近日,我们与Mysten Labs的副首席信息安全官Christian Thompson进行了面对面对话,了解他对安全实践相互关联性的见解,以及对Sui开发者安全实践的观察和评价。

以下为本次采访内容:

Q1、对于科技公司来说,CISO的职责是什么?

首席信息安全官(Chief Information Security Officers,CISO)的职责是非常广泛的,对于保护我们的数字环境安全起着至关重要的作用。其中一个关键任务就是收集威胁情报,这涉及深入了解潜在攻击者的思维:他们是谁,为什么可能以我们为目标,何时可能发动攻击,是什么驱使他们行动,以及他们在攻击方法上的熟练程度。

通过对潜在对手有一个清晰的认识并了解他们的能力,我们可以采取积极的行动来保护我们的系统。你可以将其类比为拼图游戏——如果我们知道拼图玩家是谁以及他们如何运作,我们可以更有效地将这些片段组合在一起。例如,我们可以将他们已知的战术与我们系统中可能最容易受到攻击的领域相结合。就像是建立了一个防御系统,一旦有人试图突破我们的数字边界,它就会立即发出警报。

就像在有人试图闯入我们家时,警报系统会提醒我们一样,这种防御设置可以在有任何可疑活动时实时提醒我们。这意味着我们可以迅速应对潜在的威胁,并采取适当的措施来化解风险。

这些重点关注涵盖了广泛的领域,包括网络安全、数据管理、各个领域的风险、架构、合规性、治理、弹性和报告。

CISO的部分角色还延伸到保护内部团队成员。我们花费大量精力来了解团队成员的风险程度。这些风险程度可能会发生重大变化,特别是当团队成员前往有暴力倾向或其他不安全地区时。

Q2、在考虑Sui这样的L1区块链时,安全问题会有何不同呢?

为了创建一个像Sui区块链这样的内聚性防御策略,必须将多种功能和服务结合起来。这个策略必须集中在被认为是薄弱的领域,但还不止于此——Sui社区有责任保护整个生态系统的利益,包括网络和在Sui平台上构建应用的开发者。在安全方面取得卓越成就是一项昂贵且具有挑战性的任务,尤其对于初创公司来说。

为了解决这个问题,Sui基金会正在开发一个产品,将安全措施扩展到更大的生态系统。实际上,Sui基金会将为较小的公司提供通常只对较大组织开放的安全工具和服务。这使得他们能够在更安全的环境中进行构建,增强了终端用户和监管机构的信心。我们的目标是确保人们在Sui上构建时,不仅高效而且安全。

Q3、在维护区块链安全的过程中使用了哪些工具和服务?

以下图表展示了目前我认为是熟练的安全团队所使用的服务和工具类型。这些元素代表了构建强大的安全框架所必不可少的多样化服务。需要认识到真正的效力不仅仅在于每项服务的单独存在,更在于它们之间错综复杂的相互作用。这包括理解它们的相互关系、实施的顺序以及它们所创造的协同效应。

对话Mysten Labs副首席信息安全官:Sui区块链的安全性考量、设计及实践

对于这些被描述的服务(图表上列出的各项),Sui网络利用特定的工具或依赖于服务提供商来部署它们。Sui基金会计划将这些组件进行打包,提供给任何寻求采用它们的企业,以充分发挥它们的实用性。因此,图示中的分隔区域象征着待探索的良好结构化存储库,可供追求巩固安全的实体使用。

Q4、这个图表中有很多元素。它们是平等且紧密相连的吗?还是有优先机制?

对的,有优先级,这个图表背后的理念是经过深思熟虑的。就像从零开始找出需要立即关注的事一样,你可以将其视为构建基础安全区块,或者可以将其视为基础安全工具包。这个工具可能包含了我们称之为“品牌防御”的部分,这意味着对任何可能影响公司声誉的伤害都要保持警惕。它涉及情报收集,以监控和减轻任何负面品牌效应。此外,“诚信”也是关键,这意味着工具包要具备检测并处理可能损害品牌形象的能力。

现在,工具包并不是一刀切的。不同的组织可能需要量身定制不同的工具包,以适应其独特的目的。比如一个与编码密切相关的公司,他们可能会优先发展“漏洞检测能力”。这涉及密切审查系统是否存在潜在的漏洞,并进行“模糊测试”等任务来对其代码进行压力测试。另一方面,考虑一个去中心化金融公司与一个游戏公司。一个去中心化金融公司可能会倾向于侧重于监管风险、治理和合规的工具包。相反,一个游戏公司可能会更专注于运营、情报和特定层次的安全工程。

本质上,这个图表概括了将安全策略适应不同类型公司的不同文化和优先关注的观念。

公司通常会考虑,“这是我所有的风险,我该如何减轻它们?”是以这个想法开始考虑的吗?还是会有其他视角?

