3 вещи, которые нужно знать о защите блокчейна

Пока лидеры по всему миру исследуют, как использовать преимущества блокчейн-технологий, безопасность часто становится главной задачей. Они могут знать о многих преимуществах безопасности, присущих блокчейну, таких как криптография, неизменность, децентрализация. Но остаются вопросы, такие как: каков наилучший подход к блокчейну как технической проблеме? Как злоумышленники компрометируют блокчейн-технологии? Учитывая присущие ему свойства безопасности, как злоумышленник может даже поставить под угрозу блокчейн?

Сегодняшние лидеры должны бросить вызов общепринятому мнению и думать иначе, чтобы достичь максимально возможной безопасности в контексте блокчейна. Вот три ключевых соображения, каждое из которых содержит серию идей, основанных на исследованиях в области безопасности и других данных, чтобы дать руководителям возможность решать эти проблемы.

1. Безопасность — это не просто техническая проблема, это проблема лидерства

Большинство организаций сегодня не признают кибербезопасность как основную дисциплину лидерства. Взять, к примеру, неофициальное расследование, проведенное журналистом по безопасности Брайаном Кребсом. Его исследование, посвященное изучению лидирующих веб-страниц 100 крупнейших компаний мира по рыночной стоимости, показало, что только 5% указали любого лидера в области кибербезопасности. Это наглядно демонстрирует, что большинство компаний не считают кибербезопасность ключевым компонентом всей команды бизнес-руководства.

Это также перекликается с одним из ключевых выводов двухлетнего исследования, недавно опубликованного по безопасности в сфере здравоохранения, где одним из основных структурных недостатков было то, что «лица, принимающие решения в медицинских учреждениях, мало понимают или контролируют методы обеспечения безопасности». Эти примеры демонстрируют мощную меру того, что многие из нас в индустрии безопасности уже знают, что это правда: слишком многие руководители считают безопасность технической проблемой, а не проблемой руководства.

Тем не менее, рынки говорят, и отрасли по всему миру начинают рассматривать безопасность в качестве ключевой проблемы лидерства. В результате печально известного нарушения Target: в результате были уволены как исполнительный директор, так и главный информационный директор. Директор Управления по управлению персоналом правительства США (OPM) была вынуждена уйти в отставку, когда ее агентство потерпело катастрофическое нарушение; как и сопредседатель Sony Pictures Entertainment после их печально известного нарушения.

Общим для всех них является то, что эти лидеры — как в государственном, так и в частном секторах — вероятно, не считали бы кибербезопасность основой своих служебных обязанностей до взлома. Но консенсус в их соответствующих организациях заключался в том, что кибербезопасность является обязанностью высшего уровня руководства; они были привлечены к ответственности за ошибки в безопасности.

Что могут с этим сделать лидеры?

  • Установить руководящую должность в своей организации в области безопасности и убедитесь, что они уполномочены принимать меры в случае необходимости. Этот лидер должен уметь эффективно защищать потребности организации в безопасности, особенно когда потребности в безопасности вступают в противоречие с функциональными потребностями организации.
  • Изучить основные принципы безопасного проектирования, чтобы быть в курсе общения с назначенным руководителем службы безопасности. Это в конечном итоге делает вас более эффективным в управлении этой областью, за которую вы несете полную ответственность.

2. Эксплуатация является результатом не только возможностей атакующего, но и ошибок разработчика

С появлением блокчейн-технологий злоумышленники продемонстрировали способность применять новые и экзотические методы атаки, которые имеют отношение только к этому контексту, например, «атака 51%» — метод, при котором злоумышленник получает контроль над более чем половиной блокчейна и, таким образом, может достичь различных вредоносных результатов.

Заголовки новостей заставят вас поверить, что основные нарушения, о которых мы читаем почти каждый день, являются результатом чрезвычайно умелых злоумышленников, использующих экзотические, ранее неизвестные уязвимости для достижения своих коварных целей. В некоторой степени это может быть правдой, но это лишь малая часть общей проблемы.

Вместо этого лидеры должны признать, что наиболее распространенные эксплойты являются результатом непонимания и достаточной реализации мер безопасности, которые, как известно, эффективны.

