Ευκαιρίες ασφάλειας στο Web3 και τα μαθήματα που πρέπει να μάθουμε από το Web2

Ευκαιρίες ασφάλειας στο Web3 και τα μαθήματα που πρέπει να μάθουμε από το Web2

Dezember 11, 2022 0 Von admin

Δείτε όλες τις κατ‘ απαίτηση συνεδρίες από το Intelligent Security Summit εδώ.


Παρόλο που μεγάλο μέρος της αρχικής διαφημιστικής εκστρατείας γύρω από την κρυπτογραφική οικονομία εξαρτιόταν από τη χρήση της τεχνολογίας blockchain, όλο και περισσότεροι άνθρωποι τα τελευταία δύο χρόνια (ειδικά μετά την αποκεντρωμένη οικονομική έκρηξη του 2020) έχουν αρχίσει να συνειδητοποιούν ότι η συνεχιζόμενη επανάσταση του Web3 είναι πολύ ευρύτερη από την υποκείμενη τεχνολογία του.

Για να το θέσουμε διαφορετικά, το Web3 αντιπροσωπεύει ένα εντελώς νέο παράδειγμα για τον παγκόσμιο ιστό (Web2) — ένα παράδειγμα που έχει τις ρίζες του όχι μόνο στο ήθος της αποκέντρωσης και της κοινής ιδιοκτησίας των δεδομένων, αλλά και στη διαφάνεια.

Ωστόσο, όπως κάθε άλλη τεχνολογία, το Web3 έχει επίσης τα προβλήματά του. Καθώς αυτός ο τομέας έχει αναπτυχθεί τα τελευταία χρόνια, το ίδιο συμβαίνει και με την είσοδο κακών ηθοποιών και χάκερ. Δεδομένου ότι αυτά τα άτομα έχουν οικονομικά κίνητρα για να πραγματοποιήσουν τα κακόβουλα σχέδιά τους, είναι πιθανό να αποκτήσουν παράνομα εκατομμύρια δολάρια μέσω ενός μόνο εκμεταλλεύματος, κάτι που είναι εντελώς ανήκουστο στον κόσμο των παραδοσιακών συστημάτων Web2.

Για να το πούμε αναλυτικά, παρόλο που υπάρχουν αρκετά καθιερωμένα συστήματα ασφάλειας/απόρρητου στην αγορά του Web3 σήμερα (όπως το ασφαλές του OpenZeppelin βιβλιοθήκη συμβολαίωνImmunefi’s bug bounty, του Peckshield διακριτικό απάτης και προστασία ιστότοπου phishing), συνεχίζει να αντιμετωπίζει έναν αυξανόμενο αριθμό hacks, φαινομενικά κάθε μήνα. Για παράδειγμα, νωρίτερα τον Οκτώβριο, το BSC της Binance Γέφυρα Token Hub αποστραγγίστηκε για περισσότερα από 500 εκατομμύρια δολάρια αφού οι χάκερ μπόρεσαν να δημιουργήσουν τεχνητές αποδείξεις απόσυρσης. Ομοίως, η γέφυρα Ronin του Axie Infinity παραβιάστηκε νωρίτερα φέτος $650 εκατ.

Εκδήλωση

Ευφυής Σύνοδος Κορυφής Ασφάλειας Κατ‘ Απαίτηση

Μάθετε τον κρίσιμο ρόλο του AI & ML στην ασφάλεια στον κυβερνοχώρο και τις ειδικές περιπτωσιολογικές μελέτες του κλάδου. Παρακολουθήστε τις συνεδρίες κατ‘ απαίτηση σήμερα.

Παρακολουθήστε εδώ

Πώς μπορεί το Web3 να γίνει πιο ασφαλές;

Κατευθείαν, αξίζει να αναφέρουμε ότι καμία μαγική λύση δεν μπορεί να κάνει τα συστήματα Web2 και Web3 εντελώς αεροστεγώς. Ωστόσο, μπορούμε να χρησιμοποιήσουμε μια πολυεπίπεδη, ολοκληρωμένη προσέγγιση ασφάλειας για την ελαχιστοποίηση του κινδύνου, συμπεριλαμβανομένης της παρακολούθησης και της απόκρισης συμβάντων.

