كيف سيبدو الأمن ومنع التهديدات في Web3؟
تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.
يقول البعض إنه هنا بالفعل. يقول آخرون إنه جزء من الطريق هناك. لا يزال البعض الآخر يؤكد أن الطريق بعيد المنال.
على أي حال ، فإن الحقيقة الأساسية لا جدال فيها: Web3 هو التكرار التالي للإنترنت – التطور من الاستخدام السلبي في Web1 ، إلى القدرة على المساهمة بنشاط في Web2 ، لإكمال ملكية البيانات.
ولكن على الرغم من الترويج لللامركزية ومركزية المستخدم (والبيانات) ، عندما يتعلق الأمر بالأمان واكتشاف التهديدات ، فإن “Web3 متفوقًا وبسيطًا وبسيطًا” ، كما يؤكد كريستيان سيفرت من شبكة Forta Network. “نحن بحاجة إلى إجراءات جديدة وأسرع وأكثر جراحية للوقاية من التهديدات ، ونحتاج إليها الآن.”
لذا فإن السؤال هو: كيف يمكن أن يبدو الأمن ومنع التهديدات في Web3؟
حدث
قمة أمنية ذكية عند الطلب
تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.
مشاهدة هنا
لكن أولاً: ما هو Web3 بالضبط؟
ببساطة ، Web3 هو الإنترنت بدون آلية تحكم مركزية. العمود الفقري لها هو blockchain ، وهي تقنية وصفتها Gartner بأنها “قائمة موسعة من سجلات المعاملات الموقعة بالتشفير والتي لا رجعة فيها والتي يشاركها جميع المشاركين في الشبكة.”
تعتمد تقنية Blockchain على المفهوم الأوسع لدفاتر الأستاذ الموزعة. يحتوي كل سجل على طابع زمني وارتباطات مرجعية للمعاملات السابقة.
كما يؤكد ReportLinker: “باستخدام تقنية blockchain ، يمكن للويب 3.0 إحداث ثورة في استخدام الإنترنت. يمكن أن يعطي الإنترنت بعدًا جديدًا تمامًا “.
تتوقع الشركة أن يصل حجم سوق Web3 blockchain العالمي إلى 12.5 مليار دولار بحلول عام 2028 ، وهو ما يمثل معدل نمو سنوي مركب (CAGR) يزيد عن 38٪.
شبكة ويب مبنية على بنيات الهوية اللامركزية
وصف أفيفاه ليتان ، محلل نائب الرئيس المتميز لشركة Gartner ، الإنترنت الحالي بأنه “ويب 2.5”.
وقالت إن خدمات هوية عملاء Web2 وهوية المؤسسة التقليدية وإدارة الوصول (IAM) “لم تعد قابلة للتطوير”. أيضًا ، لم تعد بعض خدمات حفظ الأصول الرقمية الخاصة بـ Web2 – خاصة تلك التي لا تخضع للتنظيم – جديرة بالثقة.
وأوضحت أن Web3 ستدعم في نهاية المطاف ملكية المستخدم للبيانات والخوارزميات من خلال بنى الهوية اللامركزية (DCI) ، والترميز والمحافظ ذاتية الاستضافة. هذه الأنظمة اللامركزية تزيل في النهاية الحاجة إلى التحقق المتكرر للهوية عبر الخدمات ، وتدعم خدمات المصادقة المشتركة عن طريق إزالة الحاجة إلى أوراق اعتماد متعددة.
يقترب عصر Web3 سريعًا: تتوقع شركة Gartner أنه بحلول عام 2025 ، سيكون لدى 10٪ على الأقل من المستخدمين الذين تقل أعمارهم عن 20 عامًا محفظة هوية لامركزية على أجهزتهم المحمولة لإدارة سمات هويتهم وتقديم مطالبات يمكن التحقق منها.
نقاط ضعف Blockchain
وأشار ليتان إلى أن مجرد تأمين بيانات blockchain بشكل مشفر لا يعني أن البيانات شرعية دائمًا.
هناك الكثير من نقاط الضعف في [blockchain] الشبكات ، “قالت.
والجدير بالذكر أن هناك خمسة من أهم متجهات تهديد أمان blockchain:
- تؤدي نقاط ضعف المستخدم مثل الهوية المسروقة أو المزيفة أو نقاط النهاية غير الآمنة أو إدارة بيانات الاعتماد الضعيفة (كلمات المرور والمفاتيح الخاصة) إلى الاستيلاء على حساب المستخدم. (تشمل الحلول المحتملة إثبات الهوية ، وحماية نقطة النهاية ، ومصادقة المستخدم.)
- تؤدي نقاط ضعف API و Oracle بما في ذلك الأخطاء والاستغلال والبيانات غير الصالحة إلى الاستيلاء على الحساب وتنفيذ العقد الذكي غير الصحيح. (الحلول الممكنة: الإجماع اللامركزي على البيانات يقرأ ويكتب ، والتحقق من صحة البيانات)
- تؤدي نقاط الضعف في البيانات خارج وخارج السلسلة حول أمان البيانات وسرية البيانات وسلامة البيانات وصلاحيتها إلى فشل العملية واختراق البيانات. (الحلول المحتملة: تخزين البيانات خارج السلسلة ، بروتوكولات الحفاظ على الخصوصية ، التحكم في وصول المستخدم)
- تؤدي نقاط الضعف في العقود الذكية ، بما في ذلك الأخطاء والاستغلال والتنفيذ غير المصرح به ، إلى السرقة والتلاعب بالمعلومات.
