تتناول شارون إيدغوتشي، القائدة في قسم تسويق جوجل في كانتينا، التحول في تركيز المهاجمين من البرمجيات إلى الأشخاص، مما يبرز الحاجة إلى أطر أمان جديدة لحماية الشركات في الصناعة المتطورة بسرعة.
لم يعد القراصنة يستهدفون الشيفرة فقط، بل بدأوا يستهدفون الناس. في هذه المقابلة، تتحدث شارون إيدغوتشي، رئيسة قسم إدارة الدخول في كانتينا (Spearbit)، عن مسيرتها من الأمن السيبراني التقليدي إلى Web3، وتشرح كيف أن المهاجمين يغيرون تركيزهم، ولماذا يقوم فريقها ببناء أطر أمان جديدة لحماية الشركات في صناعة تتطور أسرع من أي وقت مضى.
هل يمكنك مشاركة رحلتك إلى الويب 3؟
اسمي شارون إيدغوتشي، وأنا أعمل في كانتينا في جانب استراتيجية المبيعات. أركز على إنشاء عروض منتجات مخصصة للعملاء من مستوى المؤسسات، والتقنيات الناشئة، والعملاء في القطاعات المالية المؤسسية والتقليدية. تتمحور عملي بالكامل حول الأمن. كانت مسيرتي المهنية حتى الآن في مجال الأمن السيبراني، بشكل أساسي في ويب2. قضيت العديد من السنوات في أدوار الأمن السيبراني التقليدية، أعمل في مجالات مشابهة لـ CrowdStrike وغيرها من عمليات الأمن اليومية.
مع مرور الوقت، رأيت السوق يتحول بسرعة نحو Web3 واعتبرته مستقبل التكنولوجيا. أردت استكشاف كيف تبدو الأمن السيبراني خارج خلفيتي التقليدية في Web2. قادني هذا القرار إلى Cantina، ومنذ ذلك الحين وأنا أعمل في أمان Web3.
ما هي المزايا الرئيسية لعملائك عند العمل حصريًا مع كانتينا؟
عندما أسسنا كانتينا منذ حوالي أربع سنوات، ركزنا على تحفيز أفضل المواهب الأمنية في العالم للعمل على مشاريع الأمان. لقد لاحظنا أن العديد من الباحثين الموهوبين في هذا المجال لم يعملوا في مجال الأمان، غالبًا لأنهم يفتقرون إلى الاستقلالية والقدرة على اختيار المشاريع ذات المعنى أو المساهمة بشكل عميق في البروتوكولات.
قمنا ببناء نموذج يمنح الباحثين هذه الاستقلالية، وقد نجح. اليوم، تشمل شبكتنا مواهب عبر جميع لغات البرمجة، والشبكات، والأنظمة البيئية، والخبرات المتخصصة. عندما يأتي إلينا العملاء بطلب أمني، نحن لا نبحث فقط عن شخص مؤهل؛ بل نبحث عن أفضل شخص في العالم لهذه المهمة، سواء كان ذلك تدقيق عقد ذكي، أو مكافأة على الأخطاء، أو أمان تشغيلي، أو استجابة للحوادث، أو اختبار Web2.
لقد عملت في أمان Web2 أيضًا. ما هي الاتجاهات أو السرديات الرئيسية التي تبرز كفريدة في Web3؟
الفرق الرئيسي هو الطبيعة الدائمة لـ Web3 وغياب الوسطاء. في Web2، غالبًا ما توجد أطراف ثالثة للمساعدة في التخفيف من المخاطر أو استعادة الخسائر. في Web3، إذا سُرقت الأموال، فعادة ما تكون قد ذهبت. بدون تدابير أمان مناسبة، مثل حماية التوقيع المتعدد أو إيقاف المعاملات، فإن الاسترداد يكاد يكون مستحيلًا.
