Đối thoại cùng Mysten Labs: Sui đứng ở tiền tuyến thời đại, cam kết xây dựng L1 an toàn là hàng đầu
Tuyển chọn TechFlowTuyển chọn TechFlow
Đối thoại cùng Mysten Labs: Sui đứng ở tiền tuyến thời đại, cam kết xây dựng L1 an toàn là hàng đầu
Cộng đồng Sui có trách nhiệm bảo vệ lợi ích của toàn bộ hệ sinh thái, bao gồm mạng lưới và các nhà phát triển xây dựng ứng dụng trên nền tảng Sui.
Chuyên sâu báo cáo Web3Gần đây, chúng tôi đã có buổi trò chuyện trực tiếp với Christian Thompson, Phó Giám đốc An ninh Thông tin tại Mysten Labs, để tìm hiểu những quan điểm của ông về tính liên kết giữa các thực hành an toàn, cũng như nhận định và đánh giá về thực tiễn bảo mật dành cho các nhà phát triển Sui.
Dưới đây là nội dung cuộc phỏng vấn:
Đối với các công ty công nghệ, vai trò của CISO là gì?
Vai trò của Giám đốc An ninh Thông tin (Chief Information Security Officers - CISO) rất rộng lớn và đóng vai trò then chốt trong việc bảo vệ môi trường kỹ thuật số của chúng ta. Một nhiệm vụ trọng tâm là thu thập thông tin tình báo đe dọa — điều này đòi hỏi phải thấu hiểu suy nghĩ của các đối tượng tấn công tiềm năng: Họ là ai, tại sao họ có thể nhắm vào chúng ta, khi nào họ có thể hành động, động cơ thúc đẩy họ là gì, và mức độ thành thạo về phương pháp tấn công của họ ra sao.
Bằng cách hình dung rõ ràng về đối thủ tiềm năng và năng lực của họ, chúng ta có thể chủ động hành động để bảo vệ hệ thống của mình. Bạn có thể so sánh điều này với một trò chơi ghép hình — nếu chúng ta biết người chơi ghép hình là ai và họ vận hành như thế nào, chúng ta sẽ hiệu quả hơn trong việc lắp ráp các mảnh lại với nhau. Ví dụ, chúng ta có thể kết hợp các chiến thuật mà họ sử dụng với những khu vực trong hệ thống của chúng ta dễ bị tổn thương nhất. Điều này giống như xây dựng một hệ thống phòng thủ, ngay khi có người cố gắng xâm nhập vào ranh giới kỹ thuật số của chúng ta, hệ thống sẽ lập tức phát cảnh báo.
Giống như hệ thống báo động sẽ cảnh báo chúng ta khi có người cố gắng đột nhập vào nhà, cấu hình phòng thủ này có thể cung cấp cảnh báo theo thời gian thực mỗi khi có hoạt động đáng ngờ xảy ra. Điều đó có nghĩa là chúng ta có thể nhanh chóng phản ứng trước các mối đe dọa tiềm tàng và thực hiện các biện pháp thích hợp để giảm thiểu rủi ro.
Những lĩnh vực trọng tâm này bao gồm nhiều khía cạnh như an ninh mạng, quản lý dữ liệu, rủi ro trên nhiều lĩnh vực, kiến trúc, tuân thủ, quản trị, khả năng phục hồi và báo cáo.
Một phần vai trò của CISO còn mở rộng sang việc bảo vệ các thành viên trong đội ngũ nội bộ. Chúng tôi đầu tư rất nhiều công sức để đánh giá mức độ rủi ro mà các thành viên trong nhóm phải đối mặt. Những rủi ro này có thể thay đổi đáng kể, đặc biệt khi các thành viên trong nhóm đi đến những khu vực có bạo lực hoặc các khu vực không an toàn khác.
Khi xem xét một blockchain L1 như Sui, các vấn đề an ninh sẽ khác biệt như thế nào?
