Как опытный аналитик по кибербезопасности с более чем двадцатилетним опытом работы за плечами, я могу с уверенностью сказать, что модель «нулевого доверия» — это не просто модное словечко, а важнейший краеугольный камень в современном цифровом мире. Моя карьера была отмечена бесчисленными случаями, когда казалось бы безопасная система была взломана, потому что она слишком сильно полагалась на доверие, а не на независимую проверку каждого взаимодействия.
В эту цифровую эпоху крайне важно сохранять бдительность в отношении мер безопасности, поскольку кибербезопасность — это не то, чего можно достичь один раз и забыть. Напротив, это непрерывный процесс. Идея «нулевого доверия» возникла из-за понимания того, что Интернет, творение человечества, — это первое, что мы когда-либо создали и не до конца понимаем, что требует постоянной бдительности.
Как исследователь, занимающийся кибербезопасностью, позвольте мне упростить концепцию нулевого доверия: этот подход к безопасности основан на предпосылке, что ни отдельным лицам, ни устройствам нельзя безоговорочно доверять, независимо от их присутствия в сети организации. Важно помнить, что установление доверия занимает годы, а вредоносное программное обеспечение может проникнуть в вашу организацию и поставить под угрозу ее репутацию за считанные секунды.
Протоколы нулевого доверия (ZTP) обеспечивают подход к решению традиционных проблем с совместимостью блокчейнов, устраняя зависимость от централизованных каналов и устаревших решений.
В этой статье мы разберем концепцию архитектуры нулевого доверия и покажем вам, как протоколы нулевого доверия (ZTP) в сфере Web3 способствуют подлинно децентрализованному сотрудничеству без доверия.
Что такое нулевое доверие?
Проще говоря, безопасность с нулевым доверием основана на идее, что ни людям, ни устройствам нельзя полностью доверять, а полномочия не должны чрезмерно концентрироваться в централизованных системах.
Проще говоря, «нулевое доверие» — это современный подход к кибербезопасности, который делает упор на постоянную проверку, а не на слепое доверие. Это означает, что каждое взаимодействие или запрос на доступ должны проходить независимую аутентификацию, независимо от того, доверяли ли пользователю или устройству ранее. Поскольку наш цифровой мир становится все более сложным и переплетенным, стратегия «Нулевого доверия» набирает популярность как надежное решение для обеспечения сетевой безопасности.
В современных технологиях системы проверки пользователей имеют решающее значение, однако их применение может различаться в зависимости от конкретной системы сетевой безопасности. Одна из таких моделей известна как система «замок и ров», в которой пользователи сами проходят аутентификацию, чтобы получить доступ через «ров» организации. Пройдя этот начальный контрольно-пропускной пункт, они смогут перемещаться по защищенной зоне, не требуя дополнительной аутентификации.
Эта модель обеспечивает определенные гарантии безопасности в удобной для пользователя среде; однако это сопряжено с рядом трудностей. Границу необходимо защищать от внешних агрессоров, но еще более сложным вопросом являются внутренние угрозы. Человек внутри системы может без особых усилий подорвать ее целостность — например, раскрыв данные или став жертвой фишинга, что, в свою очередь, ослабляет защиту от внешних злоумышленников.
В сложных системах и взаимосвязанных сетях модель замка и рва постепенно теряет эффективность из-за размытия границ. Это связано с тем, что в таких сценариях периметром становится сложнее контролировать и управлять. Следовательно, этот традиционный метод становится менее актуальным по мере того, как предприятия и организации переходят к более сегментированной облачной инфраструктуре.
Нулевое доверие к Web3
В цифровом мире Web3 концепция доверительного взаимодействия имеет основополагающее значение и служит ключевым элементом дизайна в сетях блокчейнов с момента создания Биткойна. Если рассматривать эти системы по отдельности, такие как Биткойн или Эфириум, они являются отличными иллюстрациями архитектуры нулевого доверия (ZTA), поскольку каждое взаимодействие с пользователем требует уникальной криптографической проверки и публично подтверждается самой сетью.
Однако подход «замок и ров» по-прежнему широко распространен в пространстве Web3. Это не только проблема, связанная с защитой периметра от злоумышленников; пользователи не могут проверить, что происходит внутри периметра. Вместо этого доверие должно предполагаться и не всегда может восприниматься как нечто само собой разумеющееся. От централизованных бирж до централизованно выпускаемых стейблкоинов, Web3 все еще далек от среды с нулевым доверием.
По сути, достижение совместимости стало наиболее серьёзным препятствием для существующих систем Zero Trust Provisioning (ZTP) в Web3. Стремление к функциональной совместимости привело к появлению множества межсетевых протоколов, которые не соответствуют принципам нулевого доверия. Вместо этого эти протоколы требуют доверия к коллективной группе узлов для передачи сообщений или активов без возможности проверки каждого шага на этом пути. Следовательно, отсутствие защиты периметра сделало мосты в свое время самой уязвимой точкой в системе, а хранящиеся в них средства стали неодолимой мишенью для хакеров.
Другим примером является выпуск завернутых активов, таких как Wrapped BTC (WBTC), которые зависят от присутствия и надежности организации, контролирующей смарт-контракт. Хотя эти активы обеспечивают эффективное решение проблемы отсутствия совместимости, они также ставят под угрозу природу нулевого доверия децентрализованных приложений DeFi, на которых они торгуются.
Если организация, ответственная за конкретный упакованный токен, прекратит свою деятельность завтра, пул ликвидности, связанный с этим токеном на Uniswap или другой децентрализованной бирже (DEX), быстро потеряет свою ценность, как только станет ясно, что на эмитента больше нельзя положиться. после того, как выкупить токен.
2P-MPC — использование криптографии для обеспечения совместимости с нулевым доверием
До сих пор из-за отсутствия альтернативных методов пользователи и разработчики были вынуждены мириться с потенциальными рисками, связанными с моделями замка и рва, которые противоречат концепции нулевого доверия в системе блокчейн. Но теперь, благодаря 2PC-MPC (двухсторонние вычисления-многосторонние вычисления), разработанному Pera, появилось новаторское решение для сохранения нулевого доверия в независимых сетях блокчейнов.
Название означает процесс, в котором участвуют две первоначальные стороны, подписавшие соглашение: одна — пользователь, а другая — сеть Pera. Сеть Pera, состоящая из множества децентрализованных узлов, коллективно реализует любую заданную логику протокола. Этот многопартийный аспект отражен в подписи. Благодаря одобрению пользователя и проверке, обеспечиваемой децентрализованной сетью, которая открыто подтверждает транзакции, принцип нулевого доверия сохраняется во всех сетях.
Как аналитик, я считаю, что это достижение является ключевым сдвигом в нашей области. Впервые он дает разработчикам, таким как я, возможность включать собственные активы блокчейна, такие как Биткойн (BTC) или Эфириум (ETH), непосредственно в наши протоколы нулевого доверия (ZTP), и все это без необходимости полагаться на внешних эмитентов или ставить под угрозу нулевой уровень доверия. доверительная архитектура связанных сетей блокчейнов и децентрализованных приложений (dApps), работающих в них.
Заключение
Если Web3 действительно отдает приоритет децентрализованной безопасности, крайне важно включить доказательства с нулевым разглашением (ZTP), чтобы не допустить использования упрощенных методов защиты, таких как замки и рвы. Поскольку эти альтернативные решения могут включать в себя значительные риски, выживание наиболее приспособленных (естественный отбор) может способствовать тому, что ZTP станет более безопасным и надежным решением безопасности в долгосрочной перспективе.
Смотрите также
2024-10-03 13:41