عامل رئيسي آخر هو أن هيكل Web3 يخلق حوافز لتهديدات الأمان المادي. قد يستهدف المهاجمون الأفراد مباشرة، وهو شيء أقل شيوعًا بكثير في Web2. هذا يجعل ممارسات الأمان التشغيلي، بما في ذلك حماية الفرق، ضرورية في Web3.
ما هي المقاييس التي تستخدمها لقياس نجاح استراتيجيات الأمان الخاصة بك بمرور الوقت؟
المقياس الأكثر وضوحًا هو ما إذا كان عملاؤنا يعانون من استغلال بعد تلقي خدماتنا. بخلاف ذلك، نقيس كيف تؤثر تحسينات وضع الأمان على فرص التمويل، والشراكات، والنمو العام. ننظر بشكل شامل إلى كيف تسهم الأمان القوي في الأداء المالي للشركة، وثقة المستخدم، والنجاح على المدى الطويل.
كيف تعلم الفرق القيادية غير التقنية حول مخاطر الأمان على مستوى عال؟
أستخدم السرد القصصي والأمثلة من الواقع. على سبيل المثال، قد أوجه فريق القيادة خلال اختراق معروف: ما هي تدابير الأمن التي كانت لدى الشركة، وما الذي كان ينقصها، وما هي العواقب. الفرق القيادية أقل اهتمامًا بالتفاصيل التقنية وأكثر قلقًا بشأن التأثير المحتمل، سواء كانوا سيفقدون البيانات، أو أموال العملاء، أو يواجهون أضرارًا على السمعة. يساعد تأطير مخاطر الأمن من حيث النتائج الملموسة في مساعدتهم على رؤية لماذا الاستثمار في الأمن أمر حاسم.
ما هي بعض طرق الهجوم الناشئة في العقود الذكية التي لا تزال الفرق تستهين بها؟
منذ أن بدأت Web3، ذهبت معظم ميزانيات الأمان إلى العقود الذكية. تنفق الفرق ملايين على التدقيقات، والمسابقات، ومكافآت الأخطاء، والمراجعات من الأقران. يعرف المهاجمون ذلك ويحولون تركيزهم إلى مجالات أقل حماية مثل مكونات Web2 والثغرات التشغيلية. نشأت العديد من الهجمات الأخيرة من خارج العقود الذكية.
نحن نساعد الفرق على معالجة هذا الخلل من خلال خدمات مثل الأمن التشغيلي، استجابة الحوادث على مدار الساعة طوال أيام الأسبوع، وفرق SOC المدارة، مما يغطي جميع جوانب الهجوم التنظيمي.
هل يمكن أن تحل الذكاء الاصطناعي أو الأتمتة محل أجزاء من مراجعة الكانتينا، أم أن خبرة الإنسان لا يمكن تعويضها؟
إنها بالتأكيد نهج هجين. نحن نستخدم الذكاء الاصطناعي بشكل مكثف بالفعل لمهام مثل إزالة الرسائل المزعجة من منصات المنافسة وإضافة السياق للمراجعات من الأقران. الذكاء الاصطناعي ممتاز في تحديد الثغرات المعروفة والأنماط، مما يسرع عملية المراجعة الأولية.
ومع ذلك ، فإن المهاجمين مبدعون أيضًا ويستخدمون الذكاء الاصطناعي بشكل متزايد. حتى يصبح الذكاء الاصطناعي أكثر ذكاءً وابتكارًا من البشر ، سنحتاج دائمًا إلى الخبرة البشرية لمواجهة التهديدات الجديدة. المستقبل هو مزيج من مساعدة الذكاء الاصطناعي والباحثين المهرة.
ما الذي ألهمك لإنشاء تقييمات متخصصة تتجاوز التدقيق التقليدي؟
قمنا بتطوير إطار عمل Web3 SOC استجابة لاحتياجات العملاء. بدأ مديرو الأصول والشركات الاستثمارية في طلب منا إجراء العناية الواجبة على شركات Web3، مع تقييم كل من المخاطر الأمنية والمالية.