Από αυτή την άποψη, τα αποκεντρωμένα δίκτυα ανίχνευσης απειλών σε πραγματικό χρόνο, ικανά να ενισχύσουν την ασφάλεια των πλατφορμών Web3 – ενώ ταυτόχρονα παρέχουν παρακολούθηση δραστηριότητας blockchain – μπορούν να είναι πολύ χρήσιμα. Επιπλέον, μπορεί να είναι χρήσιμο να ενσωματωθούν χαρακτηριστικά όπως η παροχή κινήτρων στην κοινότητα, επειδή επιτρέπουν στους συμμετέχοντες σε αυτές τις πλατφόρμες να διαμορφώσουν το μέλλον του δικτύου και να κατέχουν την αξία που παράγουν.

Τούτου λεχθέντος, η ανάλυση των ομοιοτήτων και των διαφορών μεταξύ Web2 και Web3 μπορεί να αποκαλύψει μεγάλες ευκαιρίες για ενίσχυση και καινοτομία στην ασφάλεια Web3. Έτσι, χωρίς καμία άλλη καθυστέρηση, ας μεταβούμε κατευθείαν στην ουσία του θέματος.

Μια ματιά στις ομοιότητες μεταξύ Web3 και Web2

Πολλοί έχουν υποστηρίξει ότι οι συναλλαγές blockchain διαθέτουν υψηλό βαθμό ατομικότητας. Ωστόσο, όταν πρόκειται για συστήματα Web2, οι χάκερ πρέπει να περάσουν από μια ολόκληρη σειρά από περίπλοκα βήματα για να διευκολύνουν τις παράνομες ενέργειές τους. Στην ουσία, η ατομικότητα αναφέρεται στην ιδέα ότι μια μεμονωμένη συναλλαγή περιέχει πολλές διαφορετικές ενέργειες, οι οποίες πρέπει να είναι σωστές για να γίνουν αποδεκτές. Με άλλα λόγια, εάν οποιοδήποτε μεμονωμένο μέρος της συναλλαγής είναι λανθασμένο ή αντικρουόμενο, ολόκληρη η συναλλαγή θα αποτύχει.

Τούτου λεχθέντος, όταν πρόκειται για πλατφόρμες Web3, οι εισβολείς πρέπει να αναλάβουν πολλά στάδια δράσης — συμπεριλαμβανομένης της χρηματοδότησης, της προετοιμασίας, της εκμετάλλευσης και, τέλος, του ξεπλύματος των κεφαλαίων που αποκτήθηκαν παράνομα. Αλλά κάθε ένα από αυτά τα βήματα επιτρέπει στους παρόχους ασφάλειας να παρακολουθούν, να αποτρέπουν και να μετριάζουν πιθανές επιθέσεις.

Μια άλλη βασική ομοιότητα μεταξύ Web2 και Web3 είναι το στοιχείο των κοινωνικά σχεδιασμένων επιθέσεων. Δεδομένου ότι η ψηφιακή υποδομή που βρίσκεται κάτω από το Web3 εξακολουθεί να υστερεί σε σχέση με την κεντρική αντίστοιχη, απαιτούνται καλύτερες λύσεις για να γίνουν πιο δύσκολες οι επιθέσεις κοινωνικής μηχανικής στο Web3.

Οι διακρίσεις

Όταν συζητάμε για τεχνολογίες Web2, το ζήτημα της «ανισορροπίας εισβολέα/αμυντικού» είναι πάντα σημαντικό, καθώς ένας εισβολέας πρέπει να έχει δίκιο μόνο μία φορά, ενώ οι υπερασπιστές ασφαλείας πρέπει να είναι σωστοί όλη την ώρα. Ωστόσο, με την κατανεμημένη εγκατάσταση των συστημάτων Web3, οι πίνακες αλλάζουν: ενώ ένας εισβολέας χρειάζεται να έχει δίκιο μόνο μία φορά, μόνο ένας από τους χιλιάδες υπερασπιστές πρέπει να είναι σωστός τουλάχιστον μία φορά.