- تؤدي نقاط الضعف في العقدة ، بما في ذلك التهديد من الداخل ، وعرض البيانات والتعرض الموزع للتطبيق ، إلى سرقة الأموال / القيمة واختراق البيانات والتلاعب بالمعلومات.
أشار Litan إلى أن العقود الذكية هي نوع من سجلات blockchain التي تحتوي على كود مكتوب خارجيًا ، والتحكم في الأصول الرقمية القائمة على blockchain. تعد عقود DeFi الذكية أهدافًا رئيسية: على سبيل المثال ، من يناير إلى أغسطس 2020 ، كان هناك ستة عمليات اختراق من DeFi تم استغلال أخطاء العقود الذكية ، مع سرقة مئات الآلاف من الدولارات.
وقالت إن تدابير الوقاية المحتملة لهذا النوع من الهجوم تشمل مراجعات الكود ، وتنفيذ العقد الذكي الأساسي ، والتحكم الدقيق في الوصول إلى العقود الذكية. وفي الوقت نفسه ، يمكن أن تشمل طرق الكشف اكتشاف السلوك الشاذ ، وتحليل التنفيذ الديناميكي أثناء وقت التشغيل ، ومسح الثغرات الأمنية ، والتحليل الجنائي.
نموذج منع التهديدات اليوم
اليوم ، تعتمد بروتوكولات Forta Seifert بشكل أساسي على عمليات تدقيق العقود الذكية لأمنها.
ووفقًا لأبحاث Forta ، فقد ارتفعت الأموال المفقودة في عمليات استغلال العقود الذكية من 215 مليون دولار في عام 2020 إلى 2.7 مليار دولار في عام 2022.
لذلك ، يجب على المنظمات أن تنظر في أمن ما بعد الانتشار ، قال سيفرت. يجب أن يسألوا أنفسهم ، على سبيل المثال: “ماذا يحدث عندما يتعرض بروتوكولهم للهجوم بسبب ثغرة أمنية غير معروفة؟ من الذي يتم إخطاره؟ كيف يتم تخفيف تلك الهجمات؟ “
علاوة على ذلك ، تُرك المستخدمون النهائيون في الغالب دون دعم “. “التصيد الاحتيالي وسرقة الأصول الرقمية أمر بارز”.
مثل Litan ، يؤكد أن Web3 قد تحقق “جزئيًا” ، “ولكن هناك الكثير من العمل الذي يتعين القيام به” عندما يتعلق الأمر بمنع التهديدات.
على سبيل المثال ، لا تزال العديد من الخدمات تعتمد على البنية التحتية التي تخلق نقاط فشل واحدة ، وتجربة المستخدم “مرهقة للغاية” ، مما يعيق التبني على نطاق أوسع ، كما قال. وهناك العديد من القضايا المتعلقة بالخصوصية والأمن التي أدت إلى خسارة مليارات الدولارات.
وقال إن العامل الأخير ، على وجه الخصوص ، هو “تآكل الثقة في Web3”.
منع تهديد الغد
في حين أن منع التهديدات الحالية هو ببساطة “إيقاف البروتوكول مؤقتًا” ، يجب على المنظمات أن تزود نفسها بالقدرة على تحديد النشاط الضار في الوقت الفعلي والاستجابة بسرعة.
وقال سيفرت إنه مع حدوث الهجمات “بسرعة كبيرة” ، يمكن للمنظمات الاستعداد من خلال تبني مثل هذه القدرات والأدوات مثل تصفية المعاملات والرموز القابلة للاسترداد.
نظرًا لأن هذه الأساليب الممكنة لها إيجابيات وسلبيات ، يجب أن تثبت الصناعة مفهومها (POC) مع مشاريع في العالم الحقيقي لكشف ما ينجح وما لا ينجح.
وقال “هذه الجهود يجب أن تؤدي بعد ذلك إلى معايير يمكن أن تتبناها الصناعة الأوسع”.
كيف يمكن أن ينجح Web3؟
قال سيفرت إنه في هذه المرحلة لا يرى أي راحة من الاختراقات ؛ ويتوقع أنه “سيكون هناك المزيد من الألم” قبل أن يطلب المستخدمون شيئًا أكثر أمانًا وقوة.
ومع ذلك ، فإنه يتوقع حدوث تقدم في استخبارات التهديدات. يجب دمج هذا على مستويات متعددة: من المحافظ إلى البورصات المركزية إلى أسواق NFT إلى موفري البنية التحتية.
وقال إن هناك العديد من أوجه التشابه في منع تهديدات Web3 لصناعة الأمن التقليدية. ومع ذلك ، أضاف ، هناك نقص عام في المهارات ، لذا فهو يشجع المزيد من باحثي أمان Web2 على أن يصبحوا نشطين في مساحة Web3.
وقال في نهاية المطاف ، “إذا تعذر حل المشكلات الأمنية ، فأنا متشائم من أن Web3 يمكن أن تنجح”.
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.