Sayfer LitePaper - новый подход к безопасности Web3-проектов

Легкий бумажный баннер
Проблема

Проблема

Взломы Web3 находятся на подъеме. Каждые несколько дней взламывается очередной крупный проект. В лучшем случае единственная мера безопасности, которую выполняют проекты Web3, — это аудит их контрактов. Эта мера безопасности в конечном итоге оставляет многие другие аспекты бизнеса уязвимыми для атак. Мы часто видели это в таких взломах, как взлом BadgerDao за 120 миллионов долларов, взлом Ronin Bridge за 650 миллионов долларов и практически во всех CEX, которые потеряли свои закрытые ключи.

Этот старый подход содержит много паршивых методов обеспечения безопасности, которые увеличивают вероятность взлома.

Эти проблемы включают в себя:

  1. Единая точка отказа;
  2. Отсутствие слоев безопасности;
  3. Разовое тестирование.

Мы считаем, что для того, чтобы проекты получили массовое признание среди «основных» пользователей, они должны быть намного более стабильными в своей кибербезопасности. Сегодня большая часть крипторынка является первопроходцем, но ситуация меняется, и новый тип клиентов не пойдет на такой риск.

Диаграмма

Единственная точка отказа

При создании сложных проектов и протоколов вы хотите быть уверены, что даже если один компонент вашей системы будет скомпрометирован, вы не потеряете все свои средства. Этот подход легче сказать, чем сделать. 

Иногда легко узнать, где находятся точки отказа, но сложно найти способ снизить риск.

Представьте, что вы разработали токен-контракт. Анализировать риски несложно с помощью таких простых вопросов, как: «Как вы можете не потерять все деньги ваших инвесторов, если контракт будет взломан?» «Как вы узнаете, если случится что-то плохое?» «Какой компонент вашей системы самый слабый?

Трудно найти не столь очевидную точку отказа.

Вот еще пример: у вас очень надежный контракт, но у вашего нового сотрудника украли телефон. Этот телефон подключен к учетной записи GitHub, которая может фиксировать и отправлять новый код. Как это предотвратить или заблокировать?

Без надлежащих инструментов мониторинга бэкдор может быть вставлен в ваш контракт без вашего ведома.

диаграмма Подсвечник

Отсутствие уровней безопасности

Единственный способ создать защищенный проект — использовать несколько уровней безопасности. Он был очень актуален до компьютерной эры и актуален в сегодняшних проектах Web3 и архитектурах протоколов больше, чем когда-либо.

Безопасность — это не бинарный результат; это слои. Нельзя запирать дверь и оставлять окно открытым. Разные проекты имеют разные потребности и разные уровни риска. Если ваш риск высок, вы должны уменьшить его с помощью дополнительных уровней безопасности.

Хотя теория звучит красиво, что она означает при реализации?

Проекты должны состоять из многих компонентов, и каждый компонент должен иметь возможность идти на компромиссы, не подвергая риску целостность всего проекта. Каждый компонент должен контролироваться, и при обнаружении аномального поведения следует информировать людей, отвечающих за проект, и на основе предопределенных политик транзакции должны быть заблокированы.

Однократное тестирование

При построении сложного проекта нужно учитывать, что проект — это постоянно растущее живое существо. Однако по своему характеру проверки должны проводиться раз в несколько месяцев. Тем не менее, в это время года проекты не могут рисковать быть менее безопасными. Проекты нуждаются в постоянном процессе обеспечения безопасности.

процесс

Пример из реальной жизни:

Прекрасным примером этой проблемы является эксплойт моста червоточины. Через восемь часов после того, как коммит с устаревшей функцией был развернут в блокчейне, было украдено 300 миллионов долларов. Этот случай можно было бы предотвратить с помощью надлежащих инструментов CI/CD, которые блокировали бы фиксацию в дополнение к другим текущим мерам безопасности, которые могут обнаруживать уязвимости на ходу, а не только в день аудита. Эта проблема настолько распространена, что даже проекты, которые только что провели аудит несколько дней назад, имеют тенденцию добавлять «последнюю функцию» после аудита, что может нанести вред.
Замка
наше решение

Решение

Кибер-подход 360°. Проекты и протоколы — это не просто контракты. Это сложные системы, требующие комплексных решений.