Để xây dựng một chiến lược phòng thủ gắn kết như blockchain Sui, cần tích hợp nhiều chức năng và dịch vụ khác nhau. Chiến lược này phải tập trung vào những lĩnh vực được coi là điểm yếu, nhưng không dừng lại ở đó — cộng đồng Sui có trách nhiệm bảo vệ lợi ích của toàn bộ hệ sinh thái, bao gồm cả mạng lưới và các nhà phát triển xây dựng ứng dụng trên nền tảng Sui. Đạt được thành tựu xuất sắc trong lĩnh vực an ninh là một nhiệm vụ tốn kém và đầy thách thức, đặc biệt với các công ty khởi nghiệp.
Để giải quyết vấn đề này, Quỹ Sui đang phát triển một sản phẩm nhằm mở rộng các biện pháp bảo mật đến toàn bộ hệ sinh thái rộng lớn hơn. Về cơ bản, Quỹ Sui sẽ cung cấp cho các công ty nhỏ hơn những công cụ và dịch vụ bảo mật thường chỉ có sẵn cho các tổ chức lớn. Điều này giúp họ xây dựng trong một môi trường an toàn hơn, từ đó gia tăng sự tin tưởng từ người dùng cuối và các cơ quan quản lý. Mục tiêu của chúng tôi là đảm bảo rằng khi mọi người xây dựng trên Sui, họ không chỉ hiệu quả mà còn an toàn.
Những công cụ và dịch vụ nào được sử dụng trong quá trình duy trì an ninh blockchain?
Biểu đồ dưới đây mô tả các loại dịch vụ và công cụ mà tôi cho rằng một đội an ninh chuyên nghiệp hiện nay đang sử dụng. Những yếu tố này đại diện cho các dịch vụ đa dạng, thiết yếu để xây dựng một khung an ninh vững chắc. Cần nhận thức rằng hiệu quả thực sự không chỉ nằm ở sự tồn tại riêng lẻ của từng dịch vụ, mà còn ở sự tương tác phức tạp giữa chúng. Điều này bao gồm việc hiểu mối quan hệ giữa chúng, thứ tự triển khai, và hiệu ứng cộng hưởng mà chúng tạo ra.
Đối với các dịch vụ được mô tả (như liệt kê trong biểu đồ), mạng Sui tận dụng các công cụ cụ thể hoặc phụ thuộc vào các nhà cung cấp dịch vụ để triển khai chúng. Quỹ Sui dự định sẽ đóng gói các thành phần này và cung cấp cho bất kỳ doanh nghiệp nào muốn áp dụng, nhằm phát huy tối đa tính hữu ích của chúng. Do đó, các vùng phân chia trong biểu đồ tượng trưng cho một kho lưu trữ có cấu trúc tốt, chờ được khám phá và sử dụng bởi các tổ chức muốn củng cố an ninh.
Biểu đồ này chứa rất nhiều yếu tố. Liệu tất cả đều bình đẳng và liên kết chặt chẽ với nhau? Hay có cơ chế ưu tiên?
Đúng vậy, có sự ưu tiên. Ý tưởng đằng sau biểu đồ này đã được cân nhắc kỹ lưỡng. Cũng như việc bắt đầu từ con số 0 và xác định những điều cần chú ý ngay lập tức, bạn có thể coi đây là việc xây dựng các khối cơ bản về an ninh, hay còn gọi là bộ công cụ an ninh nền tảng. Bộ công cụ này có thể bao gồm phần mà chúng ta gọi là “bảo vệ thương hiệu”, nghĩa là luôn cảnh giác trước bất kỳ tổn hại nào có thể ảnh hưởng đến danh tiếng công ty. Nó liên quan đến việc thu thập thông tin tình báo để giám sát và giảm thiểu mọi tác động tiêu cực đến thương hiệu. Ngoài ra, yếu tố “chính trực” cũng rất quan trọng, nghĩa là bộ công cụ phải có khả năng phát hiện và xử lý những hành vi có thể làm tổn hại đến hình ảnh thương hiệu.
