通過Cantina保護數字資產生態系統

簡要

Sharon Ideguchi，Cantina 的 GTM 負責人，討論了攻擊者關注點從代碼轉向人類的轉變，強調了在快速發展的行業中保護公司的新安全框架的必要性。

黑客不再只是針對代碼，他們現在開始針對人。在這次採訪中，Cantina (Spearbit)的GTM負責人Sharon Ideguchi回顧了她從傳統網路安全到Web3的歷程，分析了攻擊者如何轉變關注點，並解釋了她的團隊爲何在一個發展速度比以往更快的行業中構建新的安全框架來保護公司。

您能分享一下您在Web3的旅程嗎？

我叫Sharon Ideguchi，我在Cantina的銷售策略部門工作。我專注於爲企業級客戶、新興技術以及機構和傳統金融領域的客戶創建定制產品方案。我的工作完全集中在安全性上。到目前爲止，我的職業生涯一直在網路安全領域，主要是在Web2。我在傳統網路安全角色上花了很多年，工作領域類似於CrowdStrike和其他日常安全操作。

隨着時間的推移，我看到市場迅速向Web3轉變，並將其視爲技術的未來。我想探索在我的傳統Web2背景之外，網路安全的樣子。這個決定讓我來到了Cantina，從那時起我一直在從事Web3安全工作。

與Cantina獨家合作對您的客戶的主要優勢是什麼？

當我們在大約四年前創辦Cantina時，我們專注於激勵世界上最優秀的安全人才參與安全項目。我們注意到許多在該領域的高技能研究人員並沒有從事安全工作，往往是因爲他們缺乏自主權，無法選擇有意義的項目或深度參與協議的能力。

我們建立了一個模型，讓研究人員擁有自主權，並且它奏效了。今天，我們的網路包括所有編程語言、鏈、生態系統和專業領域的人才。當客戶向我們提出安全請求時，我們不僅僅是找到合適的人選；我們會找到全球最優秀的人來完成這項工作，無論是智能合約審計、漏洞賞金、運營安全、事件響應還是Web2測試。

您在Web2安全領域也有工作經驗。哪些關鍵趨勢或敘事在Web3中顯得獨特？

一個主要的區別是Web3的永久性以及缺乏中介。在Web2中，通常會有第三方來幫助降低風險或恢復損失。而在Web3中，如果資金被盜，通常就會消失。如果沒有適當的安全措施，如多重籤名保護或交易暫停，恢復幾乎是不可能的。

另一個關鍵因素是，Web3的結構創造了對物理安全威脅的激勵。攻擊者可能直接針對人員，這在Web2中是遠不常見的。這使得運營安全實踐，包括保護團隊，在Web3中變得至關重要。

您使用哪些指標來衡量安全策略隨時間的成功？

最明顯的指標是我們的客戶在接受我們的服務後是否遭受了攻擊。除此之外，我們還衡量改進的安全態勢如何影響資金機會、合作夥伴關係和整體增長。我們從整體上考慮強大的安全性如何促進公司的財務表現、用戶信任和長期成功。

您如何向非技術領導團隊普及高級安全風險？

我使用講故事和現實世界的例子。例如，我可能會帶領一個領導團隊回顧一個衆所周知的黑客事件：公司採取了哪些安全措施，缺少了什麼，以及事後的情況。領導團隊對技術細節不太感興趣，更關心潛在的影響，無論是失去數據、客戶資金，還是面臨聲譽損害。從有形結果的角度框架安全風險，有助於他們理解爲什麼投資安全至關重要。

智能合約中團隊仍然低估的一些新興攻擊向量是什麼？

自Web3開始以來，大多數安全預算都投入到了智能合約上。團隊在審計、競賽、漏洞懸賞和同行評審上花費了數百萬。攻擊者意識到了這一點，並將注意力轉向了像Web2組件和操作漏洞這樣保護較少的領域。最近許多攻擊源於智能合約之外。

我們通過運營安全、24/7 事件響應和托管 SOC 團隊等服務，幫助團隊解決這種不平衡問題，覆蓋整個組織的攻擊面。

人工智能或自動化能否替代部分餐館評論，還是人類的專業知識是不可替代的？

這絕對是一種混合方法。我們已經廣泛使用人工智能來處理去垃圾郵件競爭平台和爲同行評審添加上下文等任務。人工智能在識別已知漏洞和模式方面表現出色，這加快了初步審查過程。

然而，攻擊者也很有創造力，並且越來越多地使用人工智能。直到人工智能變得比人類更聰明和更具創造力，我們始終需要人類的專業知識來應對新出現的威脅。未來是人工智能輔助與熟練研究者的結合。

是什麼激勵您創建超越傳統審計的專業評估的？

我們開發了我們的Web3 SOC框架，以響應客戶的需求。資產管理公司和風險投資公司開始要求我們對Web3公司進行盡職調查，評估安全和財務風險。

我們意識到沒有標準化的方法來量化Web3特定的風險。傳統的合規框架，如SOC 2或ISO，並未涵蓋Web3原生威脅。因此，我們創建了一個新的標準，以幫助Web3公司獲得資金並建立合作關係，同時也幫助傳統金融機構了解如何安全地與Web3互動。

該框架現在與我們行業內一些最大牌的公司合作。它在全球傳統金融和資產管理公司中獲得了關注。

**您目前正在實驗哪些創新的安全方法論？**人工智能是一個重點。我們正在利用多年的漏洞數據構建人工智能工具，以改善代碼分析，並使安全審查更快、更具成本效益。我們還在增強漏洞賞金的分類，以確保其高效且可行。

我們的許多服務直接來源於客戶需求，例如漏洞懸賞和我們的Web3 SOC框架。今天，我們將AI驅動的代碼分析視爲使安全流程更加簡化和有效的下一步。

您能分享Cantina的路線圖嗎？有什麼即將推出的功能？

我們最新的項目是運營安全，提供24/7的事件響應。傳統金融長期以來依賴於SOC團隊和監控工具，但Web3卻落後於此。

我們與前 Coinbase 威脅情報專家合作建立了一個程序，以全面評估攻擊面，包括 Web2、Web3、物理和數字資產。一旦這項工作完成，我們提供管理的 SOC 服務，經過培訓的分析師全天候監控 Hypernative、Blockaid、Guardrails 和 HexaGate 等工具，準備實時應對威脅。

該程序已經獲得了顯著的關注，接下來，我們將專注於推出人工智能驅動的代碼分析工具，以幫助團隊從一開始就安全構建。

最後，您會給Web3初創公司什麼建議，以便從第一天起就在其路線圖中建立安全性？

盡早開始考慮安全性。等待到審計階段的團隊往往會面臨延遲、額外的審計，有時還需要重新架構整個產品。從一開始就投資於安全性可以節省時間和金錢。

我們推薦使用人工智能驅動的代碼分析、第三方同行評審等工具，以及使用我們的安全審查準備清單等資源。定期邀請外部視角有助於及早識別漏洞。

除了代碼，初創公司還應評估其完整的攻擊面，包括Web2和Web3。我們爲各個階段的公司提供服務，幫助他們主動應對風險。早期建立以安全爲首的文化爲長期成功奠定了基礎。