Cantina'daki GTM lideri Sharon Ideguchi, saldırganların odağındaki değişimi koddan insanlara kaydığını tartışıyor ve hızla gelişen sektörde şirketleri korumak için yeni güvenlik çerçevelerine ihtiyaç olduğunu vurguluyor.
Hackerlar artık sadece kodları hedef almıyor, insanlara da saldırıyorlar. Bu röportajda, Cantina (Spearbit)'daki GTM lideri Sharon Ideguchi, geleneksel siber güvenlikten Web3'e geçişini, saldırganların dikkatlerini nasıl değiştirdiğini ve ekibinin hızla evrilen bir sektörde şirketleri korumak için neden yeni güvenlik çerçeveleri geliştirdiğini açıklıyor.
Web3'e yolculuğunuzu paylaşır mısınız?
Benim adım Sharon Ideguchi, Cantina'da satış stratejisi alanında çalışıyorum. Kurumsal düzeyde müşteriler, yeni teknolojiler ve kurumsal ve geleneksel finans sektöründeki müşteriler için özel ürün teklifleri oluşturmak üzerine odaklanıyorum. Çalışmam tamamen güvenlik üzerine. Şu ana kadar kariyerim siber güvenlik alanında, esas olarak Web2'de geçti. CrowdStrike ve diğer günlük güvenlik operasyonlarına benzer alanlarda çalışarak birçok yıl geçirdim.
Zamanla, pazarın hızla Web3'e doğru kaydığını gördüm ve bunu teknolojinin geleceği olarak kabul ettim. Geleneksel Web2 arka planımın dışındaki siber güvenliğin nasıl göründüğünü keşfetmek istedim. Bu karar beni Cantina'ya götürdü ve o zamandan beri Web3 güvenliği alanında çalışıyorum.
Cantina ile yalnızca çalışmanın müşterilerinize sağladığı ana avantajlar nelerdir?
Cantina'yı yaklaşık dört yıl önce kurduğumuzda, dünyanın en iyi güvenlik yeteneklerini güvenlik projeleri üzerinde çalışmaya teşvik etmeye odaklandık. Bu alandaki birçok yetenekli araştırmacının güvenlik üzerinde çalışmadığını fark ettik, çoğu zaman bunun nedeni özerklik eksikliği ve anlamlı projeleri seçme veya protokollere derinlemesine katkıda bulunma yetenekleriydi.
Araştırmacılara bu özerkliği sağlamak için bir model geliştirdik ve bu çalıştı. Bugün, ağımız tüm kodlama dilleri, zincirler, ekosistemler ve niş uzmanlıklar arasında yetenekleri içermektedir. Müşteriler güvenlik talebiyle bize geldiğinde, sadece nitelikli birini bulmakla kalmıyoruz; o iş için dünyadaki en iyi kişiyi buluyoruz, ister akıllı sözleşme denetimi, hata ödülü, operasyonel güvenlik, olay yanıtı veya Web2 testi olsun.
Web2 güvenliğinde de çalıştınız. Web3'e özgü olarak öne çıkan temel eğilimler veya anlatılar nelerdir?
Bir önemli fark, Web3'ün kalıcı doğası ve aracıların olmamasıdır. Web2'de genellikle riskleri azaltmak veya kayıpları geri almak için üçüncü taraflar vardır. Web3'te, eğer fonlar çalındıysa, genellikle kaybolur. Çoklu imza korumaları veya işlem duraklatmaları gibi uygun güvenlik önlemleri olmadan, geri kazanım neredeyse imkansızdır.
Bir diğer önemli faktör, Web3'ün yapısının fiziksel güvenlik tehditleri için teşvikler yaratmasıdır. Saldırganlar doğrudan personeli hedef alabilir, bu da Web2'de çok daha az yaygındır. Bu, operasyonel güvenlik uygulamalarını, ekipleri korumayı Web3'te hayati hale getirir.
