什么是安全对话

作者|杰姬·辛格

编译|黑米

Web3和区块链的世界真的像听起来那么可怕吗？拜登竞选团队的首席事件响应官、前英特尔事件响应总监杰姬·辛格(Jackie Singh)采访了Web3安全从业者，了解他们对保护Web3技术的挑战和机遇的看法。

决定在一个新行业接受一份潜在不稳定的工作似乎令人畏惧，尤其是作为一个有小孩的家庭。

尽管最近加密货币市场出现波动，但我的担忧已经随着时间的推移而消失。Jason的职业生涯转向了Web3，这也让我对他的工作有了更多的了解，包括所有用户的无授权使用，通过Github的开源代码设计，与第三方开发者的开放合作以及与NFT艺术家的合作关系。与他之前在传统金融领域的工作相比，这是一个令人耳目一新的变化！

说实话，我知道Web3社区的凝聚力很强，但作为一名信息安全专业人士，我也对普遍存在的欺诈行为、“技术解决方案”的风险以及阻碍Web3崛起的大规模非法活动有疑问。

网络安全公司Mandiant的高级主管罗伯特·华莱士(Robert Wallace)在自述文件中写道:“许多Web3开发者在开发过程中优先考虑安全，以防止漏洞，这很好，但仍有更多工作要做。”“预防是前提，但检测和审计也是必要的。我很高兴在Web3中看到更多关于威胁检测和响应的研究。”

多年来，Wallace和他的顾问团队一起处理了几家Web3公司的安全事故。他指出，使用智能合约的黑客给“DeFi”带来了一些迄今为止最大的黑客攻击。

“另一个挑战是对Web3开发者的攻击，他们可能没有一个安全团队随时监控系统，”华莱士说。“这可能引发密钥被盗，导致Web3公司甚至集中交易所的巨额失窃。”

我邀请了三位有Web3安全经验的专家来分享他们的一些见解，解读他们的日常工作。

1.Miles Nolan是网络安全公司Kudelski Security的高级区块链安全分析师，该公司目前也将区块链纳入其业务范围。

你和你的团队在库德尔斯基安保公司做什么？

英里数:

我是Kudelski应用程序安全团队的区块链安全分析师。我们主要审计Web3应用和智能合约代码的漏洞。我个人从事智能合约的审计/审核。

你是如何开始使用Web3的？

英里数:

我在大学三年级的时候开始对它感兴趣。我获得了管理信息系统的学位。那是在2017年，比特币出现了疯狂的“牛市”，DeFi开始小规模出现。我对技术和金融的热情加上疯狂的炒作让我跳入这个领域，吸收我能学到的任何知识。

你的日常工作对你来说是什么样的？

英里数:

我就是这个领域大多数人所说的“聪明的合同审计师”。我大部分时间都在审查智能合约代码中的漏洞。在一个典型的工作日，我会在一天中的第一个小时审查/编写与我正在审计的项目无关的代码，这有助于我热身。在接下来的一个小时里，我会查看与我正在使用的区块链相关的文档。Web3中的事情每天都在变化，所以我必须保持联系。接下来的一天，我会一直查看智能合约代码中的各种错误。

你在这个领域面临哪些挑战？

英里数:

Web3的发展非常快。刚加入的时候，感觉一直在追赶。

区块链或其他Web3技术是否提供了特定的技术能力，使信息安全任务变得更容易或更困难？

英里数:

虽然有很多优点需要强调，但我必须指出一个痛点。区块链引入了竞争环境，攻击者实际上可以通过执行漏洞来获利。在Web2世界中，攻击者可以关闭主要服务，窃取一些数据，出售恶意软件/0-days等。虽然这可能有利可图，并给其他方造成经济损失，但不值得花费时间和风险来实施这些类型的恶意行为。但是在Web3世界中，攻击者可以从一个漏洞中窃取超过3亿美元。因此，分布式账本技术固有地带来了这些新的风险，需要安全专业人员来处理。

2.Katelyn Perna是BlockFi的安全战略和数字资产托管副总裁，block fi是一个位于美国的加密货币交易平台，提供包括贷款和加密信用卡在内的各种金融产品。

你能告诉我们一些你现在的角色吗？

凯特琳:

作为BlockFi的安全战略和数字资产托管副总裁，我负责建立我们的安全计划。

安全与数字资产托管团队主要负责确保BlockFi原生加密技术的安全性。该团队拥有非常独特和专业的技能人才组合，涵盖网络安全、区块链技术、加密货币安全和托管，几乎涵盖所有数字资产。我们专注于加密货币安全、密码学、密钥管理、链协议和Web3安全。

你的团队关注什么？

凯特琳:

一直以来，我的日常工作主要集中在加密货币方面，可以是分析资产和各种链协议，构建资产存储、托管和密钥管理的技术和解决方案，分析智能合约漏洞。

你是如何开始使用Web3的？什么引起了你的兴趣？

凯特琳:

