تأمين النظام البيئي للأصول الرقمية مع Cantina

لم يعد المخترقون يستهدفون الأكواد البرمجية فحسب، بل أصبحوا يستهدفون البشر أيضًا. في هذه المقابلة، شارون إيدجوتشي ، GTM الرائدة في كانتينا (سبيربيت) ، تتأمل في مسيرتها من الأمن السيبراني التقليدي إلى Web3تحلل كيف يغير المهاجمون تركيزهم، وتشرح لماذا يقوم فريقها ببناء أطر أمنية جديدة لحماية الشركات في صناعة تتطور بشكل أسرع من أي وقت مضى.

هل يمكنك من فضلك مشاركة رحلتك إلى Web3?

اسمي شارون إيدغوتشي، وأعمل في كانتينا في قسم استراتيجية المبيعات. أركز على ابتكار عروض منتجات مخصصة لعملاء المؤسسات، والتقنيات الناشئة، والعملاء في القطاعين المؤسسي والتمويل التقليدي. يتمحور عملي بشكل كامل حول الأمن. قضيتُ مسيرتي المهنية حتى الآن في مجال الأمن السيبراني، وخاصةً في مجال Web2. قضيتُ سنوات عديدة في أدوار تقليدية في مجال الأمن السيبراني، حيث عملت في مجالات مشابهة لـ CrowdStrike وعمليات أمنية يومية أخرى.

مع مرور الوقت، رأيت السوق يتحول بسرعة نحو Web3 وأدركتُ أنه مستقبل التكنولوجيا. أردتُ استكشاف ماهية الأمن السيبراني خارج نطاق خبرتي التقليدية في مجال Web2. قادني هذا القرار إلى كانتينا، وعملتُ فيها Web3 الأمن منذ ذلك الحين.

ما هي المزايا الرئيسية لعملائك من العمل حصريًا مع كانتينا؟

عندما أسسنا كانتينا قبل حوالي أربع سنوات، ركزنا على تحفيز أفضل الكفاءات الأمنية في العالم للعمل في مشاريع أمنية. لاحظنا أن العديد من الباحثين ذوي المهارات العالية في هذا المجال لا يعملون في مجال الأمن، غالبًا لافتقارهم إلى الاستقلالية والقدرة على اختيار مشاريع هادفة أو المساهمة بشكل كبير في البروتوكولات.

لقد أنشأنا نموذجًا لمنح الباحثين تلك الاستقلالية، وقد نجح. واليوم، تضم شبكتنا مواهب من جميع لغات البرمجة، والسلاسل، والأنظمة البيئية، والخبرات المتخصصة. عندما يتواصل معنا عملاؤنا بطلب أمني، فإننا لا نكتفي بالعثور على شخص مؤهل فحسب، بل نجد أفضل شخص في العالم لهذه المهمة، سواءً كان ذلك تدقيق عقود ذكية، أو مكافأة لاكتشاف الأخطاء، أو أمن تشغيلي، أو استجابة للحوادث، أو اختبار Web2.

لقد عملت أيضًا في مجال أمن Web2. ما هي الاتجاهات أو السرديات الرئيسية التي تبرز كأهم ما يميز... Web3?

أحد الفروقات الرئيسية هو الطبيعة الدائمة لـ Web3 ونقص الوسطاء. في Web2، غالبًا ما توجد أطراف ثالثة للمساعدة في تخفيف المخاطر أو تعويض الخسائر. في Web3إذا سُرقت الأموال، فغالبًا ما تختفي. بدون إجراءات أمنية مناسبة، مثل حماية التوقيعات المتعددة أو إيقاف المعاملات مؤقتًا، يكاد يكون استردادها مستحيلًا.

وهناك عامل رئيسي آخر وهو Web3يُنشئ هيكل "حوافز لتهديدات أمنية مادية". قد يستهدف المهاجمون الأفراد مباشرةً، وهو أمر أقل شيوعًا في Web2. هذا يجعل ممارسات الأمن التشغيلي، بما في ذلك فرق الحماية، ضرورية في Web3.