Güvenlik stratejilerinizin zaman içindeki başarısını ölçmek için hangi metrikleri kullanıyorsunuz?
En belirgin ölçüt, müşterilerimizin hizmetlerimizi aldıktan sonra bir saldırıya uğrayıp uğramadığıdır. Bunun ötesinde, geliştirilmiş güvenlik duruşunun finansman fırsatlarını, ortaklıkları ve genel büyümeyi nasıl etkilediğini ölçüyoruz. Güçlü güvenliğin bir şirketin finansal performansına, kullanıcı güvenine ve uzun vadeli başarısına nasıl katkıda bulunduğunu bütünsel bir şekilde değerlendiriyoruz.
Teknik olmayan liderlik ekiplerini üst düzey güvenlik riskleri hakkında nasıl eğitirsiniz?
Hikaye anlatımı ve gerçek dünya örnekleri kullanıyorum. Örneğin, bir liderlik ekibini tanınmış bir hack olayından geçirebilirim: şirketin ne tür güvenlik önlemleri aldığı, nelerin eksik olduğu ve sonrasının ne olduğu. Liderlik ekipleri teknik detaylarla daha az ilgilenir ve daha çok potansiyel etkiyle ilgilenir, verilerini, müşteri fonlarını kaybedip kaybetmeyecekleri veya itibar kaybıyla karşılaşıp karşılaşmayacakları konusunda endişelidirler. Güvenlik risklerini somut sonuçlar açısından çerçevelemek, güvenliğe yatırım yapmanın neden kritik olduğunu görmelerine yardımcı olur.
Ekiplerin hâlâ küçümsediği akıllı sözleşmelerdeki bazı yeni saldırı vektörleri nelerdir?
Web3'ün başlamasından bu yana, çoğu güvenlik bütçesi akıllı sözleşmelere harcandı. Takımlar denetimlere, yarışmalara, hata ödüllerine ve akran incelemelerine milyonlar harcıyor. Saldırganlar bunu biliyor ve Web2 bileşenleri ve operasyonel zayıflıklar gibi daha az korunan alanlara odaklanıyor. Son zamanlardaki birçok saldırı akıllı sözleşmelerin dışından kaynaklandı.
Bu dengesizliği, operasyonel güvenlik, 7/24 olay yanıtı ve yönetilen SOC ekipleri gibi hizmetlerle, tüm organizasyonel saldırı yüzeyini kapsayarak, ekiplerin ele almasına yardımcı oluyoruz.
Bir Cantina incelemesinin bazı kısımlarını AI veya otomasyon asla değiştirebilir mi, yoksa insan uzmanlığı yerine geçilemez mi?
Kesinlikle hibrit bir yaklaşım. Rekabet platformlarından spam temizleme ve akran incelemelerine bağlam ekleme gibi görevlerde AI'yı geniş bir şekilde kullanıyoruz. AI, bilinen zafiyetleri ve kalıpları tanımlamada mükemmel, bu da başlangıç inceleme sürecini hızlandırıyor.
Ancak, saldırganlar da yaratıcıdır ve giderek kendileri de yapay zekayı kullanmaktadır. Yapay zeka insanlardan daha zeki ve yaratıcı hale gelene kadar, her zaman yeni tehditlere karşı koymak için insan uzmanlığına ihtiyacımız olacak. Gelecek, yapay zeka desteği ve yetenekli araştırmacıların bir kombinasyonudur.
Sizi geleneksel denetimlerin ötesinde özel değerlendirmeler oluşturmaya ne teşvik etti?
Müşteri ihtiyaçlarına yanıt olarak Web3 SOC çerçevemizi geliştirdik. Varlık yöneticileri ve VC firmaları, güvenlik ve finansal riskleri değerlendirerek Web3 şirketleri üzerinde gerekli incelemeleri yapmamızı istemeye başladılar.
