通过Cantina保护数字资产生态系统

简要

Sharon Ideguchi，Cantina 的 GTM 负责人，讨论了攻击者关注点从代码转向人类的转变，强调了在快速发展的行业中保护公司的新安全框架的必要性。

黑客不再只是针对代码，他们现在开始针对人。在这次采访中，Cantina (Spearbit)的GTM负责人Sharon Ideguchi回顾了她从传统网络安全到Web3的历程，分析了攻击者如何转变关注点，并解释了她的团队为何在一个发展速度比以往更快的行业中构建新的安全框架来保护公司。

您能分享一下您在Web3的旅程吗？

我叫Sharon Ideguchi，我在Cantina的销售策略部门工作。我专注于为企业级客户、新兴技术以及机构和传统金融领域的客户创建定制产品方案。我的工作完全集中在安全性上。到目前为止，我的职业生涯一直在网络安全领域，主要是在Web2。我在传统网络安全角色上花了很多年，工作领域类似于CrowdStrike和其他日常安全操作。

随着时间的推移，我看到市场迅速向Web3转变，并将其视为技术的未来。我想探索在我的传统Web2背景之外，网络安全的样子。这个决定让我来到了Cantina，从那时起我一直在从事Web3安全工作。

与Cantina独家合作对您的客户的主要优势是什么？

当我们在大约四年前创办Cantina时，我们专注于激励世界上最优秀的安全人才参与安全项目。我们注意到许多在该领域的高技能研究人员并没有从事安全工作，往往是因为他们缺乏自主权，无法选择有意义的项目或深度参与协议的能力。

我们建立了一个模型，让研究人员拥有自主权，并且它奏效了。今天，我们的网络包括所有编程语言、链、生态系统和专业领域的人才。当客户向我们提出安全请求时，我们不仅仅是找到合适的人选；我们会找到全球最优秀的人来完成这项工作，无论是智能合约审计、漏洞赏金、运营安全、事件响应还是Web2测试。

您在Web2安全领域也有工作经验。哪些关键趋势或叙事在Web3中显得独特？

一个主要的区别是Web3的永久性以及缺乏中介。在Web2中，通常会有第三方来帮助降低风险或恢复损失。而在Web3中，如果资金被盗，通常就会消失。如果没有适当的安全措施，如多重签名保护或交易暂停，恢复几乎是不可能的。

另一个关键因素是，Web3的结构创造了对物理安全威胁的激励。攻击者可能直接针对人员，这在Web2中是远不常见的。这使得运营安全实践，包括保护团队，在Web3中变得至关重要。

您使用哪些指标来衡量安全策略随时间的成功？

最明显的指标是我们的客户在接受我们的服务后是否遭受了攻击。除此之外，我们还衡量改进的安全态势如何影响资金机会、合作伙伴关系和整体增长。我们从整体上考虑强大的安全性如何促进公司的财务表现、用户信任和长期成功。

您如何向非技术领导团队普及高级安全风险？

我使用讲故事和现实世界的例子。例如，我可能会带领一个领导团队回顾一个众所周知的黑客事件：公司采取了哪些安全措施，缺少了什么，以及事后的情况。领导团队对技术细节不太感兴趣，更关心潜在的影响，无论是失去数据、客户资金，还是面临声誉损害。从有形结果的角度框架安全风险，有助于他们理解为什么投资安全至关重要。

智能合约中团队仍然低估的一些新兴攻击向量是什么？

自Web3开始以来，大多数安全预算都投入到了智能合约上。团队在审计、竞赛、漏洞悬赏和同行评审上花费了数百万。攻击者意识到了这一点，并将注意力转向了像Web2组件和操作漏洞这样保护较少的领域。最近许多攻击源于智能合约之外。

我们通过运营安全、24/7 事件响应和托管 SOC 团队等服务，帮助团队解决这种不平衡问题，覆盖整个组织的攻击面。

人工智能或自动化能否替代部分餐馆评论，还是人类的专业知识是不可替代的？

这绝对是一种混合方法。我们已经广泛使用人工智能来处理去垃圾邮件竞争平台和为同行评审添加上下文等任务。人工智能在识别已知漏洞和模式方面表现出色，这加快了初步审查过程。

然而，攻击者也很有创造力，并且越来越多地使用人工智能。直到人工智能变得比人类更聪明和更具创造力，我们始终需要人类的专业知识来应对新出现的威胁。未来是人工智能辅助与熟练研究者的结合。

是什么激励您创建超越传统审计的专业评估的？

我们开发了我们的Web3 SOC框架，以响应客户的需求。资产管理公司和风险投资公司开始要求我们对Web3公司进行尽职调查，评估安全和财务风险。

我们意识到没有标准化的方法来量化Web3特定的风险。传统的合规框架，如SOC 2或ISO，并未涵盖Web3原生威胁。因此，我们创建了一个新的标准，以帮助Web3公司获得资金并建立合作关系，同时也帮助传统金融机构了解如何安全地与Web3互动。

该框架现在与我们行业内一些最大牌的公司合作。它在全球传统金融和资产管理公司中获得了关注。

**您目前正在实验哪些创新的安全方法论？**人工智能是一个重点。我们正在利用多年的漏洞数据构建人工智能工具，以改善代码分析，并使安全审查更快、更具成本效益。我们还在增强漏洞赏金的分类，以确保其高效且可行。

我们的许多服务直接来源于客户需求，例如漏洞悬赏和我们的Web3 SOC框架。今天，我们将AI驱动的代码分析视为使安全流程更加简化和有效的下一步。

您能分享Cantina的路线图吗？有什么即将推出的功能？

我们最新的项目是运营安全，提供24/7的事件响应。传统金融长期以来依赖于SOC团队和监控工具，但Web3却落后于此。

我们与前 Coinbase 威胁情报专家合作建立了一个程序，以全面评估攻击面，包括 Web2、Web3、物理和数字资产。一旦这项工作完成，我们提供管理的 SOC 服务，经过培训的分析师全天候监控 Hypernative、Blockaid、Guardrails 和 HexaGate 等工具，准备实时应对威胁。

该程序已经获得了显著的关注，接下来，我们将专注于推出人工智能驱动的代码分析工具，以帮助团队从一开始就安全构建。

最后，您会给Web3初创公司什么建议，以便从第一天起就在其路线图中建立安全性？

尽早开始考虑安全性。等待到审计阶段的团队往往会面临延迟、额外的审计，有时还需要重新架构整个产品。从一开始就投资于安全性可以节省时间和金钱。

我们推荐使用人工智能驱动的代码分析、第三方同行评审等工具，以及使用我们的安全审查准备清单等资源。定期邀请外部视角有助于及早识别漏洞。

除了代码，初创公司还应评估其完整的攻击面，包括Web2和Web3。我们为各个阶段的公司提供服务，帮助他们主动应对风险。早期建立以安全为首的文化为长期成功奠定了基础。