ما هي المقاييس التي تستخدمها لقياس نجاح استراتيجياتك الأمنية بمرور الوقت؟

المقياس الأوضح هو ما إذا كان عملاؤنا يتعرضون لاستغلال أمني بعد تلقي خدماتنا. علاوة على ذلك، نقيس مدى تأثير تحسين الوضع الأمني ​​على فرص التمويل والشراكات والنمو الإجمالي. ننظر بشكل شامل إلى مدى مساهمة قوة الأمن في الأداء المالي للشركة، وثقة المستخدمين بها، ونجاحها على المدى الطويل.

كيف تقوم بتثقيف فرق القيادة غير التقنية حول مخاطر الأمن عالية المستوى؟

أستخدم القصص وأمثلة واقعية. على سبيل المثال، قد أشرح لفريق القيادة عملية اختراق معروفة: ما هي التدابير الأمنية التي طبقتها الشركة، وما افتقرت إليه، وتداعياتها. فرق القيادة أقل اهتمامًا بالتفاصيل التقنية وأكثر اهتمامًا بالتأثير المحتمل، سواءً كان ذلك سيتسبب في فقدان البيانات أو أموال العملاء أو تضرر سمعتها. إن تأطير المخاطر الأمنية من حيث النتائج الملموسة يساعدهم على فهم أهمية الاستثمار في الأمن.

ما هي بعض متجهات الهجوم الناشئة في العقود الذكية التي لا تزال الفرق تقلل من شأنها؟

منذ Web3 منذ بداية عصر العقود الذكية، خُصصت معظم ميزانيات الأمن للعقود الذكية. تُنفق الفرق ملايين الدولارات على عمليات التدقيق والمسابقات ومكافآت الأخطاء ومراجعات الأقران. يدرك المهاجمون هذا الأمر، ويحولون تركيزهم إلى مجالات أقل حماية، مثل مكونات Web2 والثغرات التشغيلية. وقد نشأت العديد من الهجمات الأخيرة خارج نطاق العقود الذكية.

نحن نساعد الفرق على معالجة هذا الخلل من خلال خدمات مثل الأمن التشغيلي، والاستجابة للحوادث على مدار الساعة طوال أيام الأسبوع، وفرق مركز العمليات الأمنية المُدارة، والتي تغطي سطح الهجوم التنظيمي بأكمله.

هل يمكن للذكاء الاصطناعي أو الأتمتة أن تحل محل أجزاء من مراجعة كانتينا، أم أن الخبرة البشرية لا يمكن الاستغناء عنها؟

انها defiنهجٌ هجينٌ تمامًا. نستخدم الذكاء الاصطناعي بالفعل على نطاقٍ واسعٍ في مهامٍ مثل إزالة الرسائل غير المرغوب فيها من منصات المنافسة وإضافة سياقٍ لمراجعات الأقران. يتميز الذكاء الاصطناعي بقدرته الممتازة على تحديد نقاط الضعف والأنماط المعروفة، مما يُسرّع عملية المراجعة الأولية.

ومع ذلك، يتميز المهاجمون أيضًا بالإبداع، ويستخدمون الذكاء الاصطناعي بشكل متزايد. وإلى أن يصبح الذكاء الاصطناعي أكثر ذكاءً وابتكارًا من البشر، سنظل بحاجة إلى الخبرة البشرية لمواجهة التهديدات الجديدة. المستقبل هو مزيج من مساعدة الذكاء الاصطناعي والباحثين المهرة.

ما الذي ألهمك لإنشاء تقييمات متخصصة تتجاوز عمليات التدقيق التقليدية؟

لقد قمنا بتطوير Web3 إطار عمل SOC استجابةً لاحتياجات العملاء. بدأ مديرو الأصول وشركات رأس المال الاستثماري يطلبون منا إجراء العناية الواجبة بشأن Web3 الشركات، وتقييم المخاطر الأمنية والمالية.

