Sharon Ideguchi, líder de GTM na Cantina, discute a mudança no foco dos atacantes do código para as pessoas, enfatizando a necessidade de novas estruturas de segurança para proteger as empresas na indústria em rápida evolução.
Os hackers não estão apenas a atacar código, estão a ir atrás de pessoas. Nesta entrevista, Sharon Ideguchi, líder de GTM na Cantina (Spearbit), reflete sobre o seu caminho desde a cibersegurança tradicional até ao Web3, analisa como os atacantes estão a mudar o seu foco e explica por que a sua equipa está a construir novas estruturas de segurança para proteger as empresas num setor que está a evoluir mais rápido do que nunca.
Poderia compartilhar sua jornada para o Web3?
O meu nome é Sharon Ideguchi, e trabalho na Cantina na área de estratégia de vendas. Eu foco na criação de ofertas de produtos personalizadas para clientes empresariais, tecnologias emergentes e clientes nos setores financeiro institucional e tradicional. O meu trabalho centra-se inteiramente na segurança. A minha carreira até agora tem sido em cibersegurança, principalmente no Web2. Passei muitos anos em funções de cibersegurança tradicionais, trabalhando em áreas semelhantes à CrowdStrike e outras operações de segurança do dia a dia.
Com o tempo, vi o mercado a mudar rapidamente para o Web3 e reconheci-o como o futuro da tecnologia. Queria explorar como era a cibersegurança fora do meu background tradicional de Web2. Essa decisão levou-me à Cantina, e tenho trabalhado em segurança Web3 desde então.
Quais são as principais vantagens para os seus clientes de trabalharem exclusivamente com a Cantina?
Quando fundámos a Cantina há cerca de quatro anos, focámo-nos em incentivar os melhores talentos de segurança do mundo a trabalharem em projetos de segurança. Notámos que muitos investigadores altamente qualificados na área não estavam a trabalhar em segurança, muitas vezes porque não tinham autonomia e a capacidade de escolher projetos significativos ou contribuir profundamente para os protocolos.
Construímos um modelo para dar aos pesquisadores essa autonomia, e funcionou. Hoje, nossa rede inclui talentos em todas as linguagens de programação, cadeias, ecossistemas e especializações de nicho. Quando os clientes vêm até nós com um pedido de segurança, não apenas encontramos alguém qualificado; encontramos a melhor pessoa do mundo para esse trabalho, seja uma auditoria de contrato inteligente, recompensa por bugs, segurança operacional, resposta a incidentes ou testes Web2.
Você também trabalhou em segurança Web2. Quais tendências ou narrativas se destacam como únicas para o Web3?
Uma grande diferença é a natureza permanente da Web3 e a sua falta de intermediários. Na Web2, frequentemente existem terceiros para ajudar a mitigar riscos ou recuperar perdas. Na Web3, se os fundos forem roubados, geralmente estão perdidos. Sem medidas de segurança adequadas, como proteções multi-sig ou pausas nas transações, a recuperação é quase impossível.
Outro fator chave é que a estrutura do Web3 cria incentivos para ameaças de segurança física. Os atacantes podem direcionar-se diretamente ao pessoal, algo que é muito menos comum no Web2. Isso torna as práticas de segurança operacional, incluindo a proteção das equipas, essenciais no Web3.
Quais métricas você usa para medir o sucesso das suas estratégias de segurança ao longo do tempo?
A métrica mais óbvia é se os nossos clientes sofrem uma exploração após receberem os nossos serviços. Para além disso, medimos como a melhoria da postura de segurança afeta as oportunidades de financiamento, parcerias e crescimento geral. Analisamos de forma holística como uma segurança forte contribui para o desempenho financeiro de uma empresa, a confiança dos usuários e o sucesso a longo prazo.
Como educa equipas de liderança não técnicas sobre riscos de segurança em alto nível?
Eu uso histórias e exemplos do mundo real. Por exemplo, posso levar uma equipe de liderança a conhecer um hack bem conhecido: quais medidas de segurança a empresa tinha em vigor, o que faltava e as consequências. As equipes de liderança estão menos interessadas em detalhes técnicos e mais preocupadas com o impacto potencial, se perderiam dados, fundos de clientes ou enfrentariam danos à reputação. Enquadrar os riscos de segurança em termos de resultados tangíveis ajuda-as a perceber por que investir em segurança é crítico.
Quais são alguns vetores de ataque emergentes em contratos inteligentes que as equipes ainda subestimam?