لقد أدركنا أنه لا توجد طريقة موحدة لت quantifying مخاطر Web3 المحددة. لا تغطي الأطر التقليدية للامتثال مثل SOC 2 أو ISO التهديدات الأصلية لـ Web3. لذا أنشأنا معيارًا جديدًا لمساعدة شركات Web3 في تأمين التمويل وبناء الشراكات، بينما نساعد أيضًا المؤسسات المالية التقليدية على فهم كيفية التفاعل مع Web3 بأمان.
هذا الإطار هو الآن تعاون مع بعض أكبر الأسماء في صناعتنا. إنه يكتسب زخمًا مع التمويل التقليدي ومديري الأصول في جميع أنحاء العالم.
ما هي الأساليب الأمنية المبتكرة التي تجربها الآن؟ الذكاء الاصطناعي هو محور تركيز كبير. نحن نستخدم سنوات من بيانات الأخطاء لبناء أدوات الذكاء الاصطناعي التي تحسن تحليل الشفرات وتجعل مراجعات الأمان أسرع وأكثر فعالية من حيث التكلفة. نحن نقوم أيضًا بتحسين عملية تصنيف مكافآت الأخطاء لضمان كفاءتها وقابليتها للتنفيذ.
تأتي العديد من خدماتنا مباشرة من احتياجات العملاء، مثل مكافآت الأخطاء وإطار عمل Web3 SOC لدينا. اليوم، نرى تحليل الشيفرة المدعوم بالذكاء الاصطناعي كخطوة تالية في جعل عمليات الأمان أكثر سلاسة وفعالية.
هل يمكنك مشاركة خارطة طريق كانتينا؟ هل هناك ميزات قادمة؟
برنامجنا الجديد هو الأمن التشغيلي مع استجابة للحوادث على مدار الساعة طوال أيام الأسبوع. لقد اعتمدت المالية التقليدية لفترة طويلة على فرق مركز العمليات الأمنية وأدوات المراقبة، لكن Web3 كانت متأخرة.
قمنا بإنشاء برنامج مع خبراء سابقين في استخبارات التهديدات من Coinbase لتقييم أسطح الهجوم بشكل شامل، عبر Web2 وWeb3، والأصول المادية والرقمية. بمجرد أن يكون ذلك في مكانه، نقدم خدمة SOC مُدارة مع محللين مدربين يراقبون أدوات مثل Hypernative وBlockaid وGuardrails وHexaGate على مدار الساعة، جاهزين للتحرك ضد التهديدات في الوقت الحقيقي.
لقد حقق هذا البرنامج بالفعل زخمًا كبيرًا، وفي المرحلة التالية، نركز على إطلاق أدوات تحليل الشيفرة المدعومة بالذكاء الاصطناعي لمساعدة الفرق على البناء بشكل آمن من البداية.
أخيرًا، ما النصيحة التي تقدمها لشركة ناشئة في Web3 حول دمج الأمان في خريطتها من اليوم الأول؟
ابدأ بالتفكير في الأمن مبكرًا. الفرق التي تنتظر حتى مرحلة التدقيق غالبًا ما تواجه تأخيرات، تدقيقات إضافية، وأحيانًا تحتاج إلى إعادة تصميم منتجها بالكامل. الاستثمار في الأمن من البداية يوفر الوقت والمال.
نوصي بأدوات مثل تحليل الشيفرة المدعوم بالذكاء الاصطناعي، ومراجعات الأقران من أطراف ثالثة، واستخدام موارد مثل قائمة التحقق من جاهزية المراجعة الأمنية. يساعد دعوة وجهات نظر خارجية بانتظام في تحديد الثغرات مبكرًا.
بالإضافة إلى الشيفرة، يجب على الشركات الناشئة تقييم السطح الكامل للهجوم، سواء Web2 أو Web3. لدينا خدمات للشركات في كل مرحلة لمساعدتها على معالجة المخاطر بشكل استباقي. إن بناء ثقافة تركز على الأمان في وقت مبكر يهيئك لتحقيق النجاح على المدى الطويل.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تأمين نظام الأصول الرقمية مع كانتينا
باختصار
تتناول شارون إيدغوتشي، القائدة في قسم تسويق جوجل في كانتينا، التحول في تركيز المهاجمين من البرمجيات إلى الأشخاص، مما يبرز الحاجة إلى أطر أمان جديدة لحماية الشركات في الصناعة المتطورة بسرعة.
