Шарон Ідегучі, керівник GTM у Cantina, обговорює зміщення уваги зловмисників з коду на людей, підкреслюючи необхідність нових рамок безпеки для захисту компаній в швидко змінюваній індустрії.
Хакери вже не просто націлюються на код, вони йдуть за людьми. У цьому інтерв'ю Шарон Ідегучі, керівник GTM у Cantina (Spearbit), розмірковує про свій шлях від традиційної кібербезпеки до Web3, розкриває, як атакуючі змінюють свій фокус, і пояснює, чому її команда створює нові безпекові рамки для захисту компаній в індустрії, яка розвивається швидше, ніж будь-коли.
Чи могли б ви поділитися своєю подорожжю до Web3?
Мене звати Шарон Ідегучі, і я працюю в Cantina у сфері стратегії продажів. Я зосереджуюсь на створенні індивідуальних пропозицій продуктів для клієнтів рівня підприємств, нових технологій та клієнтів у інституційних і традиційних фінансових секторах. Моя робота повністю зосереджена на безпеці. Моя кар'єра до цього часу була у сфері кібербезпеки, переважно у Web2. Я провела багато років у традиційних ролях кібербезпеки, працюючи в сферах, схожих на CrowdStrike та інші щоденні операції з безпеки.
З часом я побачив, як ринок швидко переходить до Web3, і визнав це майбутнім технологій. Я хотів дослідити, як виглядає кібербезпека поза моїм традиційним досвідом у Web2. Це рішення привело мене до Cantina, і з тих пір я працюю у сфері безпеки Web3.
Які основні переваги для ваших клієнтів від роботи виключно з Cantina?
Коли ми заснували Cantina близько чотирьох років тому, ми зосередилися на заохоченні найкращих у світі фахівців з безпеки працювати над проектами безпеки. Ми помітили, що багато висококваліфікованих дослідників у цій галузі не працюють над питаннями безпеки, часто через те, що їм бракує автономії та можливості обирати значущі проекти або глибоко долучатися до протоколів.
Ми створили модель, яка надає дослідникам цю автономію, і вона спрацювала. Сьогодні наша мережа включає таланти з усіх мов програмування, ланцюгів, екосистем і нішевої експертизи. Коли клієнти звертаються до нас з запитом на безпеку, ми не просто знаходимо когось кваліфікованого; ми знаходимо найкращу людину у світі для цієї роботи, чи то аудит смарт-контрактів, програма винагороди за виявлення помилок, оперативна безпека, реагування на інциденти чи тестування Web2.
Ви також працювали в безпеці Web2. Які ключові тенденції або наративи виділяються як унікальні для Web3?
Однією з основних відмінностей є постійна природа Web3 та відсутність посередників. У Web2 часто є треті сторони, які допомагають зменшити ризики або відшкодувати втрати. У Web3, якщо кошти вкрадено, вони, як правило, зникли. Без належних заходів безпеки, таких як багатопідписні захисти або призупинення транзакцій, відновлення майже неможливе.
Ще одним ключовим фактором є те, що структура Web3 створює стимули для фізичних загроз безпеці. Зловмисники можуть безпосередньо націлюватися на персонал, що є набагато менш поширеним у Web2. Це робить практики операційної безпеки, включаючи захист команд, життєво важливими в Web3.
Які метрики ви використовуєте для вимірювання успіху ваших стратегій безпеки з часом?
Найочевиднішим показником є те, чи зазнають наші клієнти експлуатації після отримання наших послуг. Крім того, ми вимірюємо, як покращення безпеки впливає на можливості фінансування, партнерства та загальний ріст. Ми дивимося на це цілісно, як сильна безпека сприяє фінансовим показникам компанії, довірі користувачів та успіху в довгостроковій перспективі.
Як ви навчаєте нетехнічні команди керівництва про високі ризики безпеки?
Я використовую розповіді та реальні приклади. Наприклад, я можу провести команду керівництва через відомий хак: які заходи безпеки були в компанії, чого їй не вистачало і наслідки. Команди керівництва менше цікавлять технічні деталі, а більше турбує потенційний вплив, чи втратять вони дані, кошти клієнтів або зіштовхнуться з репутаційними збитками. Формулювання ризиків безпеки у термінах відчутних наслідків допомагає їм зрозуміти, чому інвестиції в безпеку є критично важливими.
Які нові вектори атак у смарт-контрактах команди все ще недооцінюють?
З початку Web3 більшість бюджетів на безпеку витрачено на смарт-контракти. Команди витрачають мільйони на аудити, змагання, програми винагород за помилки та перевірки колег. Зловмисники знають про це і переключають увагу на менш захищені області, такі як компоненти Web2 та експлуатаційні вразливості. Багато недавніх атак виникло за межами смарт-контрактів.
