרובות, בזמן ריצה, ולוודא שאנחנו מחסלים את הנקודה הבודדת של כשל בשלב הפיתוח, היעדר שכבות אבטחה ובעיות בדיקה חד פעמיות.

לרוב הפרויקטים יש קווי דמיון ושלבים אופייניים להשגת הגנות סייבר של 360°. שלבים נפוצים אלה כוללים

  1. תיקון פרצות ידועות – במהלך ההערכה שלנו, נמצא פרצות אבטחה משמעותיות; לכן, הצעד הראשון יהיה לתקן את הפגיעויות הללו ולוודא שהאקרים לא יוכלו לנצל אותן;
  2. מיפוי נכסים וקטורי ההתקפה שלהם;
  3. הטמעת שכבות אבטחה כדי להגן על וקטורי ההתקפה הללו. שכבות אבטחה אלו כוללות:
    • מוצרי צד שלישי;
    • מודולים שפותחו בבית;
  4. הטמעת תהליך פיתוח תוכנה מאובטח;
  5. שינוי ארכיטקטורת אבטחה;
  6. פיתוח תהליכים עסקיים מאובטחים;
  7. למד את העובדים לגבי סיכונים פוטנציאליים.
הנחיית יישום

שלב רביעי: הדרכה ליישום

כפי שהוזכר לעיל, אבטחת סייבר אינה מופע חד פעמי. זהו תהליך חי כמו כל תהליך פיתוח אחר של פרויקט קריפטו.  

אנו נספק הנחיות ככל שיידרש כדי ליישם את מפת הדרכים שלנו בצורה נכונה. אנו נלווה אותך בכל שלב. הנחיית יישום זו כוללת: 

  1. אנו עוזרים לך ליישם כלים של צד שלישי ולכתוב את המדיניות שלהם.
  2. התייעצו וספקו את הידע שלנו כאשר אתם מעצבים מודולים חדשים המשפיעים ישירות על האבטחה או משפיעים בעקיפין על אבטחת הפרויקט שלכם.
  3. ביצוע שינויים במפת הדרכים כדי להתאים לדרישות העסקיות המשתנות ולעזור למצוא ולחסל פרצות אבטחה חדשות. 
  4. עוזרים לך במקרה של אירוע, אם משהו אכן קרה, נהיה איתך כדי לעזור לך להבין מה קרה, מה הלך לאיבוד, ומה אנחנו יכולים לעשות בנידון.
הנחיית יישום

<br> סיכום

אבטחת Web3 היא קשה, וכמעט כל פרויקט הוא קורבן של איזושהי מתקפת אבטחת סייבר.

באמצעות הגישה הייחודית שלנו להגנת סייבר ב-360°, ניקח את הפרויקט שלך לרמה הגבוהה ביותר האפשרית של תקני אבטחת סייבר ונבטיח שהחבר'ה הרעים לא יפרצו לך.  

לשם כך, ראשית נמצא באופן אקטיבי ופסיבי את נכסי האבטחה והפרות של המערכת שלך. אנו גם מנתחים פריצות היסטוריות לפרויקטים דומים לשלך כדי לדעת טוב יותר מהן הפריצות הנפוצות בשוק.

לאחר מכן נבנה איתך מפת דרכים אבטחה שתוסיף שכבות אבטחה נוספות, תמנע נקודת כשל אחת במערכת שלך ונשלב מערך בדיקות אבטחה מתמשך כדי לוודא שהמערכת שלך תישאר מאובטחת גם לאחר שנסיים.

לאחר השלמת תוכנית מפת הדרכים האבטחה, נישאר לצידך כדי לעזור לך ליישם נכון את הממצאים שלנו כדי לוודא שהכל ברמת האבטחה הגבוהה ביותר.

הורד את Litepaper (pdf 5.3 מגה-בייט)
מגן
צרו קשר

שמור על קשר

טלפון
972-559139416
מקום
תל אביב
כתובת אימייל
[מוגן בדוא"ל]
שליחים:
אתם מוזמנים ליצור איתנו קשר, נשמח להגיב!





    אתר זה מוגן על ידי reCAPTCHA ו- Google מדיניות הפרטיות ו תנאי שימוש באתר להגיש מועמדות.
    עבור לתוכן