Sharon Ideguchi, pemimpin GTM di Cantina, membahas pergeseran fokus penyerang dari kode ke orang, menekankan perlunya kerangka keamanan baru untuk melindungi perusahaan di industri yang berkembang pesat.
Hacker tidak hanya menargetkan kode lagi, mereka juga menyerang orang. Dalam wawancara ini, Sharon Ideguchi, pemimpin GTM di Cantina (Spearbit), merenungkan jalannya dari keamanan siber tradisional ke Web3, membongkar bagaimana penyerang mengalihkan fokus mereka, dan menjelaskan mengapa timnya sedang membangun kerangka keamanan baru untuk melindungi perusahaan dalam industri yang berkembang lebih cepat dari sebelumnya.
Bisakah Anda membagikan perjalanan Anda ke Web3?
Nama saya Sharon Ideguchi, dan saya bekerja di Cantina di sisi strategi penjualan. Saya fokus pada penciptaan penawaran produk khusus untuk pelanggan tingkat perusahaan, teknologi yang muncul, dan klien di sektor keuangan institusional dan tradisional. Pekerjaan saya sepenuhnya berpusat pada keamanan. Karir saya sejauh ini berada di bidang keamanan siber, terutama di Web2. Saya menghabiskan banyak tahun di peran keamanan siber tradisional, bekerja di bidang yang mirip dengan CrowdStrike dan operasi keamanan sehari-hari lainnya.
Seiring berjalannya waktu, saya melihat pasar dengan cepat beralih ke Web3 dan mengenalinya sebagai masa depan teknologi. Saya ingin mengeksplorasi seperti apa keamanan siber di luar latar belakang Web2 tradisional saya. Keputusan itu membawa saya ke Cantina, dan saya telah bekerja di keamanan Web3 sejak saat itu.
Apa saja keuntungan utama bagi klien Anda bekerja secara eksklusif dengan Cantina?
Ketika kami mendirikan Cantina sekitar empat tahun yang lalu, kami fokus pada memberikan insentif bagi talenta keamanan terbaik di dunia untuk bekerja pada proyek keamanan. Kami menyadari banyak peneliti yang sangat terampil di bidang ini tidak bekerja pada keamanan, sering kali karena mereka kurang otonomi dan kemampuan untuk memilih proyek yang berarti atau berkontribusi secara mendalam pada protokol.
Kami membangun model untuk memberikan otonomi kepada peneliti, dan itu berhasil. Saat ini, jaringan kami mencakup bakat di semua bahasa pemrograman, rantai, ekosistem, dan keahlian khusus. Ketika klien datang kepada kami dengan permintaan keamanan, kami tidak hanya mencari seseorang yang memenuhi syarat; kami mencari orang terbaik di dunia untuk pekerjaan itu, apakah itu audit kontrak pintar, bug bounty, keamanan operasional, respons insiden, atau pengujian Web2.
Anda juga telah bekerja di keamanan Web2. Tren atau narasi kunci apa yang menonjol sebagai unik untuk Web3?
Salah satu perbedaan utama adalah sifat permanen dari Web3 dan kurangnya perantara. Di Web2, sering ada pihak ketiga untuk membantu mengurangi risiko atau memulihkan kerugian. Di Web3, jika dana dicuri, biasanya sudah hilang. Tanpa langkah-langkah keamanan yang tepat, seperti perlindungan multi-sig atau jeda transaksi, pemulihan hampir tidak mungkin.
Faktor kunci lainnya adalah bahwa struktur Web3 menciptakan insentif untuk ancaman keamanan fisik. Penyerang mungkin menargetkan personel secara langsung, yang merupakan sesuatu yang jauh lebih jarang terjadi di Web2. Hal ini menjadikan praktik keamanan operasional, termasuk perlindungan tim, sangat penting di Web3.
Metode apa yang Anda gunakan untuk mengukur keberhasilan strategi keamanan Anda seiring waktu?
Metrik yang paling jelas adalah apakah pelanggan kami mengalami eksploitasi setelah menerima layanan kami. Selain itu, kami mengukur bagaimana peningkatan postur keamanan memengaruhi peluang pendanaan, kemitraan, dan pertumbuhan secara keseluruhan. Kami melihat secara holistik bagaimana keamanan yang kuat berkontribusi pada kinerja keuangan perusahaan, kepercayaan pengguna, dan kesuksesan jangka panjang.