Desde o início do Web3, a maior parte dos orçamentos de segurança foi direcionada para contratos inteligentes. As equipes gastam milhões em auditorias, competições, recompensas por bugs e revisões por pares. Os atacantes sabem disso e estão mudando o foco para áreas menos protegidas, como componentes do Web2 e vulnerabilidades operacionais. Muitos ataques recentes se originaram fora dos contratos inteligentes.
Estamos a ajudar as equipas a abordar este desequilíbrio através de serviços como segurança operacional, resposta a incidentes 24/7 e equipas SOC geridas, cobrindo toda a superfície de ataque organizacional.
A IA ou a automação poderiam alguma vez substituir partes de uma avaliação de Cantina, ou a expertise humana é insubstituível?
É definitivamente uma abordagem híbrida. Já utilizamos a IA extensivamente para tarefas como remover spam de plataformas de competição e adicionar contexto a avaliações por pares. A IA é excelente em identificar vulnerabilidades e padrões conhecidos, o que acelera o processo de revisão inicial.
No entanto, os atacantes também são criativos e utilizam cada vez mais a IA. Até que a IA se torne mais inteligente e inventiva do que os humanos, sempre precisaremos de expertise humana para combater ameaças novas. O futuro é uma combinação de assistência de IA e pesquisadores qualificados.
O que o inspirou a criar avaliações especializadas além das auditorias tradicionais?
Desenvolvemos a nossa estrutura Web3 SOC em resposta às necessidades dos clientes. Os gestores de ativos e as empresas de capital de risco começaram a pedir-nos para realizar a devida diligência em empresas Web3, avaliando tanto os riscos de segurança quanto os riscos financeiros.
Percebemos que não havia uma forma padronizada de quantificar os riscos específicos do Web3. Estruturas de conformidade tradicionais como SOC 2 ou ISO não cobrem ameaças nativas do Web3. Assim, criamos um novo padrão para ajudar as empresas do Web3 a garantir financiamento e construir parcerias, ao mesmo tempo que ajudamos as instituições financeiras tradicionais a entender como se envolver com o Web3 de forma segura.
Este framework é agora uma colaboração com alguns dos maiores nomes da nossa indústria. Está a ganhar tração com as finanças tradicionais e gestores de ativos em todo o mundo.
Quais metodologias de segurança inovadoras você está experimentando agora? A IA é um grande foco. Estamos usando anos de dados sobre bugs para construir ferramentas de IA que melhoram a análise de código e tornam as revisões de segurança mais rápidas e econômicas. Também estamos aprimorando a triagem de recompensas por bugs para garantir que seja eficiente e acionável.
Muitos dos nossos serviços vêm diretamente das necessidades dos clientes, como recompensas por bugs e nossa estrutura SOC Web3. Hoje, vemos a análise de código impulsionada por IA como o próximo passo para tornar os processos de segurança mais eficientes e eficazes.
Poderia compartilhar o roteiro da Cantina? Alguma funcionalidade futura?
O nosso mais recente programa é a segurança operacional com resposta a incidentes 24/7. As finanças tradicionais há muito dependem de equipas SOC e ferramentas de monitorização, mas o Web3 tem ficado para trás.
Construímos um programa com ex-peritos em inteligência de ameaças da Coinbase para avaliar as superfícies de ataque de forma holística, através de Web2, Web3, ativos físicos e digitais. Uma vez que isso esteja em vigor, oferecemos um serviço de SOC gerido com analistas treinados a monitorizar ferramentas como Hypernative, Blockaid, Guardrails e HexaGate 24 horas por dia, prontos para agir em tempo real sobre as ameaças.
Este programa já ganhou uma tração significativa e, a seguir, estamos focados em lançar ferramentas de análise de código impulsionadas por IA para ajudar as equipes a construir de forma segura desde o início.
Finalmente, que conselho daria a uma startup Web3 sobre como integrar a segurança no seu roteiro desde o primeiro dia?
Comece a pensar na segurança desde cedo. Equipas que esperam até à fase de auditoria muitas vezes enfrentam atrasos, auditorias extras e, às vezes, precisam de reestruturar todo o seu produto. Investir em segurança desde o início poupa tempo e dinheiro.
Recomendamos ferramentas como análise de código impulsionada por IA, revisões de pares de terceiros e o uso de recursos como a nossa Lista de Verificação de Prontidão para Revisão de Segurança. Convidar regularmente perspectivas externas ajuda a identificar vulnerabilidades precocemente.
Para além do código, as startups também devem avaliar toda a sua superfície de ataque, tanto Web2 como Web3. Temos serviços para empresas em todos os estágios para as ajudar a abordar proativamente os riscos. Construir uma cultura de segurança desde o início prepara-o para o sucesso a longo prazo.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Garantindo o Ecossistema de Ativos Digitais com Cantina
Em Resumo
Sharon Ideguchi, líder de GTM na Cantina, discute a mudança no foco dos atacantes do código para as pessoas, enfatizando a necessidade de novas estruturas de segurança para proteger as empresas na indústria em rápida evolução.
