Gần đây, Sui Network có cuộc trò chuyện với Christian Thompson, Phó Giám đốc An ninh Thông tin (CISO) của Mysten Labs, để hiểu hơn về cách nhóm bảo mật hoạt động trong quá trình phát triển Sui.
Bài viết dưới đây tổng hợp những nội dung cuộc phỏng vấn.
Câu hỏi: Vai trò của CISO đối với các công ty công nghệ là gì?
Christian Thompson: Trách nhiệm của Giám đốc An ninh Thông tin (CISO) rất rộng và đóng vai trò quan trọng trong việc đảm bảo môi trường kỹ thuật số. Một trong những nhiệm vụ quan trọng là thu thập thông tin tình báo về mối đe dọa, bao gồm việc hiểu rõ hơn về suy nghĩ của những kẻ tấn công tiềm năng: họ là ai, tại sao họ có thể nhắm mục tiêu vào chúng ta, khi nào họ có thể tấn công, điều gì thúc đẩy họ và mức độ kỹ năng của họ trong các phương pháp tấn công.
Khi có cái nhìn về các đối thủ tiềm ẩn và hiểu được khả năng của họ, chúng ta có thể thực hiện các hành động chủ động để bảo vệ hệ thống. Ví dụ: chúng tôi có thể kết hợp các chiến thuật đã biết của họ với các khu vực trong hệ thống có khả năng dễ bị tấn công nhất. Nó giống như có sẵn một hệ thống phòng thủ để phát ra âm thanh báo động ngay khi ai đó cố gắng vi phạm ranh giới kỹ thuật số.
Giống như hệ thống báo động cảnh báo khi có ai đó đang cố đột nhập vào nhà, thiết lập phòng thủ này có thể cảnh báo cho chúng tôi trong thời gian thực về bất kỳ hoạt động đáng ngờ nào. Điều này có nghĩa là chúng tôi có thể phản ứng nhanh chóng với các mối đe dọa tiềm ẩn và thực hiện các bước thích hợp để giảm thiểu rủi ro.
Những trọng tâm này bao gồm nhiều lĩnh vực, bao gồm an ninh mạng, quản lý dữ liệu, rủi ro trên các miền, kiến trúc, tuân thủ, quản trị, khả năng phục hồi và báo cáo.
Một phần vai trò của CISO cũng mở rộng để bảo vệ các thành viên trong nhóm nội bộ. Chúng tôi dành nhiều nỗ lực để hiểu mức độ rủi ro của các thành viên trong nhóm. Các mức độ rủi ro này có thể thay đổi đáng kể, đặc biệt là khi các thành viên trong nhóm đi đến các khu vực bạo lực hoặc không an toàn.
Câu hỏi: Mối quan tâm về bảo mật khác nhau như thế nào khi xem xét một blockchain Layer-1 như Sui?
Christian Thompson: Để tạo ra một chiến lược phòng thủ gắn kết như blockchain Sui, nhiều chức năng và dịch vụ phải được kết hợp. Chiến lược này phải tập trung vào các lĩnh vực được coi là yếu, nhưng không dừng lại ở đó – cộng đồng Sui có trách nhiệm bảo vệ lợi ích của toàn bộ hệ sinh thái, bao gồm web và các nhà phát triển xây dựng ứng dụng trên nền tảng Sui. Đạt được sự xuất sắc trong bảo mật là một công việc tốn kém và đầy thách thức, đặc biệt là đối với các công ty khởi nghiệp.
Sui Foundation đang phát triển một sản phẩm sẽ mở rộng các biện pháp bảo mật cho hệ sinh thái lớn hơn. Trên thực tế, Sui Foundation sẽ cung cấp cho các công ty nhỏ hơn các công cụ và dịch vụ bảo mật thường chỉ dành cho các tổ chức lớn hơn. Điều này cho phép họ xây dựng trong một môi trường an toàn hơn, tăng sự tin tưởng của người dùng cuối và cơ quan quản lý. Mục tiêu của chúng tôi là đảm bảo rằng khi mọi người xây dựng trên Sui, họ không chỉ làm việc hiệu quả mà còn an toàn.
Câu hỏi: Những công cụ và dịch vụ nào được sử dụng trong quá trình duy trì bảo mật blockchain?
Christian Thompson: Biểu đồ dưới đây cho thấy các loại dịch vụ và công cụ mà tôi cho rằng một nhóm bảo mật lành nghề sẽ sử dụng ngày nay. Các yếu tố này đại diện cho tập hợp đa dạng các dịch vụ cần thiết để xây dựng một khung bảo mật mạnh mẽ. Cần phải nhận ra rằng hiệu quả thực sự không nằm ở sự tồn tại riêng lẻ của từng dịch vụ, mà nằm ở sự tương tác phức tạp giữa chúng. Điều này bao gồm việc hiểu mối quan hệ qua lại của chúng, trình tự thực hiện chúng và sức mạnh tổng hợp mà chúng tạo ra.