Bagaimana Anda mendidik tim kepemimpinan non-teknis tentang risiko keamanan tingkat tinggi?
Saya menggunakan cerita dan contoh dunia nyata. Misalnya, saya mungkin membawa tim kepemimpinan melalui sebuah peretasan yang terkenal: langkah-langkah keamanan yang dimiliki perusahaan, apa yang mereka kurang, dan akibatnya. Tim kepemimpinan kurang tertarik pada rincian teknis dan lebih peduli dengan dampak potensial, apakah mereka akan kehilangan data, dana pelanggan, atau menghadapi kerusakan reputasi. Membingkai risiko keamanan dalam hal hasil yang nyata membantu mereka melihat mengapa berinvestasi dalam keamanan sangat penting.
Apa saja vektor serangan yang muncul dalam kontrak pintar yang masih diremehkan oleh tim?
Sejak Web3 dimulai, sebagian besar anggaran keamanan telah dialokasikan untuk kontrak pintar. Tim menghabiskan jutaan untuk audit, kompetisi, program bug bounty, dan tinjauan sejawat. Penyerang mengetahui hal ini dan mulai beralih fokus ke area yang kurang dilindungi seperti komponen Web2 dan kerentanan operasional. Banyak serangan terbaru berasal dari luar kontrak pintar.
Kami membantu tim mengatasi ketidakseimbangan ini melalui layanan seperti keamanan operasional, respons insiden 24/7, dan tim SOC yang dikelola, mencakup seluruh permukaan serangan organisasi.
Bisakah AI atau otomatisasi menggantikan sebagian dari ulasan Cantina, atau apakah keahlian manusia tidak tergantikan?
Ini pasti merupakan pendekatan hibrida. Kami sudah menggunakan AI secara ekstensif untuk tugas-tugas seperti menghilangkan spam di platform kompetisi dan menambahkan konteks pada tinjauan sejawat. AI sangat baik dalam mengidentifikasi kerentanan dan pola yang sudah dikenal, yang mempercepat proses tinjauan awal.
Namun, para penyerang juga kreatif dan semakin menggunakan AI sendiri. Sampai AI menjadi lebih cerdas dan inventif daripada manusia, kita akan selalu membutuhkan keahlian manusia untuk melawan ancaman baru. Masa depan adalah kombinasi antara bantuan AI dan peneliti yang terampil.
Apa yang menginspirasi Anda untuk membuat penilaian khusus di luar audit tradisional?
Kami mengembangkan kerangka SOC Web3 kami sebagai respons terhadap kebutuhan klien. Manajer aset dan perusahaan VC mulai meminta kami untuk melakukan due diligence pada perusahaan Web3, menilai baik risiko keamanan maupun risiko keuangan.
Kami menyadari bahwa tidak ada cara standar untuk mengukur risiko spesifik Web3. Kerangka kepatuhan tradisional seperti SOC 2 atau ISO tidak mencakup ancaman yang berasal dari Web3. Jadi kami menciptakan standar baru untuk membantu perusahaan Web3 mengamankan pendanaan dan membangun kemitraan, sekaligus membantu lembaga keuangan tradisional memahami cara berinteraksi dengan Web3 secara aman.
Kerangka kerja ini sekarang merupakan kolaborasi dengan beberapa nama terbesar di industri kami. Ini semakin mendapatkan perhatian dari keuangan tradisional dan manajer aset di seluruh dunia.
Metodologi keamanan inovatif apa yang sedang Anda eksperimen saat ini? AI adalah fokus utama. Kami menggunakan bertahun-tahun data bug untuk membangun alat AI yang meningkatkan analisis kode dan membuat tinjauan keamanan lebih cepat dan lebih hemat biaya. Kami juga meningkatkan triase bug bounty untuk memastikan bahwa itu efisien dan dapat ditindaklanjuti.
Banyak layanan kami berasal langsung dari kebutuhan pelanggan, seperti program bug bounty dan kerangka kerja Web3 SOC kami. Hari ini, kami melihat analisis kode yang didukung AI sebagai langkah selanjutnya dalam membuat proses keamanan lebih efisien dan efektif.
