Генеральный директор HackenProof рассказывает о Web3 Тенденции безопасности, эффективность программ вознаграждения за ошибки и растущая роль ИИ в киб

Генеральный директор ХакенПроуф , Дмитрий Матвеев говорил на Конференция Hack Seasons в Каннах 3 июля о тенденциях в Web3 безопасность, меняющийся ландшафт угроз и роль ИИ в кибербезопасности.

HackenProof активно сотрудничает с различными протоколами уровня 1 и уровня 2, такими как Ethereum Foundation, Sui, Aptos, Near, а также криптовалютными биржами, включая Bybit и Gate, среди прочих. Они привлекают сообщество специалистов по безопасности для выявления уязвимостей и после проверки предоставленных отчетов выплачивают исследователям соответствующее вознаграждение. Этот процесс осуществляется в рамках модели вознаграждения за найденные уязвимости и краудсорсинга безопасности.

Развитие кибербезопасности: растущая сложность атак, эффективность программ вознаграждения за обнаружение уязвимостей и проблемы безопасности в развивающихся экосистемах

По словам Дмитрия Матвиива, в HackenProof постоянно проводятся внутренние исследования, а ежеквартальные отчёты публикуются для отслеживания тенденций в сфере кибербезопасности. За последние два года количество зарегистрированных взломов сократилось, но сложность этих инцидентов возросла. Только в текущем квартале посредством различных атак было похищено более 2 миллиардов долларов. Многие из этих инцидентов, по всей видимости, были преднамеренными: некоторые лица, возможно, работали в организациях в течение длительного времени, прежде чем покинуть бэкдоры и впоследствии осуществить скоординированные атаки. Заметной тенденцией является участие субъектов, спонсируемых государством, особенно из Северной Кореи, что создаёт трудности для правоохранительных органов и экстрадиции, даже когда личности преступников известны.

Однако многие компании предлагают конкурентоспособные программы вознаграждений за найденные уязвимости. Дмитрий Матвиив считает, что злоумышленникам может быть выгоднее сообщать об уязвимостях по официальным каналам и получать законную компенсацию — иногда в сотни тысяч или даже миллионы долларов — чем эксплуатировать эти уязвимости. В то же время, неадекватная структура вознаграждений может препятствовать ответственному раскрытию информации. Например, в деле Bybit максимальная выплата за критическую уязвимость на сайте компании была установлена в размере 4,000 долларов. Исследователь воспользовался уязвимостью и нанёс ущерб в размере 1.3 миллиарда долларов. Это позволяет предположить, что вознаграждение, эквивалентное даже 10% от потенциального ущерба, может служить более эффективной превентивной мерой.

«Поэтому, если компания решит легализовать процесс вознаграждения за найденные уязвимости, компании и исследователи обязательно будут предоставлять отчеты, которые помогут обнаружить эти уязвимости», — подчеркнул Дмитрий Матвиив. 

Недавно произошёл ещё один инцидент безопасности, связанный с протоколом Cetus, работающим в экосистеме Sui. Наблюдения показывают, что экосистема Sui продолжает сталкиваться с рядом проблем безопасности, отчасти из-за её быстрого развития и роста активности. Экосистема располагает большой и увлечённой командой и демонстрирует твёрдую приверженность безопасности, регулярно участвуя в программах вознаграждения за обнаружение уязвимостей, конкурсах и аудитах. Несмотря на недавнюю утечку, Cetus совместно с HackenProof реализует новую инициативу вознаграждения за обнаружение уязвимостей, запланированную на следующую неделю. В целом, экосистема Sui остаётся активной и оперативной в устранении уязвимостей.

«Я считаю, что Sui — одна из экосистем, которая ещё довольно молода. У них новый язык, сочетающий Move и Rust, и в нём много потенциально опасного кода, в котором могут быть обнаружены уязвимости — именно поэтому в экосистеме Sui сейчас так много проблем. Тем не менее, это очень перспективная экосистема, и многие даже покупают её токены. Мы верим, что эта экосистема… defiвывести безопасность на новый уровень».

Интеграция агентов ИИ в кибербезопасность: повышение автоматизации при управлении рисками

Искусственный интеллект и децентрализация в настоящее время широко обсуждаются в сфере технологий и кибербезопасности. HackenProof активно участвует в этих разработках в рамках своей операционной деятельности. 

В некоторых случаях аудиторы безопасности создают ИИ-агентов для выполнения задач, традиционно выполняемых людьми, например, выявления проблем безопасности на различных платформах с вознаграждением за обнаружение уязвимостей. HackenProof поддерживает такие компании, занимающиеся безопасностью, помогая им проверять отчёты, создаваемые этими ИИ-агентами.

«Например, эти агенты ИИ могут сканировать репозиторий и генерировать 200 отчетов, а мы проверяем их, чтобы определить, является ли каждый отчет действительным», — проиллюстрировал Дмитрий Матвиив.

Другой пример — использование агентов ИИ для помощи в обнаружении и организации входящих отчётов, отправляемых в HackenProof. Эти агенты ИИ способствуют автоматизации процессов, однако качество и надёжность результата сильно зависят от точности входных данных.

«Допустим, если вы полностью доверяете ИИ-агенту, и кто-то введёт неверные данные, это может спровоцировать какое-либо действие — например, ИИ-агент может перевести деньги с одного счёта на другой и так далее. Поэтому это очень опасно», — отметил Дмитрий Матвиив. «Необходимо изолировать среду ИИ и работать только с теми конкретными случаями, которые вы понимаете, а также убедиться, что ИИ-агент публично верифицирован как проверенный», — добавил он. 

В прошлом году наблюдался значительный объем инвестиций в разработку ИИ, включая появление протоколов ИИ уровня 1. В настоящее время ИИ стал важным компонентом для многих компаний, и те, кто не интегрирует разработки ИИ в свои процессы, рискуют потерять свою рыночную привлекательность или бизнес-возможности в течение полугода или более.

«Безусловно, ИИ должен стать частью ваших бизнес-процессов и, как минимум, помочь вам понять, какие бизнес-возможности вы можете упустить. ИИ также, вероятно, станет одной из самых серьёзных угроз безопасности для любой компании», — подытожил Дмитрий Матвиив.