Sharon Ideguchi, responsable GTM chez Cantina, discute du changement de focus des attaquants, passant du code aux personnes, en soulignant la nécessité de nouveaux cadres de sécurité pour protéger les entreprises dans une industrie en évolution rapide.
Les hackers ne ciblent plus seulement le code, ils s'en prennent aux personnes. Dans cette interview, Sharon Ideguchi, responsable GTM chez Cantina (Spearbit), évoque son parcours de la cybersécurité traditionnelle à Web3, analyse comment les attaquants changent de cible et explique pourquoi son équipe construit de nouveaux cadres de sécurité pour protéger les entreprises dans un secteur qui évolue plus vite que jamais.
Pourriez-vous partager votre parcours vers le Web3 ?
Je m'appelle Sharon Ideguchi, et je travaille chez Cantina dans le domaine de la stratégie de vente. Je me concentre sur la création d'offres de produits personnalisées pour les clients de niveau entreprise, les technologies émergentes et les clients des secteurs financiers institutionnels et traditionnels. Mon travail est entièrement axé sur la sécurité. Ma carrière jusqu'à présent a été dans la cybersécurité, principalement dans le Web2. J'ai passé de nombreuses années dans des rôles de cybersécurité traditionnels, travaillant dans des domaines similaires à CrowdStrike et d'autres opérations de sécurité quotidiennes.
Au fil du temps, j'ai vu le marché se diriger rapidement vers le Web3 et je l'ai reconnu comme l'avenir de la technologie. Je voulais explorer à quoi ressemblait la cybersécurité en dehors de mon parcours traditionnel en Web2. Cette décision m'a conduit à Cantina, et je travaille dans la sécurité Web3 depuis.
Quels sont les principaux avantages pour vos clients de travailler exclusivement avec Cantina ?
Lorsque nous avons fondé Cantina il y a environ quatre ans, nous nous sommes concentrés sur l'incitation des meilleurs talents en sécurité du monde à travailler sur des projets de sécurité. Nous avons remarqué que de nombreux chercheurs très qualifiés dans ce domaine ne travaillaient pas sur la sécurité, souvent parce qu'ils manquaient d'autonomie et de la possibilité de choisir des projets significatifs ou de contribuer en profondeur aux protocoles.
Nous avons construit un modèle pour donner aux chercheurs cette autonomie, et cela a fonctionné. Aujourd'hui, notre réseau comprend des talents dans tous les langages de programmation, chaînes, écosystèmes et expertises de niche. Lorsque des clients viennent à nous avec une demande de sécurité, nous ne nous contentons pas de trouver quelqu'un de qualifié ; nous trouvons la meilleure personne au monde pour ce travail, que ce soit un audit de contrat intelligent, une prime de bug, la sécurité opérationnelle, la réponse aux incidents ou les tests Web2.
Vous avez également travaillé dans la sécurité Web2. Quelles tendances ou narrations clés se distinguent comme uniques au Web3 ?
Une différence majeure est la nature permanente du Web3 et son absence d'intermédiaires. Dans le Web2, il y a souvent des tiers pour aider à atténuer les risques ou à récupérer les pertes. Dans le Web3, si des fonds sont volés, ils sont généralement perdus. Sans mesures de sécurité appropriées, telles que des protections multi-signatures ou des pauses de transaction, la récupération est presque impossible.
Un autre facteur clé est que la structure de Web3 crée des incitations pour des menaces de sécurité physique. Les attaquants peuvent cibler directement le personnel, ce qui est beaucoup moins courant dans Web2. Cela rend les pratiques de sécurité opérationnelle, y compris la protection des équipes, essentielles dans Web3.
Quels indicateurs utilisez-vous pour mesurer le succès de vos stratégies de sécurité au fil du temps ?
La métrique la plus évidente est de savoir si nos clients subissent une exploitation après avoir reçu nos services. Au-delà de cela, nous mesurons comment une posture de sécurité améliorée affecte les opportunités de financement, les partenariats et la croissance globale. Nous examinons de manière holistique comment une sécurité forte contribue à la performance financière d'une entreprise, à la confiance des utilisateurs et au succès à long terme.
