近日,我們與Mysten Labs的副首席信息安全官Christian Thompson進行了面對面對話,了解他對安全實踐相互關聯性的見解,以及對Sui開發者安全實踐的觀察和評價。
以下為本次採訪內容:
Q1、對於科技公司來說,CISO的職責是什麼?
首席信息安全官(Chief Information Security Officers,CISO)的職責是非常廣泛的,對於保護我們的數字環境安全起著至關重要的作用。其中一個關鍵任務就是收集威脅情報,這涉及深入了解潛在攻擊者的思維:他們是誰,為什麼可能以我們為目標,何時可能發動攻擊,是什麼驅使他們行動,以及他們在攻擊方法上的熟練程度。
通過對潛在對手有一個清晰的認識並了解他們的能力,我們可以採取積極的行動來保護我們的系統。你可以將其類比為拼圖遊戲——如果我們知道拼圖玩家是誰以及他們如何運作,我們可以更有效地將這些片段組合在一起。例如,我們可以將他們已知的戰術與我們系統中可能最容易受到攻擊的領域相結合。就像是建立了一個防禦系統,一旦有人試圖突破我們的數字邊界,它就會立即發出警報。
就像在有人試圖闖入我們家時,警報系統會提醒我們一樣,這種防禦設置可以在有任何可疑活動時實時提醒我們。這意味著我們可以迅速應對潛在的威脅,並採取適當的措施來化解風險。
這些重點關注涵蓋了廣泛的領域,包括網絡安全、數據管理、各個領域的風險、架構、合規性、治理、彈性和報告。
CISO的部分角色還延伸到保護內部團隊成員。我們花費大量精力來了解團隊成員的風險程度。這些風險程度可能會發生重大變化,特別是當團隊成員前往有暴力傾向或其他不安全地區時。
Q2、在考慮Sui這樣的L1區塊鏈時,安全問題會有何不同呢?
為了創建一個像Sui區塊鏈這樣的內聚性防禦策略,必須將多種功能和服務結合起來。這個策略必須集中在被認為是薄弱的領域,但還不止於此——Sui社區有責任保護整個生態系統的利益,包括網絡和在Sui平台上構建應用的開發者。在安全方面取得卓越成就是一項昂貴且具有挑戰性的任務,尤其對於初創公司來說。
為了解決這個問題,Sui基金會正在開發一個產品,將安全措施擴展到更大的生態系統。實際上,Sui基金會將為較小的公司提供通常只對較大組織開放的安全工具和服務。這使得他們能夠在更安全的環境中進行構建,增強了終端用戶和監管機構的信心。我們的目標是確保人們在Sui上構建時,不僅高效而且安全。
Q3、在維護區塊鏈安全的過程中使用了哪些工具和服務?
以下圖表展示了目前我認為是熟練的安全團隊所使用的服務和工具類型。這些元素代表了構建強大的安全框架所必不可少的多樣化服務。需要認識到真正的效力不僅僅在於每項服務的單獨存在,更在於它們之間錯綜複雜的相互作用。這包括理解它們的相互關係、實施的順序以及它們所創造的協同效應。
對於這些被描述的服務(圖表上列出的各項),Sui網絡利用特定的工具或依賴於服務提供商來部署它們。 Sui基金會計劃將這些組件進行打包,提供給任何尋求採用它們的企業,以充分發揮它們的實用性。因此,圖示中的分隔區域象徵著待探索的良好結構化存儲庫,可供追求鞏固安全的實體使用。
Q4、這個圖表中有很多元素。它們是平等且緊密相連的嗎?還是有優先機制?
對的,有優先級,這個圖表背後的理念是經過深思熟慮的。就像從零開始找出需要立即關注的事一樣,你可以將其視為構建基礎安全區塊,或者可以將其視為基礎安全工具包。這個工具可能包含了我們稱之為“品牌防禦”的部分,這意味著對任何可能影響公司聲譽的傷害都要保持警惕。它涉及情報收集,以監控和減輕任何負面品牌效應。此外,“誠信”也是關鍵,這意味著工具包要具備檢測並處理可能損害品牌形象的能力。
現在,工具包並不是一刀切的。不同的組織可能需要量身定制不同的工具包,以適應其獨特的目的。比如一個與編碼密切相關的公司,他們可能會優先發展“漏洞檢測能力”。這涉及密切審查系統是否存在潛在的漏洞,並進行“模糊測試”等任務來對其代碼進行壓力測試。另一方面,考慮一個去中心化金融公司與一個遊戲公司。一個去中心化金融公司可能會傾向於側重於監管風險、治理和合規的工具包。相反,一個遊戲公司可能會更專注於運營、情報和特定層次的安全工程。
本質上,這個圖表概括了將安全策略適應不同類型公司的不同文化和優先關注的觀念。
公司通常會考慮,“這是我所有的風險,我該如何減輕它們?”是以這個想法開始考慮的嗎?還是會有其他視角?