Ми допомагаємо командам вирішувати цю диспропорцію через такі послуги, як операційна безпека, цілодобова реакція на інциденти та керовані команди SOC, охоплюючи всю атакувальну поверхню організації.
Чи може ШІ або автоматизація колись замінити частини огляду Кантині, чи людська експертиза незамінна?
Це безумовно гібридний підхід. Ми вже широко використовуємо ШІ для завдань, таких як видалення спаму з платформ конкурентів та додавання контексту до рецензій колег. ШІ відмінно справляється з ідентифікацією відомих вразливостей і шаблонів, що прискорює початковий процес огляду.
Проте, зловмисники також креативні та все частіше використовують штучний інтелект. Поки штучний інтелект не стане більш розумним і винахідливим за людей, нам завжди знадобиться людська експертиза для протидії новим загрозам. Майбутнє - це поєднання допомоги штучного інтелекту та кваліфікованих дослідників.
Що вас надихнуло створити спеціалізовані оцінки, які виходять за межі традиційних аудитів?
Ми розробили нашу Web3 SOC структуру у відповідь на потреби клієнтів. Управлінці активами та венчурні компанії почали просити нас провести дью-диліженс Web3 компаній, оцінюючи як ризики безпеки, так і фінансові ризики.
Ми усвідомили, що немає стандартизованого способу оцінки ризиків, специфічних для Web3. Традиційні рамки відповідності, такі як SOC 2 або ISO, не охоплюють загрози, притаманні Web3. Тому ми створили новий стандарт, щоб допомогти компаніям Web3 забезпечити фінансування та побудувати партнерства, одночасно допомагаючи традиційним фінансовим установам зрозуміти, як безпечно взаємодіяти з Web3.
Ця структура тепер є співпрацею з деякими з найбільших імен нашої галузі. Вона набирає популярність серед традиційних фінансів та управлінців активами в усьому світі.
Які інноваційні методології безпеки ви зараз випробовуєте? Штучний інтелект є великою метою. Ми використовуємо роки даних про помилки для створення інструментів штучного інтелекту, які покращують аналіз коду та роблять перевірки безпеки швидшими і економічнішими. Ми також вдосконалюємо процес тріажу баг-баунті, щоб забезпечити його ефективність та дієвість.
Багато з наших послуг виникають безпосередньо з потреб клієнтів, таких як програми винагород за виявлення помилок та наша структура Web3 SOC. Сьогодні ми вважаємо, що аналіз коду на основі штучного інтелекту є наступним кроком у спрощенні та підвищенні ефективності процесів безпеки.
Чи можете поділитися дорожньою картою Cantina? Які нові функції нас чекають?
Наша нова програма - це операційна безпека з реагуванням на інциденти 24/7. Традиційні фінанси давно покладаються на команди SOC та моніторингові інструменти, але Web3 відстає.
Ми створили програму з колишніми експертами з розвідки загроз Coinbase, щоб всебічно оцінити поверхні атаки в Web2, Web3, фізичних та цифрових активах. Після цього ми пропонуємо керовану послугу SOC з навченою командою аналітиків, які цілодобово моніторять інструменти, такі як Hypernative, Blockaid, Guardrails та HexaGate, готові реагувати на загрози в режимі реального часу.
Ця програма вже здобула значну популярність, а наступним кроком ми зосереджені на запуску інструментів аналізу коду на основі ШІ, щоб допомогти командам будувати безпечно з самого початку.
Нарешті, яку пораду ви б дали веб3 стартапу щодо впровадження безпеки у свій дорожню карту з першого дня?
Почніть задумуватися про безпеку на ранніх стадіях. Команди, які чекають до етапу аудиту, часто стикаються з затримками, додатковими аудитами і іноді потребують перебудови всього свого продукту. Інвестування в безпеку з самого початку економить час і гроші.
Ми рекомендуємо інструменти, такі як аналіз коду на основі штучного інтелекту, рецензії від третіх сторін і використання ресурсів, таких як наш контрольний список готовності до перевірки безпеки. Регулярне запрошення зовнішніх експертів допомагає рано виявляти вразливості.
Окрім коду, стартапи також повинні оцінити свою повну поверхню атаки, як Web2, так і Web3. У нас є послуги для компаній на кожному етапі, щоб допомогти їм проактивно вирішувати ризики. Формування культури безпеки з самого початку забезпечує вам довгостроковий успіх.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Забезпечення безпеки екосистеми цифрових активів з Cantina
Коротко
Шарон Ідегучі, керівник GTM у Cantina, обговорює зміщення уваги зловмисників з коду на людей, підкреслюючи необхідність нових рамок безпеки для захисту компаній в швидко змінюваній індустрії.
