Автоматичне реагування на інциденти — ключ до надійної інституційної кібербезпеки

Станом на серпень 2023 року користувачі Web3 втратили майже 1 мільярд доларів США через різні хакерські атаки, шахрайство та експлойти. Тільки за 3 квартал 2023 року збитки перевищили 700 мільйонів доларів.

Експерти зі спільноти Forta виявили, що проекти не вчасно реагують і не зупиняють атаки, незважаючи на виявлення загроз у реальному часі ефективними детекторними ботами. Це пов’язано з надмірною (або нав’язливою) зосередженістю на коді порівняно з більш цілісним підходом до безпеки смарт-контрактів.

Таким чином, проактивне пом’якшення загрози є актуальною умовою, оскільки сценарії використання блокчейну відновлюють свою популярність після річного спаду. Ставки зростають із зростанням щоденних взаємодій з унікальним активним гаманцем (dUAW), обсягів торгів і участі організацій.

Бот Forta Attack Detector Bot вже довів свою спроможність у виявленні загроз і аномалій у реальному часі за допомогою вдосконалених моделей AI та ML. Спільнота їхніх розробників зараз використовує інноваційну систему реагування на інциденти (IR) OpenZeppelin, щоб вирішити проблему із запобіжної сторони.

Значення автоматичного запобігання загрозам

Web3 є однією з галузей, що розвиваються найшвидше, але більшість протоколів Web3 не можуть зупинити експлойт, навіть якщо його виявлено за кілька хвилин.

Вони «не можуть нічого зробити так швидко». Призупинення протоколу займає приблизно 24 години, що часто є єдиним способом запобігання виявленим загрозам. Для галузі, де масштабування означає успіх, це більше, ніж ціла вічність.

Біржа або ринок, де тисячі користувачів переміщують активи на мільйони доларів, не може зайняти цілий день, щоб відреагувати на загрозу. Оскільки зловмисники постійно винаходять нові способи втілення більш руйнівних експлойтів, це їхній спосіб масштабування.

Індустрія Web3 повинна або йти в ногу зі своїми ворогами, або загинути. Тут немає двох шляхів.

Однак гіперцентралізована архітектура безпеки Web2 не є варіантом. Вкрай важливо створювати та запроваджувати системи, засновані на прогресивних принципах Web3: децентралізація, автоматизація, прозорість та орієнтація на спільноту.

З цією метою ідеальною альтернативою є системи пом’якшення загроз і реагування на основі коду. Вони розкривають цілісну парадигму безпеки, де ефективні роботи-детектори та автоматичні вимикачі працюють синхронно. І ця новаторська розробка особливо добре підійде для інституційних випадків використання, де і вартість експлойту, і кібербезпека дуже високі.

Як працює реагування на інциденти (IR).

OpenZeppelin інтегрував IR у свій Defender v2, дозволяючи «миттєво виявляти, реагувати та усувати загрози й атаки за допомогою попередньо визначених дій і сценаріїв».

Окрім моделювання атак і тестування сценаріїв реального світу, ви можете використовувати ІЧ для:

• Створюйте самовиконувані робочі процеси пом’якшення загроз, які автоматично виконують запобіжні дії за заздалегідь визначеними сценаріями.
• Поєднайте IR з протоколами виявлення загроз і моніторингу в реальному часі, щоб використовувати потужність машинного навчання та штучного інтелекту в кібербезпеці, виявляючи аномальні шаблони та загрози до їх появи.
• Скоротіть час відповіді з ~24 годин максимум до кількох секунд.
• Отримайте доступ до «Runbooks», щоб децентралізувати та оптимізувати операції безпеки по всьому світу.

Дії

IR має два типи дій як основні будівельні блоки: автоматичні дії та шаблони транзакцій. Перший передбачає автоматичні транзакції, ініційовані даними Relayer або multisig;останній представляє транзакції на вимогу, визначені за допомогою форм без коду.

Якщо говорити простою мовою, Actions — це інтуїтивно зрозумілий, зручний для розробника/користувача спосіб побудови сценаріїв інфрачервоного зв’язку. Їх можна використовувати, наприклад, для призупинення смарт-контрактів, створення чорного списку потенційно зловмисних адрес на основі аналізу даних і розпізнавання шаблонів, сповіщення членів команди через системи пейджингового виклику або інші канали, отримання важливої ​​інформації для аналізу загроз, скасування привілейованого доступу, якщо необхідноі т. д.

Хоча IR Actions простий у використанні, він охоплює всі ключові аспекти пом’якшення загроз Web3, принаймні від PoV зовнішніх або системних векторів атак. У поєднанні з високоякісним кодом без помилок це забезпечить стійкість, яка потрібна екосистемам Web3 у міру їхнього розвитку.

Тепер давайте подивимося, як автоматичне реагування на загрози сформує майбутнє безпеки web3.

Запобігання атакам Web3 за допомогою ІЧ

З жовтня 2022 року боти-детектори Forta на базі ML виявили багато серйозних хаків/експлойтів ще до того, як вони сталися: Team Finance (15,8 млн доларів), DFX Finance (7,5 млн доларів) і, перш за все, Euler Finance (197 млн ​​доларів).

У справі Euler Finance, наприклад, Forta повідомила три критичні попередження перед використанням. По-перше, коли хакери фінансували свою атаку за допомогою Tornado Cash. По-друге, коли вони створили підозрілий контракт. По-третє, коли вони розгорнули контракт від EOA, що фінансується TC.

Бот Forta для ідентифікації жертв також міг ідентифікувати Euler Finance як ціль перед нападом. Але навіть маючи численні сповіщення в реальному часі на всіх етапах атаки, ми не змогли зупинити найбільший у 2023 році злом DeFi. Це колективний провал.

Однак використання ІЧ допоможе запобігти подібним інцидентам у майбутньому. Члени команди, керівники проектів і розробники майже не можуть контролювати протоколи Web3 після їх розгортання — це добре, навіть якщо це ускладнює життя з точки зору кібербезпеки. Справа в тому, що не можна звинувачувати їх у тому, що вони не вчасно вжили заходів, щоб зупинити атаки — вони просто не можуть.

Тим не менш, із заздалегідь визначеними, перевіреними спільнотою сценаріями реагування на інциденти, тепер можна автоматично активувати профілактичні заходи на основі сповіщень від ботів Forta. Наприклад, ви можете позначати транзакції, пов’язані з фінансуванням Tornado Cash або підозрілими Flashloans, використовуючи сповіщення від відповідних ботів-детекторів.

Це ефективний спосіб принаймні затримати транзакції атаки, даючи спільноті або членам команди час для подальших дій. І це лише два приклади.

Оскільки Forta — це мережа, керована спільнотою, ви можете створювати власних ботів-детекторів, які найкраще відповідають вашим потребам. Ви також можете заробляти на своїх внесках через бонуси, підписки, винагороди спільноти та інші джерела доходу.

Ми просуваємо всеохоплюючий, взаємовигідний сценарій, щоб окремі аналітики безпеки, розробники та кінцеві користувачі отримували прибуткові переваги, тоді як Web3 ставав безпечнішим, надійнішим і стійкішим у цілому.

Це місія трансформувати майбутнє кібербезпеки в децентралізований спосіб, керований спільнотою. Ласкаво просимо приєднатися до нас у цій подорожі, досягаючи нових вершин із самого початку.