لم يعد القراصنة يستهدفون الشيفرة فقط، بل بدأوا يستهدفون الناس. في هذه المقابلة، تتحدث شارون إيدغوتشي، رئيسة قسم إدارة الدخول في كانتينا (Spearbit)، عن مسيرتها من الأمن السيبراني التقليدي إلى Web3، وتشرح كيف أن المهاجمين يغيرون تركيزهم، ولماذا يقوم فريقها ببناء أطر أمان جديدة لحماية الشركات في صناعة تتطور أسرع من أي وقت مضى.
هل يمكنك مشاركة رحلتك إلى الويب 3؟
اسمي شارون إيدغوتشي، وأنا أعمل في كانتينا في جانب استراتيجية المبيعات. أركز على إنشاء عروض منتجات مخصصة للعملاء من مستوى المؤسسات، والتقنيات الناشئة، والعملاء في القطاعات المالية المؤسسية والتقليدية. تتمحور عملي بالكامل حول الأمن. كانت مسيرتي المهنية حتى الآن في مجال الأمن السيبراني، بشكل أساسي في ويب2. قضيت العديد من السنوات في أدوار الأمن السيبراني التقليدية، أعمل في مجالات مشابهة لـ CrowdStrike وغيرها من عمليات الأمن اليومية.
مع مرور الوقت، رأيت السوق يتحول بسرعة نحو Web3 واعتبرته مستقبل التكنولوجيا. أردت استكشاف كيف تبدو الأمن السيبراني خارج خلفيتي التقليدية في Web2. قادني هذا القرار إلى Cantina، ومنذ ذلك الحين وأنا أعمل في أمان Web3.
ما هي المزايا الرئيسية لعملائك عند العمل حصريًا مع كانتينا؟
عندما أسسنا كانتينا منذ حوالي أربع سنوات، ركزنا على تحفيز أفضل المواهب الأمنية في العالم للعمل على مشاريع الأمان. لقد لاحظنا أن العديد من الباحثين الموهوبين في هذا المجال لم يعملوا في مجال الأمان، غالبًا لأنهم يفتقرون إلى الاستقلالية والقدرة على اختيار المشاريع ذات المعنى أو المساهمة بشكل عميق في البروتوكولات.
قمنا ببناء نموذج يمنح الباحثين هذه الاستقلالية، وقد نجح. اليوم، تشمل شبكتنا مواهب عبر جميع لغات البرمجة، والشبكات، والأنظمة البيئية، والخبرات المتخصصة. عندما يأتي إلينا العملاء بطلب أمني، نحن لا نبحث فقط عن شخص مؤهل؛ بل نبحث عن أفضل شخص في العالم لهذه المهمة، سواء كان ذلك تدقيق عقد ذكي، أو مكافأة على الأخطاء، أو أمان تشغيلي، أو استجابة للحوادث، أو اختبار Web2.
لقد عملت في أمان Web2 أيضًا. ما هي الاتجاهات أو السرديات الرئيسية التي تبرز كفريدة في Web3؟
الفرق الرئيسي هو الطبيعة الدائمة لـ Web3 وغياب الوسطاء. في Web2، غالبًا ما توجد أطراف ثالثة للمساعدة في التخفيف من المخاطر أو استعادة الخسائر. في Web3، إذا سُرقت الأموال، فعادة ما تكون قد ذهبت. بدون تدابير أمان مناسبة، مثل حماية التوقيع المتعدد أو إيقاف المعاملات، فإن الاسترداد يكاد يكون مستحيلًا.