Хакери вже не просто націлюються на код, вони йдуть за людьми. У цьому інтерв'ю Шарон Ідегучі, керівник GTM у Cantina (Spearbit), розмірковує про свій шлях від традиційної кібербезпеки до Web3, розкриває, як атакуючі змінюють свій фокус, і пояснює, чому її команда створює нові безпекові рамки для захисту компаній в індустрії, яка розвивається швидше, ніж будь-коли.
Чи могли б ви поділитися своєю подорожжю до Web3?
Мене звати Шарон Ідегучі, і я працюю в Cantina у сфері стратегії продажів. Я зосереджуюсь на створенні індивідуальних пропозицій продуктів для клієнтів рівня підприємств, нових технологій та клієнтів у інституційних і традиційних фінансових секторах. Моя робота повністю зосереджена на безпеці. Моя кар'єра до цього часу була у сфері кібербезпеки, переважно у Web2. Я провела багато років у традиційних ролях кібербезпеки, працюючи в сферах, схожих на CrowdStrike та інші щоденні операції з безпеки.
З часом я побачив, як ринок швидко переходить до Web3, і визнав це майбутнім технологій. Я хотів дослідити, як виглядає кібербезпека поза моїм традиційним досвідом у Web2. Це рішення привело мене до Cantina, і з тих пір я працюю у сфері безпеки Web3.
Які основні переваги для ваших клієнтів від роботи виключно з Cantina?
Коли ми заснували Cantina близько чотирьох років тому, ми зосередилися на заохоченні найкращих у світі фахівців з безпеки працювати над проектами безпеки. Ми помітили, що багато висококваліфікованих дослідників у цій галузі не працюють над питаннями безпеки, часто через те, що їм бракує автономії та можливості обирати значущі проекти або глибоко долучатися до протоколів.
Ми створили модель, яка надає дослідникам цю автономію, і вона спрацювала. Сьогодні наша мережа включає таланти з усіх мов програмування, ланцюгів, екосистем і нішевої експертизи. Коли клієнти звертаються до нас з запитом на безпеку, ми не просто знаходимо когось кваліфікованого; ми знаходимо найкращу людину у світі для цієї роботи, чи то аудит смарт-контрактів, програма винагороди за виявлення помилок, оперативна безпека, реагування на інциденти чи тестування Web2.
Ви також працювали в безпеці Web2. Які ключові тенденції або наративи виділяються як унікальні для Web3?
Однією з основних відмінностей є постійна природа Web3 та відсутність посередників. У Web2 часто є треті сторони, які допомагають зменшити ризики або відшкодувати втрати. У Web3, якщо кошти вкрадено, вони, як правило, зникли. Без належних заходів безпеки, таких як багатопідписні захисти або призупинення транзакцій, відновлення майже неможливе.
Ще одним ключовим фактором є те, що структура Web3 створює стимули для фізичних загроз безпеці. Зловмисники можуть безпосередньо націлюватися на персонал, що є набагато менш поширеним у Web2. Це робить практики операційної безпеки, включаючи захист команд, життєво важливими в Web3.
Які метрики ви використовуєте для вимірювання успіху ваших стратегій безпеки з часом?
Найочевиднішим показником є те, чи зазнають наші клієнти експлуатації після отримання наших послуг. Крім того, ми вимірюємо, як покращення безпеки впливає на можливості фінансування, партнерства та загальний ріст. Ми дивимося на це цілісно, як сильна безпека сприяє фінансовим показникам компанії, довірі користувачів та успіху в довгостроковій перспективі.
Як ви навчаєте нетехнічні команди керівництва про високі ризики безпеки?
Я використовую розповіді та реальні приклади. Наприклад, я можу провести команду керівництва через відомий хак: які заходи безпеки були в компанії, чого їй не вистачало і наслідки. Команди керівництва менше цікавлять технічні деталі, а більше турбує потенційний вплив, чи втратять вони дані, кошти клієнтів або зіштовхнуться з репутаційними збитками. Формулювання ризиків безпеки у термінах відчутних наслідків допомагає їм зрозуміти, чому інвестиції в безпеку є критично важливими.
Які нові вектори атак у смарт-контрактах команди все ще недооцінюють?