لقد أدركنا أنه لا توجد طريقة موحدة لقياس Web3المخاطر المحددة. لا تغطي أطر الامتثال التقليدية، مثل SOC 2 أو ISO، Web3التهديدات المحلية. لذلك، أنشأنا معيارًا جديدًا للمساعدة Web3 تعمل الشركات على تأمين التمويل وبناء الشراكات، مع مساعدة المؤسسات المالية التقليدية في فهم كيفية التعامل مع Web3 بأمان.

هذا الإطار هو الآن ثمرة تعاون مع بعضٍ من أكبر الأسماء في قطاعنا، ويحظى بقبول واسع لدى المؤسسات المالية التقليدية ومديري الأصول حول العالم.

ما هي منهجيات الأمان المبتكرة التي تجربها حاليًا؟
الذكاء الاصطناعي محور تركيزنا الرئيسي. نستخدم سنوات من بيانات الأخطاء البرمجية لبناء أدوات ذكاء اصطناعي تُحسّن تحليل الأكواد البرمجية وتُسهّل مراجعات الأمان وتُقلّل التكلفة. كما نُحسّن آلية فرز الأخطاء البرمجية لضمان كفاءتها وقابليتها للتنفيذ.

تأتي العديد من خدماتنا مباشرة من احتياجات العملاء، مثل مكافآت الأخطاء و Web3 إطار عمل مركز العمليات الأمنية (SOC). نرى اليوم أن تحليل الكود المدعوم بالذكاء الاصطناعي هو الخطوة التالية في تبسيط وفعالية عمليات الأمن.

هل يمكنك مشاركة خارطة طريق كانتينا؟ هل هناك أي ميزات قادمة؟

أحدث برامجنا هو الأمن التشغيلي مع استجابة فورية للحوادث على مدار الساعة. لطالما اعتمدت المؤسسات المالية التقليدية على فرق مركز العمليات الأمنية وأدوات المراقبة، ولكن Web3 لقد تأخرت.

لقد قمنا ببناء برنامج مع خبراء استخبارات التهديدات السابقين في Coinbase لتقييم أسطح الهجوم بشكل شامل، عبر Web2، Web3الأصول المادية والرقمية. بمجرد تطبيق ذلك، نقدم خدمة مركز عمليات أمنية مُدارة، مع محللين مُدربين يراقبون أدوات مثل Hypernative وBlockaid وGuardrails وHexagate على مدار الساعة، وجاهزين للتعامل مع التهديدات في الوقت الفعلي.

لقد اكتسب هذا البرنامج بالفعل زخمًا كبيرًا، وفي المرحلة التالية، نركز على إطلاق أدوات تحليل التعليمات البرمجية المدعومة بالذكاء الاصطناعي لمساعدة الفرق على البناء بشكل آمن منذ البداية.

وأخيرًا، ما هي النصيحة التي تقدمها؟ Web3 شركة ناشئة تسعى إلى دمج الأمن في خريطة الطريق الخاصة بها منذ اليوم الأول؟

ابدأ بالتفكير في الأمان مبكرًا. الفرق التي تنتظر مرحلة التدقيق غالبًا ما تواجه تأخيرات وعمليات تدقيق إضافية، وقد تحتاج أحيانًا إلى إعادة تصميم منتجها بالكامل. الاستثمار في الأمان منذ البداية يوفر الوقت والمال.

نوصي بأدوات مثل تحليل الكود المدعوم بالذكاء الاصطناعي، ومراجعات الأقران من جهات خارجية، واستخدام موارد مثل قائمة التحقق من جاهزية مراجعة الأمان. إن الاستعانة بآراء خارجية بانتظام يساعد على تحديد الثغرات الأمنية مبكرًا.

خارج نطاق الكود، يجب على الشركات الناشئة أيضًا تقييم سطح الهجوم الكامل الخاص بها، سواء Web2 أو Web3نقدم خدمات للشركات في كل مرحلة لمساعدتها على مواجهة المخاطر بشكل استباقي. بناء ثقافة تُولي الأمن الأولوية منذ البداية يُمهّد الطريق لنجاح طويل الأمد.