Tuy nhiên, bộ công cụ này không mang tính “một kích thước phù hợp với tất cả”. Các tổ chức khác nhau có thể cần những bộ công cụ được tùy chỉnh để phù hợp với mục đích riêng biệt của họ. Ví dụ, một công ty liên quan mật thiết đến lập trình có thể ưu tiên phát triển “năng lực phát hiện lỗ hổng”. Việc này bao gồm việc kiểm tra kỹ lưỡng hệ thống để tìm các điểm yếu tiềm ẩn và thực hiện các nhiệm vụ như “fuzz testing” để kiểm tra áp lực mã nguồn. Ngược lại, hãy so sánh một công ty tài chính phi tập trung (DeFi) với một công ty game. Một công ty DeFi có thể thiên về các công cụ tập trung vào rủi ro quy định, quản trị và tuân thủ. Trong khi đó, một công ty game có thể chú trọng hơn vào vận hành, tình báo và các lớp kỹ thuật an ninh cụ thể.
Về bản chất, biểu đồ này khái quát quan niệm rằng chiến lược an ninh cần được điều chỉnh phù hợp với văn hóa và ưu tiên khác nhau của từng loại công ty.
Các công ty thường bắt đầu bằng suy nghĩ: “Đây là tất cả rủi ro của tôi, vậy làm sao để giảm thiểu chúng?” Hay còn có góc nhìn nào khác không?
Đúng vậy.
Khái niệm bộ công cụ dường như là cách thức then chốt để duy trì an ninh cho toàn bộ hệ sinh thái blockchain. Nhưng điểm cốt lõi của blockchain công cộng là tính phi tập trung và không yêu cầu cấp phép. Về mặt kỹ thuật, khi bất kỳ ai cũng có thể truy cập và tham gia, làm thế nào để giữ an ninh cho mạng lưới?
Đúng vậy, khái niệm bộ công cụ đóng vai trò then chốt trong việc duy trì an ninh cho toàn bộ hệ sinh thái. Sức hấp dẫn của blockchain công cộng nằm ở đặc tính phi tập trung và không yêu cầu cấp phép, nhờ đó nhiều người có thể kiểm tra mọi khía cạnh của nó. Vì vậy, việc xây dựng các công cụ cần thiết và thúc đẩy giáo dục trở nên cực kỳ quan trọng.
Hãy hình dung: những người trong hệ sinh thái không chỉ cần hiểu chuyện gì đang xảy ra, mà còn phải nắm rõ các công cụ sẵn có và cách sử dụng chúng một cách hiệu quả. Cần lưu ý rằng nhiều yếu tố ảnh hưởng đến hệ sinh thái vượt ra ngoài phạm vi của blockchain. Các cuộc thảo luận trên mạng xã hội, cảm giác sợ hãi, sự bất ổn và nghi ngờ (FUD), cùng các hành vi gian lận tiềm tàng đều có thể tác động đến hệ sinh thái. Điều này nhấn mạnh tầm quan trọng của nhận thức toàn diện.
Yếu tố thứ ba then chốt là giao tiếp thông tin trong cộng đồng. Khi cá nhân có thể trao đổi và hợp tác, họ sẽ làm phong phú thêm nền tảng kiến thức tập thể. Vì vậy, đây là một phương pháp ba mũi nhọn: giáo dục thúc đẩy việc học hỏi kiến thức, thông tin thúc đẩy hiểu biết ngành, còn công cụ thúc đẩy hành động. Sự kết hợp này trang bị cho cộng đồng khả năng không chỉ hiểu rõ, mà còn chủ động ảnh hưởng đến các hành vi khác nhau.
Cách thức giao tiếp giữa các thành viên trong hệ sinh thái Sui hiện nay như thế nào?
Có nhiều hình thức giao tiếp trong hệ sinh thái Sui. Gần đây, Hội nghị Thợ đào Xác thực đã cung cấp một nền tảng quý giá để mọi người kết nối và trao đổi quan điểm. Các sự kiện Builder Houses cũng tạo cơ hội tương tự. Ngoài ra, tôi được biết Quỹ Sui dự định sẽ phát hành một loạt bài viết tập trung vào an ninh Sui trong thời gian tới.