З початку Web3 більшість бюджетів на безпеку витрачено на смарт-контракти. Команди витрачають мільйони на аудити, змагання, програми винагород за помилки та перевірки колег. Зловмисники знають про це і переключають увагу на менш захищені області, такі як компоненти Web2 та експлуатаційні вразливості. Багато недавніх атак виникло за межами смарт-контрактів.
Ми допомагаємо командам вирішувати цю диспропорцію через такі послуги, як операційна безпека, цілодобова реакція на інциденти та керовані команди SOC, охоплюючи всю атакувальну поверхню організації.
Чи може ШІ або автоматизація колись замінити частини огляду Кантині, чи людська експертиза незамінна?
Це безумовно гібридний підхід. Ми вже широко використовуємо ШІ для завдань, таких як видалення спаму з платформ конкурентів та додавання контексту до рецензій колег. ШІ відмінно справляється з ідентифікацією відомих вразливостей і шаблонів, що прискорює початковий процес огляду.
Проте, зловмисники також креативні та все частіше використовують штучний інтелект. Поки штучний інтелект не стане більш розумним і винахідливим за людей, нам завжди знадобиться людська експертиза для протидії новим загрозам. Майбутнє - це поєднання допомоги штучного інтелекту та кваліфікованих дослідників.
Що вас надихнуло створити спеціалізовані оцінки, які виходять за межі традиційних аудитів?
Ми розробили нашу Web3 SOC структуру у відповідь на потреби клієнтів. Управлінці активами та венчурні компанії почали просити нас провести дью-диліженс Web3 компаній, оцінюючи як ризики безпеки, так і фінансові ризики.
Ми усвідомили, що немає стандартизованого способу оцінки ризиків, специфічних для Web3. Традиційні рамки відповідності, такі як SOC 2 або ISO, не охоплюють загрози, притаманні Web3. Тому ми створили новий стандарт, щоб допомогти компаніям Web3 забезпечити фінансування та побудувати партнерства, одночасно допомагаючи традиційним фінансовим установам зрозуміти, як безпечно взаємодіяти з Web3.
Ця структура тепер є співпрацею з деякими з найбільших імен нашої галузі. Вона набирає популярність серед традиційних фінансів та управлінців активами в усьому світі.
Які інноваційні методології безпеки ви зараз випробовуєте? Штучний інтелект є великою метою. Ми використовуємо роки даних про помилки для створення інструментів штучного інтелекту, які покращують аналіз коду та роблять перевірки безпеки швидшими і економічнішими. Ми також вдосконалюємо процес тріажу баг-баунті, щоб забезпечити його ефективність та дієвість.
Багато з наших послуг виникають безпосередньо з потреб клієнтів, таких як програми винагород за виявлення помилок та наша структура Web3 SOC. Сьогодні ми вважаємо, що аналіз коду на основі штучного інтелекту є наступним кроком у спрощенні та підвищенні ефективності процесів безпеки.
Чи можете поділитися дорожньою картою Cantina? Які нові функції нас чекають?
Наша нова програма - це операційна безпека з реагуванням на інциденти 24/7. Традиційні фінанси давно покладаються на команди SOC та моніторингові інструменти, але Web3 відстає.
Ми створили програму з колишніми експертами з розвідки загроз Coinbase, щоб всебічно оцінити поверхні атаки в Web2, Web3, фізичних та цифрових активах. Після цього ми пропонуємо керовану послугу SOC з навченою командою аналітиків, які цілодобово моніторять інструменти, такі як Hypernative, Blockaid, Guardrails та HexaGate, готові реагувати на загрози в режимі реального часу.
Ця програма вже здобула значну популярність, а наступним кроком ми зосереджені на запуску інструментів аналізу коду на основі ШІ, щоб допомогти командам будувати безпечно з самого початку.
Нарешті, яку пораду ви б дали веб3 стартапу щодо впровадження безпеки у свій дорожню карту з першого дня?
Почніть задумуватися про безпеку на ранніх стадіях. Команди, які чекають до етапу аудиту, часто стикаються з затримками, додатковими аудитами і іноді потребують перебудови всього свого продукту. Інвестування в безпеку з самого початку економить час і гроші.
Ми рекомендуємо інструменти, такі як аналіз коду на основі штучного інтелекту, рецензії від третіх сторін і використання ресурсів, таких як наш контрольний список готовності до перевірки безпеки. Регулярне запрошення зовнішніх експертів допомагає рано виявляти вразливості.
Окрім коду, стартапи також повинні оцінити свою повну поверхню атаки, як Web2, так і Web3. У нас є послуги для компаній на кожному етапі, щоб допомогти їм проактивно вирішувати ризики. Формування культури безпеки з самого початку забезпечує вам довгостроковий успіх.