Comment éduquez-vous les équipes de direction non techniques sur les risques de sécurité à un niveau élevé ?
J'utilise des récits et des exemples concrets. Par exemple, je pourrais guider une équipe de direction à travers un piratage bien connu : quelles mesures de sécurité l'entreprise avait mises en place, ce qui lui manquait et les conséquences. Les équipes de direction s'intéressent moins aux détails techniques et se préoccupent davantage de l'impact potentiel, qu'il s'agisse de perdre des données, des fonds clients ou de subir des dommages à leur réputation. Encadrer les risques de sécurité en termes de résultats tangibles les aide à comprendre pourquoi investir dans la sécurité est essentiel.
Quels sont les nouveaux vecteurs d'attaque dans les contrats intelligents que les équipes sous-estiment encore ?
Depuis le début de Web3, la plupart des budgets de sécurité ont été alloués aux contrats intelligents. Les équipes dépensent des millions en audits, compétitions, primes de bugs et revues entre pairs. Les attaquants le savent et déplacent leur attention vers des domaines moins protégés comme les composants Web2 et les vulnérabilités opérationnelles. De nombreuses attaques récentes ont eu leur origine en dehors des contrats intelligents.
Nous aidons les équipes à résoudre ce déséquilibre grâce à des services tels que la sécurité opérationnelle, la réponse aux incidents 24/7 et des équipes SOC gérées, couvrant l'ensemble de la surface d'attaque organisationnelle.
L'IA ou l'automatisation peuvent-elles remplacer une partie d'une critique de Cantina, ou l'expertise humaine est-elle irremplaçable ?
C'est définitivement une approche hybride. Nous utilisons déjà l'IA de manière extensive pour des tâches telles que la désactivation des spams sur les plateformes de compétition et l'ajout de contexte aux évaluations par les pairs. L'IA est excellente pour identifier les vulnérabilités et les motifs connus, ce qui accélère le processus de révision initial.
Cependant, les attaquants sont également créatifs et utilisent de plus en plus l'IA eux-mêmes. Tant que l'IA ne devient pas plus intelligente et inventive que les humains, nous aurons toujours besoin de l'expertise humaine pour contrer les menaces nouvelles. L'avenir est une combinaison d'assistance IA et de chercheurs qualifiés.
Qu'est-ce qui vous a inspiré à créer des évaluations spécialisées au-delà des audits traditionnels ?
Nous avons développé notre cadre SOC Web3 en réponse aux besoins des clients. Les gestionnaires d'actifs et les sociétés de capital-risque ont commencé à nous demander de réaliser une diligence raisonnable sur les entreprises Web3, en évaluant à la fois les risques de sécurité et les risques financiers.
Nous avons réalisé qu'il n'existait pas de méthode normalisée pour quantifier les risques spécifiques au Web3. Les cadres de conformité traditionnels comme SOC 2 ou ISO ne couvrent pas les menaces propres au Web3. Nous avons donc créé une nouvelle norme pour aider les entreprises Web3 à sécuriser des financements et à établir des partenariats, tout en aidant également les institutions financières traditionnelles à comprendre comment interagir avec le Web3 en toute sécurité.
Ce cadre est maintenant une collaboration avec certains des plus grands noms de notre industrie. Il gagne en traction auprès des financiers traditionnels et des gestionnaires d'actifs dans le monde entier.
Quelles méthodologies de sécurité innovantes expérimentez-vous en ce moment ? L'IA est un axe majeur. Nous utilisons des années de données sur les bugs pour créer des outils d'IA qui améliorent l'analyse de code et rendent les revues de sécurité plus rapides et plus rentables. Nous améliorons également le tri des primes de bugs pour garantir qu'il soit efficace et exploitable.
De nombreux services que nous proposons proviennent directement des besoins des clients, comme les récompenses pour les bugs et notre cadre Web3 SOC. Aujourd'hui, nous considérons l'analyse de code alimentée par l'IA comme la prochaine étape pour rendre les processus de sécurité plus fluides et efficaces.