Bisakah Anda membagikan roadmap Cantina? Ada fitur yang akan datang?
Program terbaru kami adalah keamanan operasional dengan respons insiden 24/7. Keuangan tradisional telah lama bergantung pada tim SOC dan alat pemantauan, tetapi Web3 tertinggal.
Kami membangun program dengan mantan ahli intelijen ancaman Coinbase untuk menilai permukaan serangan secara holistik, di seluruh Web2, Web3, aset fisik, dan digital. Setelah itu diterapkan, kami menawarkan layanan SOC terkelola dengan analis terlatih yang memantau alat seperti Hypernative, Blockaid, Guardrails, dan HexaGate sepanjang waktu, siap untuk bertindak terhadap ancaman secara real-time.
Program ini telah mendapatkan perhatian yang signifikan, dan selanjutnya, kami fokus untuk meluncurkan alat analisis kode berbasis AI untuk membantu tim membangun dengan aman sejak awal.
Akhirnya, nasihat apa yang akan Anda berikan kepada startup Web3 tentang membangun keamanan ke dalam peta jalannya sejak hari pertama?
Mulailah memikirkan tentang keamanan sejak awal. Tim yang menunggu hingga fase audit sering menghadapi keterlambatan, audit tambahan, dan terkadang perlu merancang ulang seluruh produk mereka. Berinvestasi dalam keamanan dari awal menghemat waktu dan uang.
Kami merekomendasikan alat seperti analisis kode berbasis AI, tinjauan sejawat pihak ketiga, dan menggunakan sumber daya seperti Daftar Periksa Kesiapan Tinjauan Keamanan kami. Secara teratur mengundang perspektif eksternal membantu mengidentifikasi kerentanan lebih awal.
Di luar kode, startup juga harus mengevaluasi seluruh permukaan serangan mereka, baik Web2 maupun Web3. Kami memiliki layanan untuk perusahaan di setiap tahap untuk membantu mereka secara proaktif mengatasi risiko. Membangun budaya yang mengutamakan keamanan sejak awal mempersiapkan Anda untuk sukses jangka panjang.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Mengamankan Ekosistem Aset Digital dengan Cantina
Secara Singkat
Sharon Ideguchi, pemimpin GTM di Cantina, membahas pergeseran fokus penyerang dari kode ke orang, menekankan perlunya kerangka keamanan baru untuk melindungi perusahaan di industri yang berkembang pesat.
Hacker tidak hanya menargetkan kode lagi, mereka juga menyerang orang. Dalam wawancara ini, Sharon Ideguchi, pemimpin GTM di Cantina (Spearbit), merenungkan jalannya dari keamanan siber tradisional ke Web3, membongkar bagaimana penyerang mengalihkan fokus mereka, dan menjelaskan mengapa timnya sedang membangun kerangka keamanan baru untuk melindungi perusahaan dalam industri yang berkembang lebih cepat dari sebelumnya.
Bisakah Anda membagikan perjalanan Anda ke Web3?
Nama saya Sharon Ideguchi, dan saya bekerja di Cantina di sisi strategi penjualan. Saya fokus pada penciptaan penawaran produk khusus untuk pelanggan tingkat perusahaan, teknologi yang muncul, dan klien di sektor keuangan institusional dan tradisional. Pekerjaan saya sepenuhnya berpusat pada keamanan. Karir saya sejauh ini berada di bidang keamanan siber, terutama di Web2. Saya menghabiskan banyak tahun di peran keamanan siber tradisional, bekerja di bidang yang mirip dengan CrowdStrike dan operasi keamanan sehari-hari lainnya.
Seiring berjalannya waktu, saya melihat pasar dengan cepat beralih ke Web3 dan mengenalinya sebagai masa depan teknologi. Saya ingin mengeksplorasi seperti apa keamanan siber di luar latar belakang Web2 tradisional saya. Keputusan itu membawa saya ke Cantina, dan saya telah bekerja di keamanan Web3 sejak saat itu.
Apa saja keuntungan utama bagi klien Anda bekerja secara eksklusif dengan Cantina?