Επιπλέον, τα δεδομένα που περιέχονται στις αλυσίδες μπλοκ είναι διαθέσιμα σε όλους τους συμμετέχοντες στο δίκτυο — σε αντίθεση με τον τρόπο λειτουργίας των συστημάτων Web2, καθώς μόνο επιλεγμένες πληροφορίες δημοσιοποιούνται, ειδικά από άποψη ασφάλειας. Χάρη στην κατανεμημένη φύση του Web3, η δυνατότητα προώθησης της καινοτομίας από την ευρύτερη ερευνητική κοινότητα ασφάλειας (μέσω της χρήσης διαφορετικών προσεγγίσεων) είναι πολύ μεγαλύτερη.

Μια άλλη σαφής διαφορά είναι ότι όταν πρόκειται για το Web3, είναι ευκολότερο να εκτιμηθούν οι απώλειες επειδή όλες οι συναλλαγές ενός εισβολέα είναι διαθέσιμες σε ένα δημόσιο καθολικό. Ως αποτέλεσμα, είναι δυνατό να επινοηθούν ανώτερα μοντέλα ποσοτικοποίησης κινδύνου ικανά να παρέχουν ισχυρές στρατηγικές μετριασμού του κινδύνου στον κυβερνοχώρο και πρωτοκόλλου.

Τέλος, οι επιθέσεις στη σφαίρα του Web3 έχουν κάποιου είδους οριστικότητα, χάρη στην αμετάβλητη φύση του blockchain. Ωστόσο, όταν πρόκειται για το Web2, τα πράγματα είναι πολύ πιο γκρίζα, καθώς κλεμμένες λεπτομέρειες (όπως προσωπικά διαπιστευτήρια) μπορεί να οδηγήσουν σε συνεχείς ανεξέλεγκτες απώλειες. Έτσι, στο Web3, αυτό πιθανότατα θα οδηγήσει σε νέες στρατηγικές μετριασμού και θα οδηγήσει στην υιοθέτηση της ασφάλισης στον κυβερνοχώρο βραχυπρόθεσμα έως μεσοπρόθεσμα.

Τι υπάρχει μπροστά για το οικοσύστημα Web3;

Όπως είναι πιθανώς προφανές μέχρι τώρα, το τεχνολογικό παράδειγμα Web3 πρόκειται να φέρει εντελώς την επανάσταση στον τρόπο με τον οποίο οι άνθρωποι σε όλο τον κόσμο λειτουργούν σε καθημερινή βάση. Ωστόσο, ταυτόχρονα, αντιμετωπίζει και αρκετές προκλήσεις. Τούτου λεχθέντος, τα τελευταία χρόνια, ένας αυξανόμενος αριθμός ειδικευμένων προγραμματιστών έχει εισέλθει σε αυτήν την ταχέως εξελισσόμενη θέση, βοηθώντας στην καινοτομία και στην επίλυση πολλών από τις πιεστικές προκλήσεις ασφαλείας που αντιμετωπίζουν σήμερα οι χρήστες του Web3.

Ο Christian Seifert είναι ερευνητής ασφάλειας στο Δύναμη κοινότητα που στο παρελθόν είχε εργαστεί για 14 χρόνια στον τομέα της ασφάλειας Ιστού στη Microsoft.

DataDecisionMakers

Καλώς ήρθατε στην κοινότητα του VentureBeat!

Το DataDecisionMakers είναι όπου οι ειδικοί, συμπεριλαμβανομένων των τεχνικών που ασχολούνται με τα δεδομένα, μπορούν να μοιράζονται πληροφορίες και καινοτομίες που σχετίζονται με δεδομένα.

Εάν θέλετε να διαβάσετε για ιδέες αιχμής και ενημερωμένες πληροφορίες, τις βέλτιστες πρακτικές και το μέλλον των δεδομένων και της τεχνολογίας δεδομένων, ελάτε μαζί μας στο DataDecisionMakers.

Ίσως ακόμη και να σκεφτείτε να συνεισφέρετε ένα δικό σας άρθρο!

Διαβάστε περισσότερα από το DataDecisionMakers