عامل رئيسي آخر هو أن هيكل Web3 يخلق حوافز لتهديدات الأمان المادي. قد يستهدف المهاجمون الأفراد مباشرة، وهو شيء أقل شيوعًا بكثير في Web2. هذا يجعل ممارسات الأمان التشغيلي، بما في ذلك حماية الفرق، ضرورية في Web3.
ما هي المقاييس التي تستخدمها لقياس نجاح استراتيجيات الأمان الخاصة بك بمرور الوقت؟
المقياس الأكثر وضوحًا هو ما إذا كان عملاؤنا يعانون من استغلال بعد تلقي خدماتنا. بخلاف ذلك، نقيس كيف تؤثر تحسينات وضع الأمان على فرص التمويل، والشراكات، والنمو العام. ننظر بشكل شامل إلى كيف تسهم الأمان القوي في الأداء المالي للشركة، وثقة المستخدم، والنجاح على المدى الطويل.
كيف تعلم الفرق القيادية غير التقنية حول مخاطر الأمان على مستوى عال؟
أستخدم السرد القصصي والأمثلة من الواقع. على سبيل المثال، قد أوجه فريق القيادة خلال اختراق معروف: ما هي تدابير الأمن التي كانت لدى الشركة، وما الذي كان ينقصها، وما هي العواقب. الفرق القيادية أقل اهتمامًا بالتفاصيل التقنية وأكثر قلقًا بشأن التأثير المحتمل، سواء كانوا سيفقدون البيانات، أو أموال العملاء، أو يواجهون أضرارًا على السمعة. يساعد تأطير مخاطر الأمن من حيث النتائج الملموسة في مساعدتهم على رؤية لماذا الاستثمار في الأمن أمر حاسم.
ما هي بعض طرق الهجوم الناشئة في العقود الذكية التي لا تزال الفرق تستهين بها؟
منذ أن بدأت Web3، ذهبت معظم ميزانيات الأمان إلى العقود الذكية. تنفق الفرق ملايين على التدقيقات، والمسابقات، ومكافآت الأخطاء، والمراجعات من الأقران. يعرف المهاجمون ذلك ويحولون تركيزهم إلى مجالات أقل حماية مثل مكونات Web2 والثغرات التشغيلية. نشأت العديد من الهجمات الأخيرة من خارج العقود الذكية.
نحن نساعد الفرق على معالجة هذا الخلل من خلال خدمات مثل الأمن التشغيلي، استجابة الحوادث على مدار الساعة طوال أيام الأسبوع، وفرق SOC المدارة، مما يغطي جميع جوانب الهجوم التنظيمي.
هل يمكن أن تحل الذكاء الاصطناعي أو الأتمتة محل أجزاء من مراجعة الكانتينا، أم أن خبرة الإنسان لا يمكن تعويضها؟
إنها بالتأكيد نهج هجين. نحن نستخدم الذكاء الاصطناعي بشكل مكثف بالفعل لمهام مثل إزالة الرسائل المزعجة من منصات المنافسة وإضافة السياق للمراجعات من الأقران. الذكاء الاصطناعي ممتاز في تحديد الثغرات المعروفة والأنماط، مما يسرع عملية المراجعة الأولية.
ومع ذلك ، فإن المهاجمين مبدعون أيضًا ويستخدمون الذكاء الاصطناعي بشكل متزايد. حتى يصبح الذكاء الاصطناعي أكثر ذكاءً وابتكارًا من البشر ، سنحتاج دائمًا إلى الخبرة البشرية لمواجهة التهديدات الجديدة. المستقبل هو مزيج من مساعدة الذكاء الاصطناعي والباحثين المهرة.
ما الذي ألهمك لإنشاء تقييمات متخصصة تتجاوز التدقيق التقليدي؟
قمنا بتطوير إطار عمل Web3 SOC استجابة لاحتياجات العملاء. بدأ مديرو الأصول والشركات الاستثمارية في طلب منا إجراء العناية الواجبة على شركات Web3، مع تقييم كل من المخاطر الأمنية والمالية.