Đối với các dịch vụ được liệt kê trên sơ đồ, Sui Network sử dụng các công cụ hoặc dựa vào các nhà cung cấp dịch vụ để triển khai chúng. Sui Foundation có kế hoạch đóng gói các thành phần này và cung cấp chúng cho bất kỳ doanh nghiệp nào muốn sử dụng chúng với đầy đủ tiện ích của chúng. Do đó, các khu vực được chia ngăn trong sơ đồ đại diện cho các kho lưu trữ có cấu trúc tốt sẽ được khám phá, sẵn có cho các thực thể đang tìm cách tăng cường bảo mật.
Câu hỏi: Có nhiều yếu tố trong sơ đồ này. Chúng có bình đẳng và liên kết chặt chẽ với nhau không? Hay có cơ chế ưu tiên?
Christian Thompson: Có những ưu tiên và triết lý đằng sau biểu đồ này đã được cân nhắc kỹ lưỡng. Giống như bắt đầu lại và tìm ra điều gì cần chú ý ngay lập tức, bạn có thể coi đó là việc xây dựng một khối bảo mật hoặc bộ công cụ cơ bản. Công cụ này có thể bao gồm cái mà chúng tôi gọi là “bảo vệ thương hiệu”, có nghĩa là cảnh giác với bất kỳ tác hại nào có thể ảnh hưởng đến danh tiếng của công ty bạn. Nó liên quan đến việc thu thập thông tin tình báo để theo dõi và giảm thiểu bất kỳ thương hiệu tiêu cực nào. Ngoài ra, sự chính trực cũng là yếu tố then chốt, nghĩa là bộ công cụ này có khả năng phát hiện và xử lý những tổn hại có thể xảy ra đối với hình ảnh thương hiệu.
Bây giờ, bộ công cụ không phải là một kích cỡ phù hợp với tất cả. Các tổ chức khác nhau có thể cần các bộ công cụ khác nhau được điều chỉnh để phù hợp với các mục đích riêng của họ. Ví dụ, một công ty liên quan chặt chẽ đến mã hóa, họ có thể ưu tiên phát triển khả năng phát hiện lỗ hổng.
Điều này liên quan đến việc xem xét kỹ lưỡng các hệ thống để tìm các lỗ hổng tiềm ẩn và tiến hành các tác vụ như làm mờ để kiểm tra căng thẳng mã của chúng. Mặt khác, hãy xem xét một công ty tài chính phi tập trung so với một công ty trò chơi. Một công ty tài chính phi tập trung có thể hướng tới một bộ công cụ tập trung vào rủi ro, quản trị và tuân thủ quy định. Ngược lại, một công ty trò chơi có thể tập trung nhiều hơn vào hoạt động, trí thông minh và một số lớp kỹ thuật bảo mật.
Về cơ bản, sơ đồ này tóm tắt khái niệm điều chỉnh các chính sách bảo mật cho các nền văn hóa và ưu tiên khác nhau của các loại hình công ty khác nhau.
Câu hỏi: Về mặt kỹ thuật, làm thế nào để bạn giữ an toàn cho mạng khi bất kỳ ai cũng có thể truy cập và tham gia vào mạng đó?
Christian Thompson: Khái niệm về bộ công cụ đóng một vai trò quan trọng trong việc duy trì tính bảo mật của toàn bộ hệ sinh thái. Vẻ đẹp của một public chain là bản chất phi tập trung, cho phép nhiều người xem xét kỹ lưỡng các khía cạnh. Vì vậy, khả năng xây dựng các công cụ cần thiết và tạo điều kiện thuận lợi cho giáo dục là rất quan trọng.
Hãy tưởng tượng điều này: Mọi người trong hệ sinh thái không chỉ cần hiểu những gì đang diễn ra mà còn cả những công cụ có sẵn và cách sử dụng chúng một cách hiệu quả. Điều đáng chú ý là nhiều yếu tố ảnh hưởng đến hệ sinh thái vượt ra ngoài chính blockchain. Các cuộc thảo luận trên mạng xã hội, nỗi sợ hãi, sự không chắc chắn và nghi ngờ (FUD) và khả năng gian lận đều có thể tác động đến hệ sinh thái. Điều này đòi hỏi phải nhấn mạnh tầm quan trọng của nhận thức toàn diện.
Yếu tố quan trọng thứ ba là trao đổi thông tin trong cộng đồng. Khi các cá nhân có thể giao tiếp và cộng tác, họ sẽ nâng cao nền tảng kiến thức tập thể. Vì vậy, đó là cách tiếp cận ba hướng: giáo dục kiến thức, thông tin để hiểu rõ về ngành và công cụ để hành động. Sự kết hợp này cung cấp cho các cộng đồng khả năng không chỉ hiểu mà còn ảnh hưởng tích cực đến các loại hành vi.