在Web3/区块链之前，我的背景是传统的网络安全。2016年第一次了解加密货币，很快就迷上了。当时我在大型科技和银行公司从事网络工作，我很快意识到传统金融服务需要改进。

我看到了区块链技术和加密货币在科技和银行业的巨大潜力，可以让社会通过更少的第三方中介来管理自己的数据和资金。我想成为他们中的一员。然而，建立新的基金、平台和文化并不容易，更不用说安全可靠地这样做了。当我们专注于把权力和控制权交给用户的时候，我最感兴趣的是各种可能性和不同的“社交面孔”。我告诉自己，未来5年我将在区块链/加密货币领域工作，然后看看它会如何发展。

你在这个领域面临哪些挑战？

凯特琳:

挑战之一是这是一项全新的技术。区块链和加密货币出现的时间并不长。认为管理几十亿美元的资金会给这些公司的安全带来很大的责任。

总的来说，我认为技术人才，尤其是安全方面的人才，在Web3领域是稀缺的。

进一步的挑战包括:

用户组织普遍缺乏Web3领域的教育和意识，导致技术和安全方面的巨大知识差距。

确保管理数十亿美元所需的真正安全性。没有捷径可走。安全性可能因资产和底层协议而异。这需要严格的调查和尽职调查。

区块链的互操作性和安全性具有挑战性，尤其是在智能合约逻辑和密钥管理方面。以可扩展的方式管理和保护节点也是一大挑战。

区块链或其他Web3技术是否提供了特定的技术能力来使信息安全变得更容易或更困难？

凯特琳:

从Web2到Web3的变化带来了围绕安全性和隐私的思维方式的巨大变化。

在Web2中，我们希望有人为我们做所有的事情——我们需要管理的只是一个密码，也许还有2FA。

Web3的情况并非如此。如果你不知道你在Web2中做什么，Web3会更糟。管理自己的资产和数据，也就是成为自己的“银行”，听起来不错，但这些工作你必须学会:你必须知道如何管理你的钱包和私人钥匙，你必须考虑安全性。

对于CeFi或者事业单位来说，这份工作需要提升10倍！

此外，Web3生态系统中的空欺诈和有针对性的网络钓鱼将继续发展。

你会对不喜欢区块链技术的信息安全专业人士说些什么？

凯特琳:

区块链技术其实不是什么新鲜事。它只是以不同的方式融合了一些已经存在了几十年的不同技术。

3 Web3支持更多的自治和分散的应用程序。这是好事。因为任何公司都不应该拥有所有的数据、金钱或用户的任何东西。

安全永远是驱动因素。

科技可以做很多事情。作为信息安全人员，我们应该尽最大努力保证它能被尽可能安全地使用。

你会给对Web3感兴趣的信息安全专业人士的最重要的建议是什么？

凯特琳:

永远不要只从表面判断任何事情。有人说是真的不代表就是真的。没有人知道所有的答案，也没有人知道所有的事情。挑战你自己和你遇到的每个人。3 Web3行业需要信息安全。

3.Bobby Tonic是一家数字支付公司的安全工程师。过去，他是一家安全公司Trail of Bits的顾问，领导一个团队执行复杂的安全审计。

Web3组织面临的最大挑战是什么？

鲍比:

在担任目前的职位之前，我与各种Web3组织有过接触。我发现他们经常面临与传统组织相似的挑战。在这些挑战中，理解系统中使用的技术的复杂性和确保其应用程序设计的正确性是两个最值得注意的挑战。

对于Web3组织来说，未能成功应对这些挑战可能会带来灾难性的后果，因为攻击者通常可以随时检查他们的系统和应用程序的源代码。

因此，Web3组织开发他们的应用程序和基础设施并提交给第三方安全研究公司进行审查已经成为共识。这样做可以向客户承诺，应用程序的设计和实现已经以对抗的方式进行了测试，并向未来的客户展示组织的尽职调查和责任。

当今Web3最需要什么信息安全研究？

鲍比:

在我看来，对于成熟的Web3，最有影响力的信息安全研究是测试Web3系统和应用。作为第三方安全人员，我们关注的是设计的安全方面，而不是开发者，这样会节省时间，加快后续的开发工作。

此外，Web3通常需要开发人员为被测系统实现模板，这导致他们花费时间构建测试系统，而不是使用工具来实际开发测试。我们在各种测试技术中看到这一点，比如模糊化和属性测试。这些问题极大地阻碍了大多数想要在日常开发工作中使用这些测试技术的开发人员。

并不是开发人员不想用这些测试技术，或者不知道它们的存在，而是在使用的时候有很多“摩擦”！

风险警告:

根据央行等部门发布的《关于进一步防范和应对虚拟货币交易投机风险的通知》，本文仅用于信息共享，不宣传、不背书任何商业和投资活动。请读者严格遵守所在地区的法律法规，不参与任何非法金融活动。