Pourriez-vous partager la feuille de route de Cantina ? Y a-t-il des fonctionnalités à venir ?
Notre dernier programme est la sécurité opérationnelle avec une réponse aux incidents 24/7. La finance traditionnelle s'est longtemps appuyée sur des équipes SOC et des outils de surveillance, mais le Web3 a pris du retard.
Nous avons développé un programme avec d'anciens experts en renseignement sur les menaces de Coinbase pour évaluer les surfaces d'attaque de manière holistique, à travers Web2, Web3, les actifs physiques et numériques. Une fois cela en place, nous proposons un service SOC géré avec des analystes formés surveillant des outils tels que Hypernative, Blockaid, Guardrails et HexaGate 24h/24 et 7j/7, prêts à agir sur les menaces en temps réel.
Ce programme a déjà gagné une traction significative, et nous nous concentrons maintenant sur le lancement d'outils d'analyse de code alimentés par l'IA pour aider les équipes à construire en toute sécurité dès le départ.
Enfin, quel conseil donneriez-vous à une startup Web3 sur la manière d'intégrer la sécurité dans sa feuille de route dès le premier jour ?
Commencez à penser à la sécurité tôt. Les équipes qui attendent la phase d'audit font souvent face à des retards, à des audits supplémentaires et doivent parfois réarchitecturer l'ensemble de leur produit. Investir dans la sécurité dès le début fait gagner du temps et de l'argent.
Nous recommandons des outils tels que l'analyse de code alimentée par l'IA, les revues par des pairs de tiers et l'utilisation de ressources comme notre Liste de contrôle de préparation à l'examen de sécurité. Inviter régulièrement des perspectives externes aide à identifier les vulnérabilités tôt.
En dehors du code, les startups devraient également évaluer leur surface d'attaque complète, à la fois Web2 et Web3. Nous avons des services pour les entreprises à chaque étape pour les aider à aborder proactivement les risques. Établir une culture axée sur la sécurité dès le départ vous prépare à un succès à long terme.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Sécuriser l'écosystème des actifs numériques avec Cantina
En bref
Sharon Ideguchi, responsable GTM chez Cantina, discute du changement de focus des attaquants, passant du code aux personnes, en soulignant la nécessité de nouveaux cadres de sécurité pour protéger les entreprises dans une industrie en évolution rapide.
Les hackers ne ciblent plus seulement le code, ils s'en prennent aux personnes. Dans cette interview, Sharon Ideguchi, responsable GTM chez Cantina (Spearbit), évoque son parcours de la cybersécurité traditionnelle à Web3, analyse comment les attaquants changent de cible et explique pourquoi son équipe construit de nouveaux cadres de sécurité pour protéger les entreprises dans un secteur qui évolue plus vite que jamais.
Pourriez-vous partager votre parcours vers le Web3 ?
Je m'appelle Sharon Ideguchi, et je travaille chez Cantina dans le domaine de la stratégie de vente. Je me concentre sur la création d'offres de produits personnalisées pour les clients de niveau entreprise, les technologies émergentes et les clients des secteurs financiers institutionnels et traditionnels. Mon travail est entièrement axé sur la sécurité. Ma carrière jusqu'à présent a été dans la cybersécurité, principalement dans le Web2. J'ai passé de nombreuses années dans des rôles de cybersécurité traditionnels, travaillant dans des domaines similaires à CrowdStrike et d'autres opérations de sécurité quotidiennes.
Au fil du temps, j'ai vu le marché se diriger rapidement vers le Web3 et je l'ai reconnu comme l'avenir de la technologie. Je voulais explorer à quoi ressemblait la cybersécurité en dehors de mon parcours traditionnel en Web2. Cette décision m'a conduit à Cantina, et je travaille dans la sécurité Web3 depuis.
Quels sont les principaux avantages pour vos clients de travailler exclusivement avec Cantina ?