Web3'e özgü riskleri nicelendirmenin standart bir yolu olmadığını fark ettik. SOC 2 veya ISO gibi geleneksel uyum çerçeveleri, Web3'e özgü tehditleri kapsamıyor. Bu nedenle, Web3 şirketlerinin fon sağlamalarına ve ortaklıklar kurmalarına yardımcı olmak, aynı zamanda geleneksel finansal kurumların Web3 ile güvenli bir şekilde nasıl etkileşimde bulunacaklarını anlamalarına yardımcı olmak için yeni bir standart oluşturduk.
Bu çerçeve şimdi sektörümüzdeki en büyük isimlerden bazılarıyla bir işbirliği haline geldi. Geleneksel finans ve varlık yöneticileriyle dünya genelinde ilgi görmeye başlıyor.
Şu anda hangi yenilikçi güvenlik metodolojileri üzerinde denemeler yapıyorsunuz? AI büyük bir odak noktası. Yılların hata verilerini kullanarak kod analizini geliştiren ve güvenlik incelemelerini daha hızlı ve maliyet etkin hale getiren AI araçları oluşturuyoruz. Ayrıca, hata ödülleri değerlendirmesini geliştirerek bunun verimli ve uygulanabilir olmasını sağlıyoruz.
Birçok hizmetimiz, hata ödülleri ve Web3 SOC çerçevesi gibi müşteri ihtiyaçlarından doğmaktadır. Bugün, güvenlik süreçlerini daha akıcı ve etkili hale getirmenin bir sonraki adımı olarak AI destekli kod analizini görüyoruz.
Cantina'nın yol haritasını paylaşabilir misiniz? Yaklaşan özellikler var mı?
En yeni programımız, 7/24 olay müdahalesi ile operasyonel güvenliktir. Geleneksel finans uzun zamandır SOC ekiplerine ve izleme araçlarına güveniyor, ancak Web3 geride kalmıştır.
Eski Coinbase tehdit istihbarat uzmanlarıyla birlikte, Web2, Web3, fiziksel ve dijital varlıklar üzerinde saldırı yüzeylerini bütünsel bir şekilde değerlendirmek için bir program geliştirdik. Bu kurulduktan sonra, Hypernative, Blockaid, Guardrails ve HexaGate gibi araçları 7/24 izleyen eğitimli analistlerle birlikte yönetilen bir SOC hizmeti sunuyoruz ve tehditlere anlık olarak müdahale etmeye hazırız.
Bu program zaten önemli bir ivme kazandı ve sırada, ekiplerin en baştan güvenli bir şekilde inşa etmelerine yardımcı olacak AI destekli kod analizi araçlarını piyasaya sürmeye odaklandık.
Son olarak, bir Web3 girişimine güvenliği yol haritasına ilk günden itibaren nasıl entegre etmesi gerektiği konusunda ne tavsiye edersiniz?
Güvenlik hakkında erken düşünmeye başlayın. Denetim aşamasını bekleyen ekipler genellikle gecikmeler, ek denetimler ile karşılaşır ve bazen tüm ürünlerini yeniden yapılandırmaları gerekebilir. Başlangıçtan itibaren güvenliğe yapılan yatırım, zaman ve para tasarrufu sağlar.
AI destekli kod analizi, üçüncü taraf akran incelemeleri ve Güvenlik İnceleme Hazırlık Kontrol Listesi gibi kaynaklar kullanmayı öneriyoruz. Düzenli olarak dış bakış açılarını davet etmek, zayıf noktaları erken belirlemeye yardımcı olur.
Kod dışında, girişimlerin hem Web2 hem de Web3'teki tam saldırı yüzeylerini değerlendirmeleri gerekmektedir. Şirketlerin her aşamasında, riskleri proaktif bir şekilde ele almalarına yardımcı olmak için hizmetlerimiz bulunmaktadır. Güvenlik odaklı bir kültürü erken aşamada inşa etmek, uzun vadeli başarı için sizi hazırlamaktadır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Dijital Varlık Ekosistemini Cantina ile Güvence Altına Alma
Kısaca
Cantina'daki GTM lideri Sharon Ideguchi, saldırganların odağındaki değişimi koddan insanlara kaydığını tartışıyor ve hızla gelişen sektörde şirketleri korumak için yeni güvenlik çerçevelerine ihtiyaç olduğunu vurguluyor.