Os hackers não estão apenas a atacar código, estão a ir atrás de pessoas. Nesta entrevista, Sharon Ideguchi, líder de GTM na Cantina (Spearbit), reflete sobre o seu caminho desde a cibersegurança tradicional até ao Web3, analisa como os atacantes estão a mudar o seu foco e explica por que a sua equipa está a construir novas estruturas de segurança para proteger as empresas num setor que está a evoluir mais rápido do que nunca.
Poderia compartilhar sua jornada para o Web3?
O meu nome é Sharon Ideguchi, e trabalho na Cantina na área de estratégia de vendas. Eu foco na criação de ofertas de produtos personalizadas para clientes empresariais, tecnologias emergentes e clientes nos setores financeiro institucional e tradicional. O meu trabalho centra-se inteiramente na segurança. A minha carreira até agora tem sido em cibersegurança, principalmente no Web2. Passei muitos anos em funções de cibersegurança tradicionais, trabalhando em áreas semelhantes à CrowdStrike e outras operações de segurança do dia a dia.
Com o tempo, vi o mercado a mudar rapidamente para o Web3 e reconheci-o como o futuro da tecnologia. Queria explorar como era a cibersegurança fora do meu background tradicional de Web2. Essa decisão levou-me à Cantina, e tenho trabalhado em segurança Web3 desde então.
Quais são as principais vantagens para os seus clientes de trabalharem exclusivamente com a Cantina?
Quando fundámos a Cantina há cerca de quatro anos, focámo-nos em incentivar os melhores talentos de segurança do mundo a trabalharem em projetos de segurança. Notámos que muitos investigadores altamente qualificados na área não estavam a trabalhar em segurança, muitas vezes porque não tinham autonomia e a capacidade de escolher projetos significativos ou contribuir profundamente para os protocolos.
Construímos um modelo para dar aos pesquisadores essa autonomia, e funcionou. Hoje, nossa rede inclui talentos em todas as linguagens de programação, cadeias, ecossistemas e especializações de nicho. Quando os clientes vêm até nós com um pedido de segurança, não apenas encontramos alguém qualificado; encontramos a melhor pessoa do mundo para esse trabalho, seja uma auditoria de contrato inteligente, recompensa por bugs, segurança operacional, resposta a incidentes ou testes Web2.
Você também trabalhou em segurança Web2. Quais tendências ou narrativas se destacam como únicas para o Web3?
Uma grande diferença é a natureza permanente da Web3 e a sua falta de intermediários. Na Web2, frequentemente existem terceiros para ajudar a mitigar riscos ou recuperar perdas. Na Web3, se os fundos forem roubados, geralmente estão perdidos. Sem medidas de segurança adequadas, como proteções multi-sig ou pausas nas transações, a recuperação é quase impossível.
Outro fator chave é que a estrutura do Web3 cria incentivos para ameaças de segurança física. Os atacantes podem direcionar-se diretamente ao pessoal, algo que é muito menos comum no Web2. Isso torna as práticas de segurança operacional, incluindo a proteção das equipas, essenciais no Web3.
Quais métricas você usa para medir o sucesso das suas estratégias de segurança ao longo do tempo?
A métrica mais óbvia é se os nossos clientes sofrem uma exploração após receberem os nossos serviços. Para além disso, medimos como a melhoria da postura de segurança afeta as oportunidades de financiamento, parcerias e crescimento geral. Analisamos de forma holística como uma segurança forte contribui para o desempenho financeiro de uma empresa, a confiança dos usuários e o sucesso a longo prazo.
Como educa equipas de liderança não técnicas sobre riscos de segurança em alto nível?
Eu uso histórias e exemplos do mundo real. Por exemplo, posso levar uma equipe de liderança a conhecer um hack bem conhecido: quais medidas de segurança a empresa tinha em vigor, o que faltava e as consequências. As equipes de liderança estão menos interessadas em detalhes técnicos e mais preocupadas com o impacto potencial, se perderiam dados, fundos de clientes ou enfrentariam danos à reputação. Enquadrar os riscos de segurança em termos de resultados tangíveis ajuda-as a perceber por que investir em segurança é crítico.
Quais são alguns vetores de ataque emergentes em contratos inteligentes que as equipes ainda subestimam?