Будучи родной компанией по кибербезопасности Web3, Sayfer может понять архитектуру вашей платформы, структуру вашего бизнеса, а также бюджет и часы разработки, которые вы можете позволить себе выделить на проект. Мы предоставим вам индивидуальную полную дорожную карту кибербезопасности.

После того, как вы внедрите все наши выводы, которые будут напоминать постоянную поддержку, а не разовый выстрел, безопасность вашего проекта будет расти теми же темпами, что и ваш проект.

Таким образом, безопасность не будет слабым местом, которое повредит вашему росту в будущем. Мы выполним следующие действия, чтобы обеспечить комплексную защиту кибербезопасности вашего бизнеса:

Активная и пассивная оценка

Активная и пассивная оценка

Анализ исторических взломов

Анализ исторических взломов

Создайте дорожную карту безопасности

Создайте дорожную карту безопасности

Руководство по внедрению

Руководство по внедрению

Активная и пассивная оценка

Первый шаг: проведите пассивную и активную оценку

На первом этапе нашего процесса по обеспечению безопасности вашего проекта мы проведем полную оценку состояния кибербезопасности вашего бизнеса. Эта часть важна, потому что нам нужно знать вашу отправную точку, чтобы построить правильную дорожную карту безопасности, адаптированную для вас.

Во-первых, мы будем использовать пассивный подход. Мы поговорим с вами и поймем ваш проект. В этом первом подходе вы сообщите нам как можно больше подробностей о своих приложениях, архитектуре, сотрудниках, потенциально известных уязвимостях безопасности и рисках, которые вы представляете для своей системы.

Как только мы получим детали пассивного подхода, мы перейдем к активному подходу. Мы «проверим» ваши утверждения, попытавшись взломать вашу систему. Процесс будет выполняться либо путем аудита безопасности контрактов, либо стандартного теста на проникновение для проверки безопасности веб-приложений или мобильных приложений, либо теста на проникновение в стиле красной команды, чтобы найти новые бреши в вашей системе.

После выполнения обоих типов оценок у нас будет хорошее понимание текущего состояния кибербезопасности вашего бизнеса и его потенциальных рисков.

Телефон и контрольный список
Анализ исторических взломов

Второй шаг: проведите исторический анализ взломов

Хакеры ничем не отличаются от любого другого человека. Они видят, что делают их коллеги, и, если это работает, стараются делать то же самое.

Таким образом, чтобы предсказать, откуда произойдет следующая атака на вашу систему, нам нужно будет понять текущие стандартные методы в хакерском сообществе. 

Мы сделаем это, проанализировав любой проект с похожей структурой и функциями на ваш.

Практическим примером такого поведения является взлом централизованной биржи, который почти всегда связан с потерей закрытых ключей биржи. Это говорит нам о том, что мы должны внедрить надежные кастодиальные службы со строгими политиками.

Некоторые чашки Петри для социальной инженерии и продвинутых фишинговых атак включают проекты NFT, сообщества Discord и учетные записи Twitter. В других атаках искусство копируется и публикуется на другом рынке в зависимости от типа и популярности изображения NFT. Понимая это, мы будем использовать образовательный подход наряду с инструментами обнаружения вредоносных ссылок в сообществах Discord и инструментами обнаружения для поиска украденных произведений искусства и уведомления торговых площадок. 

Примеров тому еще много, и в каждом проекте есть свои нюансы. Вот почему мы должны понимать текущее поведение хакеров для каждого клиента.

Анализ исторических взломов
Создайте дорожную карту безопасности

Третий шаг: создайте дорожную карту кибербезопасности

После получения всей вышеуказанной информации о ваших проектах, такой как ценные активы и их потенциальный риск, рынок и потенциальные риски безопасности, которые представляет ваша система, мы готовы составить для вас дорожную карту безопасности.

Что включает в себя дорожная карта кибербезопасности

Проекту трудно перейти из небезопасного в полностью безопасное состояние. Вы не можете просто сделать это, добавив две задачи в свою платформу управления проектами и полностью забыв об этом.