Hackerlar artık sadece kodları hedef almıyor, insanlara da saldırıyorlar. Bu röportajda, Cantina (Spearbit)'daki GTM lideri Sharon Ideguchi, geleneksel siber güvenlikten Web3'e geçişini, saldırganların dikkatlerini nasıl değiştirdiğini ve ekibinin hızla evrilen bir sektörde şirketleri korumak için neden yeni güvenlik çerçeveleri geliştirdiğini açıklıyor.
Web3'e yolculuğunuzu paylaşır mısınız?
Benim adım Sharon Ideguchi, Cantina'da satış stratejisi alanında çalışıyorum. Kurumsal düzeyde müşteriler, yeni teknolojiler ve kurumsal ve geleneksel finans sektöründeki müşteriler için özel ürün teklifleri oluşturmak üzerine odaklanıyorum. Çalışmam tamamen güvenlik üzerine. Şu ana kadar kariyerim siber güvenlik alanında, esas olarak Web2'de geçti. CrowdStrike ve diğer günlük güvenlik operasyonlarına benzer alanlarda çalışarak birçok yıl geçirdim.
Zamanla, pazarın hızla Web3'e doğru kaydığını gördüm ve bunu teknolojinin geleceği olarak kabul ettim. Geleneksel Web2 arka planımın dışındaki siber güvenliğin nasıl göründüğünü keşfetmek istedim. Bu karar beni Cantina'ya götürdü ve o zamandan beri Web3 güvenliği alanında çalışıyorum.
Cantina ile yalnızca çalışmanın müşterilerinize sağladığı ana avantajlar nelerdir?
Cantina'yı yaklaşık dört yıl önce kurduğumuzda, dünyanın en iyi güvenlik yeteneklerini güvenlik projeleri üzerinde çalışmaya teşvik etmeye odaklandık. Bu alandaki birçok yetenekli araştırmacının güvenlik üzerinde çalışmadığını fark ettik, çoğu zaman bunun nedeni özerklik eksikliği ve anlamlı projeleri seçme veya protokollere derinlemesine katkıda bulunma yetenekleriydi.
Araştırmacılara bu özerkliği sağlamak için bir model geliştirdik ve bu çalıştı. Bugün, ağımız tüm kodlama dilleri, zincirler, ekosistemler ve niş uzmanlıklar arasında yetenekleri içermektedir. Müşteriler güvenlik talebiyle bize geldiğinde, sadece nitelikli birini bulmakla kalmıyoruz; o iş için dünyadaki en iyi kişiyi buluyoruz, ister akıllı sözleşme denetimi, hata ödülü, operasyonel güvenlik, olay yanıtı veya Web2 testi olsun.
Web2 güvenliğinde de çalıştınız. Web3'e özgü olarak öne çıkan temel eğilimler veya anlatılar nelerdir?
Bir önemli fark, Web3'ün kalıcı doğası ve aracıların olmamasıdır. Web2'de genellikle riskleri azaltmak veya kayıpları geri almak için üçüncü taraflar vardır. Web3'te, eğer fonlar çalındıysa, genellikle kaybolur. Çoklu imza korumaları veya işlem duraklatmaları gibi uygun güvenlik önlemleri olmadan, geri kazanım neredeyse imkansızdır.
Bir diğer önemli faktör, Web3'ün yapısının fiziksel güvenlik tehditleri için teşvikler yaratmasıdır. Saldırganlar doğrudan personeli hedef alabilir, bu da Web2'de çok daha az yaygındır. Bu, operasyonel güvenlik uygulamalarını, ekipleri korumayı Web3'te hayati hale getirir.