Lorsque nous avons fondé Cantina il y a environ quatre ans, nous nous sommes concentrés sur l'incitation des meilleurs talents en sécurité du monde à travailler sur des projets de sécurité. Nous avons remarqué que de nombreux chercheurs très qualifiés dans ce domaine ne travaillaient pas sur la sécurité, souvent parce qu'ils manquaient d'autonomie et de la possibilité de choisir des projets significatifs ou de contribuer en profondeur aux protocoles.
Nous avons construit un modèle pour donner aux chercheurs cette autonomie, et cela a fonctionné. Aujourd'hui, notre réseau comprend des talents dans tous les langages de programmation, chaînes, écosystèmes et expertises de niche. Lorsque des clients viennent à nous avec une demande de sécurité, nous ne nous contentons pas de trouver quelqu'un de qualifié ; nous trouvons la meilleure personne au monde pour ce travail, que ce soit un audit de contrat intelligent, une prime de bug, la sécurité opérationnelle, la réponse aux incidents ou les tests Web2.
Vous avez également travaillé dans la sécurité Web2. Quelles tendances ou narrations clés se distinguent comme uniques au Web3 ?
Une différence majeure est la nature permanente du Web3 et son absence d'intermédiaires. Dans le Web2, il y a souvent des tiers pour aider à atténuer les risques ou à récupérer les pertes. Dans le Web3, si des fonds sont volés, ils sont généralement perdus. Sans mesures de sécurité appropriées, telles que des protections multi-signatures ou des pauses de transaction, la récupération est presque impossible.
Un autre facteur clé est que la structure de Web3 crée des incitations pour des menaces de sécurité physique. Les attaquants peuvent cibler directement le personnel, ce qui est beaucoup moins courant dans Web2. Cela rend les pratiques de sécurité opérationnelle, y compris la protection des équipes, essentielles dans Web3.
Quels indicateurs utilisez-vous pour mesurer le succès de vos stratégies de sécurité au fil du temps ?
La métrique la plus évidente est de savoir si nos clients subissent une exploitation après avoir reçu nos services. Au-delà de cela, nous mesurons comment une posture de sécurité améliorée affecte les opportunités de financement, les partenariats et la croissance globale. Nous examinons de manière holistique comment une sécurité forte contribue à la performance financière d'une entreprise, à la confiance des utilisateurs et au succès à long terme.
Comment éduquez-vous les équipes de direction non techniques sur les risques de sécurité à un niveau élevé ?
J'utilise des récits et des exemples concrets. Par exemple, je pourrais guider une équipe de direction à travers un piratage bien connu : quelles mesures de sécurité l'entreprise avait mises en place, ce qui lui manquait et les conséquences. Les équipes de direction s'intéressent moins aux détails techniques et se préoccupent davantage de l'impact potentiel, qu'il s'agisse de perdre des données, des fonds clients ou de subir des dommages à leur réputation. Encadrer les risques de sécurité en termes de résultats tangibles les aide à comprendre pourquoi investir dans la sécurité est essentiel.
Quels sont les nouveaux vecteurs d'attaque dans les contrats intelligents que les équipes sous-estiment encore ?
Depuis le début de Web3, la plupart des budgets de sécurité ont été alloués aux contrats intelligents. Les équipes dépensent des millions en audits, compétitions, primes de bugs et revues entre pairs. Les attaquants le savent et déplacent leur attention vers des domaines moins protégés comme les composants Web2 et les vulnérabilités opérationnelles. De nombreuses attaques récentes ont eu leur origine en dehors des contrats intelligents.
Nous aidons les équipes à résoudre ce déséquilibre grâce à des services tels que la sécurité opérationnelle, la réponse aux incidents 24/7 et des équipes SOC gérées, couvrant l'ensemble de la surface d'attaque organisationnelle.
L'IA ou l'automatisation peuvent-elles remplacer une partie d'une critique de Cantina, ou l'expertise humaine est-elle irremplaçable ?
C'est définitivement une approche hybride. Nous utilisons déjà l'IA de manière extensive pour des tâches telles que la désactivation des spams sur les plateformes de compétition et l'ajout de contexte aux évaluations par les pairs. L'IA est excellente pour identifier les vulnérabilités et les motifs connus, ce qui accélère le processus de révision initial.