Ketika kami mendirikan Cantina sekitar empat tahun yang lalu, kami fokus pada memberikan insentif bagi talenta keamanan terbaik di dunia untuk bekerja pada proyek keamanan. Kami menyadari banyak peneliti yang sangat terampil di bidang ini tidak bekerja pada keamanan, sering kali karena mereka kurang otonomi dan kemampuan untuk memilih proyek yang berarti atau berkontribusi secara mendalam pada protokol.
Kami membangun model untuk memberikan otonomi kepada peneliti, dan itu berhasil. Saat ini, jaringan kami mencakup bakat di semua bahasa pemrograman, rantai, ekosistem, dan keahlian khusus. Ketika klien datang kepada kami dengan permintaan keamanan, kami tidak hanya mencari seseorang yang memenuhi syarat; kami mencari orang terbaik di dunia untuk pekerjaan itu, apakah itu audit kontrak pintar, bug bounty, keamanan operasional, respons insiden, atau pengujian Web2.
Anda juga telah bekerja di keamanan Web2. Tren atau narasi kunci apa yang menonjol sebagai unik untuk Web3?
Salah satu perbedaan utama adalah sifat permanen dari Web3 dan kurangnya perantara. Di Web2, sering ada pihak ketiga untuk membantu mengurangi risiko atau memulihkan kerugian. Di Web3, jika dana dicuri, biasanya sudah hilang. Tanpa langkah-langkah keamanan yang tepat, seperti perlindungan multi-sig atau jeda transaksi, pemulihan hampir tidak mungkin.
Faktor kunci lainnya adalah bahwa struktur Web3 menciptakan insentif untuk ancaman keamanan fisik. Penyerang mungkin menargetkan personel secara langsung, yang merupakan sesuatu yang jauh lebih jarang terjadi di Web2. Hal ini menjadikan praktik keamanan operasional, termasuk perlindungan tim, sangat penting di Web3.
Metode apa yang Anda gunakan untuk mengukur keberhasilan strategi keamanan Anda seiring waktu?
Metrik yang paling jelas adalah apakah pelanggan kami mengalami eksploitasi setelah menerima layanan kami. Selain itu, kami mengukur bagaimana peningkatan postur keamanan memengaruhi peluang pendanaan, kemitraan, dan pertumbuhan secara keseluruhan. Kami melihat secara holistik bagaimana keamanan yang kuat berkontribusi pada kinerja keuangan perusahaan, kepercayaan pengguna, dan kesuksesan jangka panjang.
Bagaimana Anda mendidik tim kepemimpinan non-teknis tentang risiko keamanan tingkat tinggi?
Saya menggunakan cerita dan contoh dunia nyata. Misalnya, saya mungkin membawa tim kepemimpinan melalui sebuah peretasan yang terkenal: langkah-langkah keamanan yang dimiliki perusahaan, apa yang mereka kurang, dan akibatnya. Tim kepemimpinan kurang tertarik pada rincian teknis dan lebih peduli dengan dampak potensial, apakah mereka akan kehilangan data, dana pelanggan, atau menghadapi kerusakan reputasi. Membingkai risiko keamanan dalam hal hasil yang nyata membantu mereka melihat mengapa berinvestasi dalam keamanan sangat penting.
Apa saja vektor serangan yang muncul dalam kontrak pintar yang masih diremehkan oleh tim?
Sejak Web3 dimulai, sebagian besar anggaran keamanan telah dialokasikan untuk kontrak pintar. Tim menghabiskan jutaan untuk audit, kompetisi, program bug bounty, dan tinjauan sejawat. Penyerang mengetahui hal ini dan mulai beralih fokus ke area yang kurang dilindungi seperti komponen Web2 dan kerentanan operasional. Banyak serangan terbaru berasal dari luar kontrak pintar.
Kami membantu tim mengatasi ketidakseimbangan ini melalui layanan seperti keamanan operasional, respons insiden 24/7, dan tim SOC yang dikelola, mencakup seluruh permukaan serangan organisasi.
Bisakah AI atau otomatisasi menggantikan sebagian dari ulasan Cantina, atau apakah keahlian manusia tidak tergantikan?
Ini pasti merupakan pendekatan hibrida. Kami sudah menggunakan AI secara ekstensif untuk tugas-tugas seperti menghilangkan spam di platform kompetisi dan menambahkan konteks pada tinjauan sejawat. AI sangat baik dalam mengidentifikasi kerentanan dan pola yang sudah dikenal, yang mempercepat proses tinjauan awal.