Güvenlik stratejilerinizin zaman içindeki başarısını ölçmek için hangi metrikleri kullanıyorsunuz?
En belirgin ölçüt, müşterilerimizin hizmetlerimizi aldıktan sonra bir saldırıya uğrayıp uğramadığıdır. Bunun ötesinde, geliştirilmiş güvenlik duruşunun finansman fırsatlarını, ortaklıkları ve genel büyümeyi nasıl etkilediğini ölçüyoruz. Güçlü güvenliğin bir şirketin finansal performansına, kullanıcı güvenine ve uzun vadeli başarısına nasıl katkıda bulunduğunu bütünsel bir şekilde değerlendiriyoruz.
Teknik olmayan liderlik ekiplerini üst düzey güvenlik riskleri hakkında nasıl eğitirsiniz?
Hikaye anlatımı ve gerçek dünya örnekleri kullanıyorum. Örneğin, bir liderlik ekibini tanınmış bir hack olayından geçirebilirim: şirketin ne tür güvenlik önlemleri aldığı, nelerin eksik olduğu ve sonrasının ne olduğu. Liderlik ekipleri teknik detaylarla daha az ilgilenir ve daha çok potansiyel etkiyle ilgilenir, verilerini, müşteri fonlarını kaybedip kaybetmeyecekleri veya itibar kaybıyla karşılaşıp karşılaşmayacakları konusunda endişelidirler. Güvenlik risklerini somut sonuçlar açısından çerçevelemek, güvenliğe yatırım yapmanın neden kritik olduğunu görmelerine yardımcı olur.
Ekiplerin hâlâ küçümsediği akıllı sözleşmelerdeki bazı yeni saldırı vektörleri nelerdir?
Web3'ün başlamasından bu yana, çoğu güvenlik bütçesi akıllı sözleşmelere harcandı. Takımlar denetimlere, yarışmalara, hata ödüllerine ve akran incelemelerine milyonlar harcıyor. Saldırganlar bunu biliyor ve Web2 bileşenleri ve operasyonel zayıflıklar gibi daha az korunan alanlara odaklanıyor. Son zamanlardaki birçok saldırı akıllı sözleşmelerin dışından kaynaklandı.
Bu dengesizliği, operasyonel güvenlik, 7/24 olay yanıtı ve yönetilen SOC ekipleri gibi hizmetlerle, tüm organizasyonel saldırı yüzeyini kapsayarak, ekiplerin ele almasına yardımcı oluyoruz.
Bir Cantina incelemesinin bazı kısımlarını AI veya otomasyon asla değiştirebilir mi, yoksa insan uzmanlığı yerine geçilemez mi?
Kesinlikle hibrit bir yaklaşım. Rekabet platformlarından spam temizleme ve akran incelemelerine bağlam ekleme gibi görevlerde AI'yı geniş bir şekilde kullanıyoruz. AI, bilinen zafiyetleri ve kalıpları tanımlamada mükemmel, bu da başlangıç inceleme sürecini hızlandırıyor.
Ancak, saldırganlar da yaratıcıdır ve giderek kendileri de yapay zekayı kullanmaktadır. Yapay zeka insanlardan daha zeki ve yaratıcı hale gelene kadar, her zaman yeni tehditlere karşı koymak için insan uzmanlığına ihtiyacımız olacak. Gelecek, yapay zeka desteği ve yetenekli araştırmacıların bir kombinasyonudur.
Sizi geleneksel denetimlerin ötesinde özel değerlendirmeler oluşturmaya ne teşvik etti?
Müşteri ihtiyaçlarına yanıt olarak Web3 SOC çerçevemizi geliştirdik. Varlık yöneticileri ve VC firmaları, güvenlik ve finansal riskleri değerlendirerek Web3 şirketleri üzerinde gerekli incelemeleri yapmamızı istemeye başladılar.