Các kênh giao tiếp hàng ngày bao gồm các nền tảng như Discord và Telegram, thúc đẩy sự tương tác giữa các thợ đào xác thực, nhà vận hành nút và các bên liên quan khác. Những diễn đàn này không chỉ nâng cao nhận thức về hợp tác mà còn không ngừng mở rộng theo thời gian, tạo thành một nền tảng thảo luận và chia sẻ tri thức liên tục phát triển.
Thiết kế của Sui Move vốn an toàn hơn các ngôn ngữ lập trình blockchain khác. Điều này ảnh hưởng thế nào đến cách Sui tiếp cận an ninh?
Move an toàn hơn một số ngôn ngữ lập trình khác là điều không thể phủ nhận. Tôi muốn bổ sung rằng, ban đầu, nhiều người tham gia phát triển Sui đã tập trung vào an ninh. Vì vậy, đây không chỉ là vấn đề ngôn ngữ, mà còn liên quan đến cách các thành phần của Sui được xây dựng, khiến nó kiên cố hơn và khó bị khai thác hơn. Tất nhiên, điều này không có nghĩa là trong lĩnh vực an ninh không có những người thông minh tương tự. Với động lực đủ lớn, họ cũng sẽ nỗ lực tìm kiếm lỗ hổng. Do đó, các chuyên gia cần hiểu rõ ai, khi nào, ở đâu, tại sao và bằng cách nào điều đó có thể xảy ra. Đó mới là trọng tâm chú ý của chúng tôi.
Những sự cố rò rỉ lỗ hổng xảy ra ở nơi khác trong Web3 ảnh hưởng thế nào đến công việc đang tiến hành tại Sui?
Thật không may, mỗi khi xảy ra sự cố rò rỉ lỗ hổng trong lĩnh vực Web3, nó luôn thu hút sự chú ý rộng rãi. Tuy nhiên, đây cũng là những kinh nghiệm học hỏi quý giá. Chúng thúc đẩy các chuyên viên an ninh đi sâu tìm hiểu cơ chế của các lỗ hổng — how, what, when, who và why. Những hiểu biết này cung cấp thêm cái nhìn sâu sắc cho toàn ngành.
Đội ngũ Quỹ Sui đã đầu tư rất nhiều nguồn lực an ninh để tìm hiểu danh tính và năng lực của những kẻ tấn công, tập trung vào việc vạch trần mục tiêu và động cơ ưa thích của họ.
Những lỗ hổng này mang lại cho chúng ta hai bài học khác biệt. Thứ nhất, đối với những người bị ảnh hưởng, chúng ta cảm thấy thông cảm vì các sự kiện này tác động đến những con người thật. Thứ hai, đây là cơ hội để tăng cường chiến lược của Sui. Những bài học này giúp Sui tối ưu hóa và củng cố vị thế của mình để ngăn chặn các rủi ro tương tự.
Ông có suy nghĩ gì về an ninh trong Web3 trong tương lai?
Chúng ta đang đứng trước ngưỡng cửa của một kỷ nguyên mới, đánh dấu sự xuất hiện của Web3 và những công nghệ phi thường mà nó mang lại — trí tuệ nhân tạo, học máy, thực tế tăng cường, thực tế ảo, v.v. Điều khiến tôi hào hứng là tiềm năng to lớn ẩn chứa trong đó. Chúng ta đang ở ngưỡng cửa trải nghiệm các giao diện cực kỳ sống động và tiếp cận thông tin với tốc độ và phương thức chưa từng có.
Sự chuyển đổi này cũng lan rộng sang lĩnh vực an ninh. Hãy hình dung sở hữu một trợ lý AI có thể nhận diện mối đe dọa tiềm tàng mà chúng ta sắp phải đối mặt, thậm chí có thể xuất hiện cảnh AI đấu với AI. Chắc chắn đây là hướng đi chúng ta đang hướng tới, và tôi mong đợi Sui sẽ dẫn đầu trong những công nghệ tiên tiến này.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
Sui Network
