Проблема
Зломи Web3 зростають. Кожні кілька днів інший великий проект зазнає злому. У найкращому разі єдиним заходом безпеки, який виконують проекти Web3, є перевірка їхніх контрактів. Цей захід безпеки зрештою робить багато інших аспектів бізнесу вразливими для атак. Ми часто бачили це в таких хаках, як злом BadgerDao за 120 мільйонів доларів, злом Ronin Bridge за 650 мільйонів доларів і майже кожен CEX, який втратив свої закриті ключі.
Цей старий підхід містить багато поганих практик безпеки, які збільшують шанс бути зламаним.
Ці проблеми включають:
- Єдина точка відмови;
- Відсутність шарів безпеки;
- Одноразове тестування.
Ми вважаємо, що для того, щоб проекти отримали масове впровадження серед «звичайних» користувачів, вони мають бути набагато стабільнішими у своїй кібербезпеці. Сьогодні більшість криптовалютного ринку є першими, але це змінюється, і новий тип клієнтів не погодиться на такий ризик.
Єдиний пункт відмови
Створюючи складні проекти та протоколи, ви хочете переконатися, що навіть якщо один компонент вашої системи зламано, ви не втратите всі свої кошти. Цей підхід легше сказати, ніж зробити.
Іноді легко визначити точки невдачі, але важко знайти спосіб зменшити ризик.
Уявіть, що ви розробили символічний контракт. Аналіз ризиків простий за допомогою простих запитань на кшталт: «Як не втратити всі гроші своїх інвесторів, якщо контракт буде зламано?» «Як ти дізнаєшся, що трапиться щось погане?» «Який компонент вашої системи найслабший?
Важко знайти не дуже очевидну точку невдачі.
Ось інший приклад: у вас дуже надійний контракт, але телефон вашого нового співробітника вкрали. Цей телефон підключено до облікового запису GitHub, який може фіксувати та надсилати новий код. Як цьому запобігти чи заблокувати?
Без належних інструментів моніторингу бекдор може бути вставлений у ваш контракт без вашого відома про це.
Відсутність рівнів безпеки
Єдиний спосіб створити захищений проект — мати кілька рівнів безпеки. Це було дуже актуально до епохи комп’ютерів і актуально в сучасних проектах Web3 і архітектурах протоколів як ніколи.
Безпека – це не бінарний результат; це шари. Не можна замикати двері і залишати вікно відкритим. Різні проекти мають різні потреби та різні рівні ризику. Якщо ваш ризик високий, ви повинні зменшити його за допомогою додаткових рівнів безпеки.
Хоча теорія звучить добре, що вона означає після реалізації?
Проекти повинні складатися з багатьох компонентів, і кожен компонент повинен бути здатним до компромісів, не ризикуючи цілісністю всього проекту. Необхідно відстежувати кожен компонент, і якщо буде виявлено ненормальну поведінку, слід проінформувати людей, відповідальних за проект, і на основі попередньо визначених політик транзакції мають бути заблоковані.
Одноразове тестування
Будуючи складний проект, потрібно враховувати, що проект є постійно зростаючою живою істотою. Однак аудити мають відбуватися раз на кілька місяців. Однак у цю пору року проекти не можуть бути менш безпечними. Проекти потребують постійного процесу безпеки.
Рішення
Кіберпідхід на 360°. Проекти та протоколи – це не просто контракти. Це складні системи, які потребують складних рішень.
Будучи рідною компанією з кібербезпеки Web3, Sayfer може зрозуміти архітектуру вашої платформи, структуру вашого бізнесу, а також бюджет і години розробки, які ви можете собі дозволити виділити на проект. Ми надамо для вас індивідуальну повну дорожню карту кібербезпеки.
Після впровадження всіх наших висновків, що нагадуватиме постійну підтримку, а не одноразовий постріл, безпека вашого проекту зростатиме тими ж темпами, що й ваш проект.
Таким чином, безпека не буде слабким місцем, яке зашкодить вашому розвитку в майбутньому. Ми виконаємо такі кроки, щоб забезпечити 360° кібербезпеки вашого бізнесу:
Активне та пасивне оцінювання
Аналіз історичних хаків
Створіть дорожню карту безпеки
Керівництво по реалізації
Перший крок: проведіть пасивне й активне оцінювання
На першому етапі процесу забезпечення безпеки вашого проекту ми виконаємо повну оцінку стану кібербезпеки вашого бізнесу. Ця частина є важливою, оскільки нам потрібно знати вашу відправну точку, щоб створити правильну дорожню карту безпеки, спеціально розроблену для вас.
По-перше, ми будемо використовувати пасивний підхід. Ми поговоримо з вами та розберемося у вашому проекті. У цьому першому підході ви розкажете нам якомога більше деталей про ваші програми, архітектуру, співробітників, потенційні відомі вразливості безпеки та ризики, які ви створюєте для вашої системи.
Отримавши деталі пасивного підходу, ми перейдемо до активного підходу. Ми «перевіримо» ваші заяви, спробувавши зламати вашу систему. Процес виконуватиметься шляхом аудиту безпеки контрактів, стандартного тесту на проникнення для перевірки безпеки веб-сайту чи мобільного додатка або тесту на проникнення в стилі red-team для виявлення нових порушень у вашій системі.
Після виконання обох типів оцінок ми матимемо високе розуміння поточного стану кібербезпеки вашого бізнесу та потенційних ризиків.