Cependant, les attaquants sont également créatifs et utilisent de plus en plus l'IA eux-mêmes. Tant que l'IA ne devient pas plus intelligente et inventive que les humains, nous aurons toujours besoin de l'expertise humaine pour contrer les menaces nouvelles. L'avenir est une combinaison d'assistance IA et de chercheurs qualifiés.
Qu'est-ce qui vous a inspiré à créer des évaluations spécialisées au-delà des audits traditionnels ?
Nous avons développé notre cadre SOC Web3 en réponse aux besoins des clients. Les gestionnaires d'actifs et les sociétés de capital-risque ont commencé à nous demander de réaliser une diligence raisonnable sur les entreprises Web3, en évaluant à la fois les risques de sécurité et les risques financiers.
Nous avons réalisé qu'il n'existait pas de méthode normalisée pour quantifier les risques spécifiques au Web3. Les cadres de conformité traditionnels comme SOC 2 ou ISO ne couvrent pas les menaces propres au Web3. Nous avons donc créé une nouvelle norme pour aider les entreprises Web3 à sécuriser des financements et à établir des partenariats, tout en aidant également les institutions financières traditionnelles à comprendre comment interagir avec le Web3 en toute sécurité.
Ce cadre est maintenant une collaboration avec certains des plus grands noms de notre industrie. Il gagne en traction auprès des financiers traditionnels et des gestionnaires d'actifs dans le monde entier.
Quelles méthodologies de sécurité innovantes expérimentez-vous en ce moment ? L'IA est un axe majeur. Nous utilisons des années de données sur les bugs pour créer des outils d'IA qui améliorent l'analyse de code et rendent les revues de sécurité plus rapides et plus rentables. Nous améliorons également le tri des primes de bugs pour garantir qu'il soit efficace et exploitable.
De nombreux services que nous proposons proviennent directement des besoins des clients, comme les récompenses pour les bugs et notre cadre Web3 SOC. Aujourd'hui, nous considérons l'analyse de code alimentée par l'IA comme la prochaine étape pour rendre les processus de sécurité plus fluides et efficaces.
Pourriez-vous partager la feuille de route de Cantina ? Y a-t-il des fonctionnalités à venir ?
Notre dernier programme est la sécurité opérationnelle avec une réponse aux incidents 24/7. La finance traditionnelle s'est longtemps appuyée sur des équipes SOC et des outils de surveillance, mais le Web3 a pris du retard.
Nous avons développé un programme avec d'anciens experts en renseignement sur les menaces de Coinbase pour évaluer les surfaces d'attaque de manière holistique, à travers Web2, Web3, les actifs physiques et numériques. Une fois cela en place, nous proposons un service SOC géré avec des analystes formés surveillant des outils tels que Hypernative, Blockaid, Guardrails et HexaGate 24h/24 et 7j/7, prêts à agir sur les menaces en temps réel.
Ce programme a déjà gagné une traction significative, et nous nous concentrons maintenant sur le lancement d'outils d'analyse de code alimentés par l'IA pour aider les équipes à construire en toute sécurité dès le départ.
Enfin, quel conseil donneriez-vous à une startup Web3 sur la manière d'intégrer la sécurité dans sa feuille de route dès le premier jour ?
Commencez à penser à la sécurité tôt. Les équipes qui attendent la phase d'audit font souvent face à des retards, à des audits supplémentaires et doivent parfois réarchitecturer l'ensemble de leur produit. Investir dans la sécurité dès le début fait gagner du temps et de l'argent.
Nous recommandons des outils tels que l'analyse de code alimentée par l'IA, les revues par des pairs de tiers et l'utilisation de ressources comme notre Liste de contrôle de préparation à l'examen de sécurité. Inviter régulièrement des perspectives externes aide à identifier les vulnérabilités tôt.
En dehors du code, les startups devraient également évaluer leur surface d'attaque complète, à la fois Web2 et Web3. Nous avons des services pour les entreprises à chaque étape pour les aider à aborder proactivement les risques. Établir une culture axée sur la sécurité dès le départ vous prépare à un succès à long terme.