Будет много заданий. Некоторые более срочные, чем другие, некоторые заблокированы задачами разработки, некоторые сложны, и вы даже не представляете, как их запустить. Не беспокойтесь, именно поэтому мы здесь. 

Создав дорожную карту на ближайшие месяцы, вы получите возможность внедрить кибербезопасность, не откладывая дорожную карту вашего основного проекта разработки.

Создайте дорожную карту безопасности

Шаги, включенные в дорожную карту кибербезопасности

Основываясь на нашей первоначальной оценке, каждая дорожная карта будет отличаться и создаваться с учетом конкретного проекта. Хотя дорожная карта будет разной, цель всегда одна и та же: отобразить все ценные активы и соответствующие им векторы атаки, а затем защитить их с разных сторон, на нескольких уровнях, во время выполнения и убедиться, что мы устраняем единую точку. сбоев на этапе разработки, отсутствия слоев безопасности и разовых проблем с тестированием.

У большинства проектов есть сходства и типичные шаги для достижения киберзащиты на 360°. Эти общие шаги включают

  1. Исправление известных уязвимостей — во время нашей оценки мы обнаружим значительные уязвимости безопасности; поэтому первым шагом будет устранение этих уязвимостей и обеспечение того, чтобы хакеры не могли их использовать;
  2. Картирование активов и их векторов атаки;
  3. Внедрите уровни безопасности для защиты от этих векторов атак. Эти уровни безопасности включают в себя:
    • продукты сторонних производителей;
    • Модули собственной разработки;
  4. Внедрить безопасный процесс разработки программного обеспечения;
  5. Модификация архитектуры безопасности;
  6. Разработайте безопасные бизнес-процессы;
  7. Информируйте сотрудников о потенциальных рисках.
Руководство по внедрению

Четвертый этап: руководство по внедрению

Как упоминалось выше, кибербезопасность — это не разовое шоу. Это живой процесс, как и любой другой процесс разработки криптопроекта.  

Мы предоставим столько рекомендаций, сколько необходимо для правильной реализации нашей дорожной карты. Мы будем сопровождать вас на каждом этапе пути. Это руководство по внедрению включает: 

  1. Мы помогаем вам внедрять сторонние инструменты и писать их политики.
  2. Консультируйтесь и делитесь нашими знаниями при разработке новых модулей, которые напрямую влияют на безопасность или косвенно влияют на безопасность вашего проекта.
  3. Внесение изменений в дорожную карту в соответствии с меняющимися бизнес-требованиями, а также помощь в поиске и устранении новых нарушений безопасности. 
  4. Помогая вам в случае инцидента, если что-то случилось, мы будем с вами, чтобы помочь вам понять, что произошло, что потеряно и что мы можем с этим сделать.
Руководство по внедрению
Выводы

Выводы

Безопасность Web3 сложна, и почти любой проект становится жертвой какой-либо кибератаки.

Используя наш уникальный подход к киберзащите на 360°, мы поднимем ваш проект на максимально возможный уровень стандартов кибербезопасности и позаботимся о том, чтобы злоумышленники не смогли вас взломать.  

Для этого мы сначала активно и пассивно найдем активы безопасности и бреши в вашей системе. Мы также анализируем исторические взломы для проектов, похожих на ваш, чтобы лучше знать, какие распространенные взломы есть на рынке.

Затем мы разработаем вместе с вами дорожную карту безопасности, которая добавит дополнительные уровни безопасности, предотвратит единую точку отказа в вашей системе и интегрирует схему постоянного тестирования безопасности, чтобы убедиться, что ваша система остается безопасной даже после того, как мы закончим.

После того, как дорожная карта безопасности будет завершена, мы будем рядом с вами, чтобы помочь вам правильно реализовать наши выводы, чтобы убедиться, что все находится на самом высоком уровне безопасности.


Щит
Контакты

Держите в курсе

Телефон
Район
Тель-Авив, Израиль
Вестники:
Пожалуйста, не стесняйтесь обращаться к нам, мы будем рады ответить!





    Этот сайт защищен reCAPTCHA и Google Персональные данные и Условия Предоставления Услуг подать заявление.
    перейти к содержанию