Desde o início do Web3, a maior parte dos orçamentos de segurança foi direcionada para contratos inteligentes. As equipes gastam milhões em auditorias, competições, recompensas por bugs e revisões por pares. Os atacantes sabem disso e estão mudando o foco para áreas menos protegidas, como componentes do Web2 e vulnerabilidades operacionais. Muitos ataques recentes se originaram fora dos contratos inteligentes.
Estamos a ajudar as equipas a abordar este desequilíbrio através de serviços como segurança operacional, resposta a incidentes 24/7 e equipas SOC geridas, cobrindo toda a superfície de ataque organizacional.
A IA ou a automação poderiam alguma vez substituir partes de uma avaliação de Cantina, ou a expertise humana é insubstituível?
É definitivamente uma abordagem híbrida. Já utilizamos a IA extensivamente para tarefas como remover spam de plataformas de competição e adicionar contexto a avaliações por pares. A IA é excelente em identificar vulnerabilidades e padrões conhecidos, o que acelera o processo de revisão inicial.
No entanto, os atacantes também são criativos e utilizam cada vez mais a IA. Até que a IA se torne mais inteligente e inventiva do que os humanos, sempre precisaremos de expertise humana para combater ameaças novas. O futuro é uma combinação de assistência de IA e pesquisadores qualificados.
O que o inspirou a criar avaliações especializadas além das auditorias tradicionais?
Desenvolvemos a nossa estrutura Web3 SOC em resposta às necessidades dos clientes. Os gestores de ativos e as empresas de capital de risco começaram a pedir-nos para realizar a devida diligência em empresas Web3, avaliando tanto os riscos de segurança quanto os riscos financeiros.
Percebemos que não havia uma forma padronizada de quantificar os riscos específicos do Web3. Estruturas de conformidade tradicionais como SOC 2 ou ISO não cobrem ameaças nativas do Web3. Assim, criamos um novo padrão para ajudar as empresas do Web3 a garantir financiamento e construir parcerias, ao mesmo tempo que ajudamos as instituições financeiras tradicionais a entender como se envolver com o Web3 de forma segura.
Este framework é agora uma colaboração com alguns dos maiores nomes da nossa indústria. Está a ganhar tração com as finanças tradicionais e gestores de ativos em todo o mundo.
Quais metodologias de segurança inovadoras você está experimentando agora? A IA é um grande foco. Estamos usando anos de dados sobre bugs para construir ferramentas de IA que melhoram a análise de código e tornam as revisões de segurança mais rápidas e econômicas. Também estamos aprimorando a triagem de recompensas por bugs para garantir que seja eficiente e acionável.
Muitos dos nossos serviços vêm diretamente das necessidades dos clientes, como recompensas por bugs e nossa estrutura SOC Web3. Hoje, vemos a análise de código impulsionada por IA como o próximo passo para tornar os processos de segurança mais eficientes e eficazes.
Poderia compartilhar o roteiro da Cantina? Alguma funcionalidade futura?
O nosso mais recente programa é a segurança operacional com resposta a incidentes 24/7. As finanças tradicionais há muito dependem de equipas SOC e ferramentas de monitorização, mas o Web3 tem ficado para trás.
Construímos um programa com ex-peritos em inteligência de ameaças da Coinbase para avaliar as superfícies de ataque de forma holística, através de Web2, Web3, ativos físicos e digitais. Uma vez que isso esteja em vigor, oferecemos um serviço de SOC gerido com analistas treinados a monitorizar ferramentas como Hypernative, Blockaid, Guardrails e HexaGate 24 horas por dia, prontos para agir em tempo real sobre as ameaças.
Este programa já ganhou uma tração significativa e, a seguir, estamos focados em lançar ferramentas de análise de código impulsionadas por IA para ajudar as equipes a construir de forma segura desde o início.
Finalmente, que conselho daria a uma startup Web3 sobre como integrar a segurança no seu roteiro desde o primeiro dia?
Comece a pensar na segurança desde cedo. Equipas que esperam até à fase de auditoria muitas vezes enfrentam atrasos, auditorias extras e, às vezes, precisam de reestruturar todo o seu produto. Investir em segurança desde o início poupa tempo e dinheiro.
Recomendamos ferramentas como análise de código impulsionada por IA, revisões de pares de terceiros e o uso de recursos como a nossa Lista de Verificação de Prontidão para Revisão de Segurança. Convidar regularmente perspectivas externas ajuda a identificar vulnerabilidades precocemente.
Para além do código, as startups também devem avaliar toda a sua superfície de ataque, tanto Web2 como Web3. Temos serviços para empresas em todos os estágios para as ajudar a abordar proativamente os riscos. Construir uma cultura de segurança desde o início prepara-o para o sucesso a longo prazo.