Web3'e özgü riskleri nicelendirmenin standart bir yolu olmadığını fark ettik. SOC 2 veya ISO gibi geleneksel uyum çerçeveleri, Web3'e özgü tehditleri kapsamıyor. Bu nedenle, Web3 şirketlerinin fon sağlamalarına ve ortaklıklar kurmalarına yardımcı olmak, aynı zamanda geleneksel finansal kurumların Web3 ile güvenli bir şekilde nasıl etkileşimde bulunacaklarını anlamalarına yardımcı olmak için yeni bir standart oluşturduk.
Bu çerçeve şimdi sektörümüzdeki en büyük isimlerden bazılarıyla bir işbirliği haline geldi. Geleneksel finans ve varlık yöneticileriyle dünya genelinde ilgi görmeye başlıyor.
Şu anda hangi yenilikçi güvenlik metodolojileri üzerinde denemeler yapıyorsunuz? AI büyük bir odak noktası. Yılların hata verilerini kullanarak kod analizini geliştiren ve güvenlik incelemelerini daha hızlı ve maliyet etkin hale getiren AI araçları oluşturuyoruz. Ayrıca, hata ödülleri değerlendirmesini geliştirerek bunun verimli ve uygulanabilir olmasını sağlıyoruz.
Birçok hizmetimiz, hata ödülleri ve Web3 SOC çerçevesi gibi müşteri ihtiyaçlarından doğmaktadır. Bugün, güvenlik süreçlerini daha akıcı ve etkili hale getirmenin bir sonraki adımı olarak AI destekli kod analizini görüyoruz.
Cantina'nın yol haritasını paylaşabilir misiniz? Yaklaşan özellikler var mı?
En yeni programımız, 7/24 olay müdahalesi ile operasyonel güvenliktir. Geleneksel finans uzun zamandır SOC ekiplerine ve izleme araçlarına güveniyor, ancak Web3 geride kalmıştır.
Eski Coinbase tehdit istihbarat uzmanlarıyla birlikte, Web2, Web3, fiziksel ve dijital varlıklar üzerinde saldırı yüzeylerini bütünsel bir şekilde değerlendirmek için bir program geliştirdik. Bu kurulduktan sonra, Hypernative, Blockaid, Guardrails ve HexaGate gibi araçları 7/24 izleyen eğitimli analistlerle birlikte yönetilen bir SOC hizmeti sunuyoruz ve tehditlere anlık olarak müdahale etmeye hazırız.
Bu program zaten önemli bir ivme kazandı ve sırada, ekiplerin en baştan güvenli bir şekilde inşa etmelerine yardımcı olacak AI destekli kod analizi araçlarını piyasaya sürmeye odaklandık.
Son olarak, bir Web3 girişimine güvenliği yol haritasına ilk günden itibaren nasıl entegre etmesi gerektiği konusunda ne tavsiye edersiniz?
Güvenlik hakkında erken düşünmeye başlayın. Denetim aşamasını bekleyen ekipler genellikle gecikmeler, ek denetimler ile karşılaşır ve bazen tüm ürünlerini yeniden yapılandırmaları gerekebilir. Başlangıçtan itibaren güvenliğe yapılan yatırım, zaman ve para tasarrufu sağlar.
AI destekli kod analizi, üçüncü taraf akran incelemeleri ve Güvenlik İnceleme Hazırlık Kontrol Listesi gibi kaynaklar kullanmayı öneriyoruz. Düzenli olarak dış bakış açılarını davet etmek, zayıf noktaları erken belirlemeye yardımcı olur.
Kod dışında, girişimlerin hem Web2 hem de Web3'teki tam saldırı yüzeylerini değerlendirmeleri gerekmektedir. Şirketlerin her aşamasında, riskleri proaktif bir şekilde ele almalarına yardımcı olmak için hizmetlerimiz bulunmaktadır. Güvenlik odaklı bir kültürü erken aşamada inşa etmek, uzun vadeli başarı için sizi hazırlamaktadır.