Другий крок: проведіть історичний аналіз хаків
Хакери нічим не відрізняються від інших людей. Вони бачать, що роблять їхні колеги, і якщо це працює, то намагаються робити те саме.
Отже, щоб передбачити, звідки відбудеться наступна атака на вашу систему, нам потрібно буде зрозуміти поточні стандартні практики в хакерській спільноті.
Ми зробимо це, виконавши аналіз для будь-якого проекту зі структурою та функціями, подібними до ваших.
Практичним прикладом такої поведінки є злом централізованої біржі, який майже завжди передбачає втрату закритих ключів біржі. Це говорить нам про те, що ми повинні впроваджувати надійні кастодіальні послуги з суворою політикою.
Деякі чашки Петрі для соціальної інженерії та просунутих фішингових атак включають проекти NFT, спільноти Discord і облікові записи Twitter. В інших атаках зображення копіюється та публікується на іншому ринку залежно від типу та популярності мистецтва NFT. Розуміючи це, ми застосуємо освітній підхід разом із інструментами виявлення зловмисних посилань у спільнотах Discord та інструментами виявлення для пошуку вкрадених творів мистецтва та сповіщення ринків.
Прикладів цьому ще багато, і в кожному проекті є свої нюанси. Ось чому ми повинні розуміти поточну поведінку хакерів на кожного клієнта.
Третій крок: створіть дорожню карту кібербезпеки
Отримавши всю вищезазначену інформацію про ваші проекти, як-от цінні активи та їхній потенціал ризику, ринок і потенційні ризики безпеці, які створює ваша система, ми готові створити для вас дорожню карту безпеки.
Що передбачає дорожня карта кібербезпеки
Проекту важко перейти від незахищеного до повністю безпечного стану. Ви не можете зробити це, просто додавши два завдання до своєї платформи керування проектами й забувши про це.
Завдань буде багато. Деякі є більш терміновими, ніж інші, деякі заблоковані завданнями розробки, деякі є складними, і ви навіть не уявляєте, як їх почати. Не хвилюйтеся, ось чому ми тут.
Створивши дорожню карту на наступні місяці, ви матимете можливість запровадити кібербезпеку, не відкладаючи дорожню карту вашого головного проекту розвитку.
Кроки, включені в дорожню карту кібербезпеки
Виходячи з нашої початкової оціночної роботи, кожна дорожня карта буде різною та спеціально розробленою для конкретного проекту. Хоча дорожня карта буде іншою, мета завжди одна: відобразити всі цінні активи та відповідні їм вектори атак, а потім захистити їх під різними кутами, на кількох рівнях, під час виконання, і переконатися, що ми виключаємо єдину точку збій на етапі розробки, відсутність рівнів безпеки та проблеми одноразового тестування.
Більшість проектів мають схожість і типові кроки для досягнення 360° кіберзахисту. Ці загальні кроки включають
- Виправлення відомих вразливостей – під час нашої оцінки ми виявимо значні вразливості безпеки; отже, першим кроком буде усунути ці вразливості та переконатися, що хакери не зможуть ними скористатися;
- Відображення активів і векторів їх атак;
- Застосуйте рівні безпеки, щоб захистити ці вектори атак. Ці рівні безпеки включають:
- продукти третіх сторін;
- Модулі власної розробки;
- Впровадити безпечний процес розробки програмного забезпечення;
- Модифікація архітектури безпеки;
- Розробка безпечних бізнес-процесів;
- Повідомте співробітників про потенційні ризики.
Четвертий крок: інструкції щодо впровадження
Як зазначалося вище, кібербезпека – це не одноразове шоу. Це живий процес, як і будь-який інший процес розробки криптопроекту.
Ми надамо стільки вказівок, скільки буде потрібно для правильної реалізації нашої дорожньої карти. Ми будемо супроводжувати вас на кожному кроці. Це керівництво щодо впровадження містить:
- Ми допомагаємо вам запроваджувати сторонні інструменти та писати їхню політику.
- Проконсультуйтеся та надайте наші знання, коли ви розробляєте нові модулі, які безпосередньо чи опосередковано впливають на безпеку вашого проекту.
- Внесення змін до дорожньої карти, щоб узгодити її зі змінними вимогами бізнесу та допомогти знайти та усунути нові порушення безпеки.
- Допомагаючи вам у разі інциденту, якщо щось трапилося, ми будемо з вами, щоб допомогти вам зрозуміти, що сталося, що загубилося та що ми можемо з цим зробити.
Хочете почути більше?
Включено безкоштовну консультаційну зустріч.
Підсумки
Безпека Web3 є складною, і майже будь-який проект стає жертвою певного роду атак на кібербезпеку.
Використовуючи наш унікальний підхід до 360° кіберзахисту, ми виведемо ваш проект на найвищий можливий рівень стандартів кібербезпеки та гарантуємо, що погані хлопці не зламатимуть вас.
Для цього ми спочатку активно та пасивно знайдемо активи безпеки та порушення вашої системи. Ми також аналізуємо історичні хаки для проектів, схожих на ваш, щоб краще знати, які хаки поширені на ринку.
Потім ми разом з вами створимо дорожню карту безпеки, яка додасть додаткові рівні безпеки, запобіжить єдиній точці збою у вашій системі та інтегрує постійну схему тестування безпеки, щоб переконатися, що ваша система залишається захищеною навіть після того, як ми закінчимо.
Після того, як проект дорожньої карти безпеки буде завершено, ми залишимося з вами, щоб допомогти вам правильно застосувати наші висновки, щоб переконатися, що все на найвищому рівні безпеки.