Câu hỏi: Giao tiếp hiện tại giữa hệ sinh thái Sui như thế nào?
Christian Thompson: Hệ sinh thái Sui giao tiếp theo nhiều cách khác nhau. Hội nghị Trình xác thực gần đây là dịp để các cá nhân kết nối với nhau và trao đổi thông tin chi tiết. Sự kiện Builder Houses cũng mang đến cơ hội như vậy cho tất cả mọi người. Ngoài ra, tôi được biết rằng Sui Foundation có kế hoạch xuất bản một loạt bài viết tập trung vào bảo mật của Sui trong tương lai gần.
Các kênh liên lạc hàng ngày như Discord và Telegram, tạo điều kiện thuận lợi cho các tương tác giữa người xác thực, người vận hành node và các bên quan tâm khác. Các diễn đàn này không chỉ nâng cao nhận thức về sự hợp tác mà còn mở rộng theo thời gian, tạo ra một nền tảng không ngừng phát triển để thảo luận và chia sẻ kiến thức.
Câu hỏi: Sui Move được thiết kế để vốn đã an toàn hơn các ngôn ngữ lập trình blockchain khác. Điều này ảnh hưởng như thế nào đến cách Sui xử lý bảo mật?
Christian Thompson: Không nghi ngờ gì khi Move an toàn hơn một số ngôn ngữ lập trình khác. Tôi muốn nói thêm rằng nhiều người trong nhóm ban đầu tham gia phát triển Sui đều tập trung vào bảo mật. Vì vậy, vấn đề không chỉ là về ngôn ngữ, mà còn là cách các thành phần khác nhau của Sui được xây dựng như thế nào, khiến nó trở nên linh hoạt hơn và khó khai thác hơn. Tất nhiên, điều đó không có nghĩa là không có những người thông minh như nhau trong lĩnh vực bảo mật. Được ưu đãi đủ, họ cũng sẽ làm việc chăm chỉ để tìm ra sơ hở. Do đó, các chuyên gia cần hiểu ai, khi nào, ở đâu, tại sao và làm thế nào điều này có thể xảy ra. Đó là những gì chúng tôi đang tập trung vào.
Câu hỏi: Các sự kiện khai thác bảo mật trong Web3 ảnh hưởng đến công việc đang diễn ra của Sui như thế nào?
Christian Thompson: Thật không may, khi có một lỗ hổng trong Web3, nó luôn thu hút rất nhiều sự chú ý. Tuy nhiên, đây cũng là những kinh nghiệm học tập quý giá. Chúng nhắc nhở các chuyên gia bảo mật đi sâu vào cơ chế của các lỗ hổng, như thế nào, cái gì, khi nào, ai và tại sao. Những hiểu biết sâu sắc này cung cấp cái nhìn sâu sắc bổ sung vào lĩnh vực rộng lớn hơn.
Sui Foundation đã dành nhiều nguồn lực bảo mật quan trọng để tìm hiểu danh tính và khả năng của những tác nhân đe dọa này, tập trung vào việc giải mã các mục tiêu và động cơ ưa thích của chúng.
Những lỗ hổng này mang lại cho chúng ta hai tiết lộ khác nhau. Đầu tiên, có sự cảm thông cho những người bị ảnh hưởng vì những sự kiện này ảnh hưởng đến người thật. Thứ hai, đây là cơ hội để tăng cường chiến lược của Sui. Những bài học này cho phép Sui tinh chỉnh và củng cố vị trí của mình trước những rủi ro tương tự.
Câu hỏi: Quan điểm của bạn về bảo mật trong tương lai của Web3 là gì?
Christian Thompson: Chúng ta đang đứng trước ngưỡng cửa của một kỷ nguyên mới được đánh dấu bằng sự ra đời của Web3 và những công nghệ như trí tuệ nhân tạo (AI), máy học, thực tế tăng cường, thực tế ảo… Điều làm tôi phấn khích là tiềm năng đáng kinh ngạc nằm bên trong. Chúng ta sắp được trải nghiệm các giao diện có độ chân thực cao và truy cập thông tin nhanh hơn theo những cách chưa từng có trước đây.
Sự thay đổi này cũng mở rộng sang bảo mật. Hãy tưởng tượng có một đối tác AI có thể xác định các mối đe dọa tiềm tàng đối với chúng ta, thậm chí có thể là một kịch bản AI so với AI. Chắc chắn rằng đây là những gì chúng tôi đang hướng tới và tôi hy vọng Sui sẽ đi đầu trong các công nghệ tiên tiến này.