لقد أدركنا أنه لا توجد طريقة موحدة لت quantifying مخاطر Web3 المحددة. لا تغطي الأطر التقليدية للامتثال مثل SOC 2 أو ISO التهديدات الأصلية لـ Web3. لذا أنشأنا معيارًا جديدًا لمساعدة شركات Web3 في تأمين التمويل وبناء الشراكات، بينما نساعد أيضًا المؤسسات المالية التقليدية على فهم كيفية التفاعل مع Web3 بأمان.
هذا الإطار هو الآن تعاون مع بعض أكبر الأسماء في صناعتنا. إنه يكتسب زخمًا مع التمويل التقليدي ومديري الأصول في جميع أنحاء العالم.
ما هي الأساليب الأمنية المبتكرة التي تجربها الآن؟ الذكاء الاصطناعي هو محور تركيز كبير. نحن نستخدم سنوات من بيانات الأخطاء لبناء أدوات الذكاء الاصطناعي التي تحسن تحليل الشفرات وتجعل مراجعات الأمان أسرع وأكثر فعالية من حيث التكلفة. نحن نقوم أيضًا بتحسين عملية تصنيف مكافآت الأخطاء لضمان كفاءتها وقابليتها للتنفيذ.
تأتي العديد من خدماتنا مباشرة من احتياجات العملاء، مثل مكافآت الأخطاء وإطار عمل Web3 SOC لدينا. اليوم، نرى تحليل الشيفرة المدعوم بالذكاء الاصطناعي كخطوة تالية في جعل عمليات الأمان أكثر سلاسة وفعالية.
هل يمكنك مشاركة خارطة طريق كانتينا؟ هل هناك ميزات قادمة؟
برنامجنا الجديد هو الأمن التشغيلي مع استجابة للحوادث على مدار الساعة طوال أيام الأسبوع. لقد اعتمدت المالية التقليدية لفترة طويلة على فرق مركز العمليات الأمنية وأدوات المراقبة، لكن Web3 كانت متأخرة.
قمنا بإنشاء برنامج مع خبراء سابقين في استخبارات التهديدات من Coinbase لتقييم أسطح الهجوم بشكل شامل، عبر Web2 وWeb3، والأصول المادية والرقمية. بمجرد أن يكون ذلك في مكانه، نقدم خدمة SOC مُدارة مع محللين مدربين يراقبون أدوات مثل Hypernative وBlockaid وGuardrails وHexaGate على مدار الساعة، جاهزين للتحرك ضد التهديدات في الوقت الحقيقي.
لقد حقق هذا البرنامج بالفعل زخمًا كبيرًا، وفي المرحلة التالية، نركز على إطلاق أدوات تحليل الشيفرة المدعومة بالذكاء الاصطناعي لمساعدة الفرق على البناء بشكل آمن من البداية.
أخيرًا، ما النصيحة التي تقدمها لشركة ناشئة في Web3 حول دمج الأمان في خريطتها من اليوم الأول؟
ابدأ بالتفكير في الأمن مبكرًا. الفرق التي تنتظر حتى مرحلة التدقيق غالبًا ما تواجه تأخيرات، تدقيقات إضافية، وأحيانًا تحتاج إلى إعادة تصميم منتجها بالكامل. الاستثمار في الأمن من البداية يوفر الوقت والمال.
نوصي بأدوات مثل تحليل الشيفرة المدعوم بالذكاء الاصطناعي، ومراجعات الأقران من أطراف ثالثة، واستخدام موارد مثل قائمة التحقق من جاهزية المراجعة الأمنية. يساعد دعوة وجهات نظر خارجية بانتظام في تحديد الثغرات مبكرًا.
بالإضافة إلى الشيفرة، يجب على الشركات الناشئة تقييم السطح الكامل للهجوم، سواء Web2 أو Web3. لدينا خدمات للشركات في كل مرحلة لمساعدتها على معالجة المخاطر بشكل استباقي. إن بناء ثقافة تركز على الأمان في وقت مبكر يهيئك لتحقيق النجاح على المدى الطويل.