是这样的。

Q5、工具包似乎是保持整个区块链生态系统安全的关键方式。鉴于公链的要点在于它是去中心化且无需许可的。从技术层面上来讲,在任何人都可以访问和参与它时,如何保持网络安全?

是的,工具包的概念在维护整个生态系统的安全性方面起着关键作用。公链的美妙之处在于其去中心化和无需许可的特性,这使得许多人可以审查其各个方面。因此构建必要工具的能力,以及促进教育非常关键。

想象一下:生态系统内的人不仅需要了解发生了什么,还需要了解可用的工具以及如何有效地利用它们。值得注意的是,影响生态系统的许多因素超出了区块链本身。社交媒体的讨论、恐惧、不确定性和怀疑(FUD)以及潜在的欺诈行为都可能对生态系统产生影响。这就需要强调全面意识的重要性。

第三个关键因素是社区内的信息交流。当个人可以沟通和合作时,他们会增强集体的知识基础。因此,这是一个三管齐下的方法:教育促进了知识学习,信息促进了行业见解,而工具则促进了行动措施。这种结合为社区提供了不仅可以理解,还可以积极地影响各种行为的能力。

Q6、Sui生态系统之间目前是如何沟通的?

Sui生态系统的沟通方式多种多样。最近的验证节点峰会为个人提供了一个宝贵的平台,可以彼此建立联系并交换见解。还有Builder Houses活动也为大家提供了这样的机会。此外,我了解到Sui基金会计划在不久的将来发布一系列聚焦Sui安全方面的文章。

日常沟通渠道涵盖Discord和Telegram等平台,促进了验证节点、节点运营商和其他相关方之间的互动。这些论坛不仅增加了人们关于合作的意识,而且随着时间的推移还在不断扩展,创建了一个不断发展的知识讨论和分享平台。

Q7、Sui Move的设计本质上比其他区块链编程语言更安全。这对Sui处理安全的方式有何影响?

Move相对于其他一些编程语言来说更安全,这一点毫无疑问。我想要补充的是,最初参与Sui开发的团队中有很多人专注于安全的。因此,这不仅仅是语言的问题,还涉及到Sui的各个组件是如何构建的,这使得它更具韧性,更难以被利用。当然,这并不是说安全领域没有同样聪明的人。在足够的激励下,他们也会努力寻找漏洞。因此,专家需要了解何人、何时、何地、为何以及如何才可能发生这种情况。这才是我们的关注重点。

Q8、Web3中其他地方发生的漏洞事件,对Sui正在进行的工作有何影响?

遗憾的是,当Web3领域发生漏洞事件时,总是会引起广泛的关注。然而,这些也是宝贵的学习经验。它们促使安全从业人员深入研究漏洞的机制——how、what、when、who和why。这些见解为更广泛的领域提供了额外的洞察力。

Sui基金会团队已经投入了大量的安全资源来了解这些威胁者的身份和能力,重点是破解他们首选的攻击对象和动机。

这些漏洞为我们带来了两个不同的启示。首先,对于受到影响的人来说,他们的遭遇值得同情,因为这些事件影响到了真实的人。其次,这是增强Sui战略的机会。这些教训让Sui能够优化和加强其立场,以防范类似的风险。

Q9、您对未来Web3中的安全性有何看法?

我们正站在一个新时代的门槛,这个时代标志着Web3的出现以及它带来的非凡技术——人工智能、机器学习、增强现实、虚拟现实等等。让我兴奋的是其中所蕴含的难以置信的潜力。我们正处于体验极富沉浸感的界面,并以前所未有的速度和方式获取信息的边缘。

这种转变同样延伸到了安全领域。想象一下拥有一个人工智能伙伴,它能识别出我们将要遭受的潜在威胁,甚至可能出现人工智能对抗人工智能的场景。毫无疑问,这是我们努力的方向,而我期待Sui将站在这些先进技术的前沿。