是這樣的。
Q5、工具包似乎是保持整個區塊鏈生態系統安全的關鍵方式。鑑於公鏈的要點在於它是去中心化且無需許可的。從技術層面上來講,在任何人都可以訪問和參與它時,如何保持網絡安全?
是的,工具包的概念在維護整個生態系統的安全性方面起著關鍵作用。公鏈的美妙之處在於其去中心化和無需許可的特性,這使得許多人可以審查其各個方面。因此構建必要工具的能力,以及促進教育非常關鍵。
想像一下:生態系統內的人不僅需要了解發生了什麼,還需要了解可用的工具以及如何有效地利用它們。值得注意的是,影響生態系統的許多因素超出了區塊鏈本身。社交媒體的討論、恐懼、不確定性和懷疑(FUD)以及潛在的欺詐行為都可能對生態系統產生影響。這就需要強調全面意識的重要性。
第三個關鍵因素是社區內的信息交流。當個人可以溝通和合作時,他們會增強集體的知識基礎。因此,這是一個三管齊下的方法:教育促進了知識學習,信息促進了行業見解,而工具則促進了行動措施。這種結合為社區提供了不僅可以理解,還可以積極地影響各種行為的能力。
Q6、Sui生態系統之間目前是如何溝通的?
Sui生態系統的溝通方式多種多樣。最近的驗證節點峰會為個人提供了一個寶貴的平台,可以彼此建立聯繫並交換見解。還有Builder Houses活動也為大家提供了這樣的機會。此外,我了解到Sui基金會計劃在不久的將來發布一系列聚焦Sui安全方面的文章。
日常溝通渠道涵蓋Discord和Telegram等平台,促進了驗證節點、節點運營商和其他相關方之間的互動。這些論壇不僅增加了人們關於合作的意識,而且隨著時間的推移還在不斷擴展,創建了一個不斷發展的知識討論和分享平台。
Q7、Sui Move的設計本質上比其他區塊鏈編程語言更安全。這對Sui處理安全的方式有何影響?
Move相對於其他一些編程語言來說更安全,這一點毫無疑問。我想要補充的是,最初參與Sui開發的團隊中有很多人專注於安全的。因此,這不僅僅是語言的問題,還涉及到Sui的各個組件是如何構建的,這使得它更具韌性,更難以被利用。當然,這並不是說安全領域沒有同樣聰明的人。在足夠的激勵下,他們也會努力尋找漏洞。因此,專家需要了解何人、何時、何地、為何以及如何才可能發生這種情況。這才是我們的關注重點。
Q8、Web3中其他地方發生的漏洞事件,對Sui正在進行的工作有何影響?
遺憾的是,當Web3領域發生漏洞事件時,總是會引起廣泛的關注。然而,這些也是寶貴的學習經驗。它們促使安全從業人員深入研究漏洞的機制——how、what、when、who和why。這些見解為更廣泛的領域提供了額外的洞察力。
Sui基金會團隊已經投入了大量的安全資源來了解這些威脅者的身份和能力,重點是破解他們首選的攻擊對象和動機。
這些漏洞為我們帶來了兩個不同的啟示。首先,對於受到影響的人來說,他們的遭遇值得同情,因為這些事件影響到了真實的人。其次,這是增強Sui戰略的機會。這些教訓讓Sui能夠優化和加強其立場,以防範類似的風險。
Q9、您對未來Web3中的安全性有何看法?
我們正站在一個新時代的門檻,這個時代標誌著Web3的出現以及它帶來的非凡技術——人工智能、機器學習、增強現實、虛擬現實等等。讓我興奮的是其中所蘊含的難以置信的潛力。我們正處於體驗極富沉浸感的界面,並以前所未有的速度和方式獲取信息的邊緣。
這種轉變同樣延伸到了安全領域。想像一下擁有一個人工智能夥伴,它能識別出我們將要遭受的潛在威脅,甚至可能出現人工智能對抗人工智能的場景。毫無疑問,這是我們努力的方向,而我期待Sui將站在這些先進技術的前沿。