Namun, para penyerang juga kreatif dan semakin menggunakan AI sendiri. Sampai AI menjadi lebih cerdas dan inventif daripada manusia, kita akan selalu membutuhkan keahlian manusia untuk melawan ancaman baru. Masa depan adalah kombinasi antara bantuan AI dan peneliti yang terampil.
Apa yang menginspirasi Anda untuk membuat penilaian khusus di luar audit tradisional?
Kami mengembangkan kerangka SOC Web3 kami sebagai respons terhadap kebutuhan klien. Manajer aset dan perusahaan VC mulai meminta kami untuk melakukan due diligence pada perusahaan Web3, menilai baik risiko keamanan maupun risiko keuangan.
Kami menyadari bahwa tidak ada cara standar untuk mengukur risiko spesifik Web3. Kerangka kepatuhan tradisional seperti SOC 2 atau ISO tidak mencakup ancaman yang berasal dari Web3. Jadi kami menciptakan standar baru untuk membantu perusahaan Web3 mengamankan pendanaan dan membangun kemitraan, sekaligus membantu lembaga keuangan tradisional memahami cara berinteraksi dengan Web3 secara aman.
Kerangka kerja ini sekarang merupakan kolaborasi dengan beberapa nama terbesar di industri kami. Ini semakin mendapatkan perhatian dari keuangan tradisional dan manajer aset di seluruh dunia.
Metodologi keamanan inovatif apa yang sedang Anda eksperimen saat ini? AI adalah fokus utama. Kami menggunakan bertahun-tahun data bug untuk membangun alat AI yang meningkatkan analisis kode dan membuat tinjauan keamanan lebih cepat dan lebih hemat biaya. Kami juga meningkatkan triase bug bounty untuk memastikan bahwa itu efisien dan dapat ditindaklanjuti.
Banyak layanan kami berasal langsung dari kebutuhan pelanggan, seperti program bug bounty dan kerangka kerja Web3 SOC kami. Hari ini, kami melihat analisis kode yang didukung AI sebagai langkah selanjutnya dalam membuat proses keamanan lebih efisien dan efektif.
Bisakah Anda membagikan roadmap Cantina? Ada fitur yang akan datang?
Program terbaru kami adalah keamanan operasional dengan respons insiden 24/7. Keuangan tradisional telah lama bergantung pada tim SOC dan alat pemantauan, tetapi Web3 tertinggal.
Kami membangun program dengan mantan ahli intelijen ancaman Coinbase untuk menilai permukaan serangan secara holistik, di seluruh Web2, Web3, aset fisik, dan digital. Setelah itu diterapkan, kami menawarkan layanan SOC terkelola dengan analis terlatih yang memantau alat seperti Hypernative, Blockaid, Guardrails, dan HexaGate sepanjang waktu, siap untuk bertindak terhadap ancaman secara real-time.
Program ini telah mendapatkan perhatian yang signifikan, dan selanjutnya, kami fokus untuk meluncurkan alat analisis kode berbasis AI untuk membantu tim membangun dengan aman sejak awal.
Akhirnya, nasihat apa yang akan Anda berikan kepada startup Web3 tentang membangun keamanan ke dalam peta jalannya sejak hari pertama?
Mulailah memikirkan tentang keamanan sejak awal. Tim yang menunggu hingga fase audit sering menghadapi keterlambatan, audit tambahan, dan terkadang perlu merancang ulang seluruh produk mereka. Berinvestasi dalam keamanan dari awal menghemat waktu dan uang.
Kami merekomendasikan alat seperti analisis kode berbasis AI, tinjauan sejawat pihak ketiga, dan menggunakan sumber daya seperti Daftar Periksa Kesiapan Tinjauan Keamanan kami. Secara teratur mengundang perspektif eksternal membantu mengidentifikasi kerentanan lebih awal.
Di luar kode, startup juga harus mengevaluasi seluruh permukaan serangan mereka, baik Web2 maupun Web3. Kami memiliki layanan untuk perusahaan di setiap tahap untuk membantu mereka secara proaktif mengatasi risiko. Membangun budaya yang mengutamakan keamanan sejak awal mempersiapkan Anda untuk sukses jangka panjang.