Например, OWASP Top 10, набор уязвимостей, «представляющий широкий консенсус в отношении наиболее критических угроз безопасности для веб-приложений», включает в себя часто встречающиеся проблемы, такие как инъекционные атаки, неправильная аутентификация, неправильная настройка безопасности и многое другое.

Это хорошо понятые, хорошо документированные проблемы, о которых защитники знали много лет; и тем не менее они продолжают преследовать организации по всему миру и составляют большинство уязвимостей в области безопасности, о которых сегодня лидеры должны знать и беспокоиться.

Что могут с этим сделать лидеры?

  • Обучить своих разработчиков безопасности. Им не нужно становиться следующей знаменитостью на ежегодном конклаве безопасности DEF CON, им просто нужно понять основные принципы безопасности — в частности, криптографию, учитывая ее основное приложение для блокчейна — и как реализовать эти принципы в решениях, которые ими строятся.
  • Признайте, что основы безопасности имеют такое же значение, как и экзотические новинки, если не больше. Это требует существенного изменения лидерских взглядов, потому что, в отличие от беспокойства о неизвестном, у вас есть огромный контроль над оценкой вашей собственной технологии для способов, которыми злоумышленники всех навыков могут попытаться использовать распространенные ошибки разработчика.

3. В то время как злоумышленники подвергают риску сам блокчейн, они чаще используют конфигурацию технологии, используя блокчейн

Хотя злоумышленники могут попытаться — и во многих случаях преуспеть в своих усилиях — скомпрометировать сам блокчейн, злоумышленники гораздо чаще пытаются скомпрометировать развертывание блокчейна.

Как отмечалось ранее, злоумышленники знают, что человеческая ошибка часто может привести к тому, что уязвимые места будут невольно внедрены в проект и реализацию всей системы. Более того, злоумышленники, как и любой другой лидер, проводят анализ затрат и выгод: они учитывают усилия, необходимые для атаки на что-либо, и потенциальный результат, который может в результате получиться; затем они выбирают те виды деятельности, которые обеспечат наивысшую потенциальную доходность при минимальных затратах.

Учитывая совокупность этих факторов, злоумышленники, как правило, чаще обращают внимание на нарушение реализации из-за высокой вероятности того, что разработчик непреднамеренно допустил ошибки при развертывании.

Рассмотрим аналогичную историю: недавно у моего друга взломали хранилище. Он обезопасил его большим, дорогим замком. Это было хорошее решение, потому что, как важно то, насколько хорошо сложен блокчейн, так важно и то, насколько хорошо сложен замок.

Тем не менее, воры на самом деле не беспокоились о замке, и их не смутило то, насколько надежным был замок. Вместо этого они просто сломали слабо установленную защелку на самой двери. Мой друг выбрал надежный замок, правильно установил его, но его безопасность была нарушена из-за того, как была построена система вокруг него. Вот почему конфигурация вашего блокчейн-развертывания имеет значение.

Что могут с этим сделать лидеры?

  • Создать свою модель угроз, чтобы понять, кто ваши потенциальные противники; почему они заинтересованы в использовании вашей системы; какие у них навыки; и какие типы ресурсов у них есть.
  • Убедитесь, что в вашей организации есть необходимые специалисты по безопасности. Вам нужны правильные специалисты, которые помогут вам в выполнении вашей задачи безопасности.
  • Сотрудничайте с независимым сторонним экспертом по безопасности. Вместо ваших собственных внутренних талантов или в дополнение к ним вам нужны эксперты на вашей стороне, которые имеют независимую точку зрения, свободную от любых политических предубеждений, которые могут существовать в организации, и которые проводят все свое время, изучая, как защититься от противника.

С чего начать

Эффективное руководство безопасностью может быть трудным, но оно достижимо. Как лидер, если вы можете разбить проблему безопасности на ее основные компоненты, вы можете разработать план действий для решения основных проблем. Блокчейн-технологии во многом революционны, но тот простой факт, что блокчейн отличается, не требует совершенно новой парадигмы безопасности.

Вместо этого, если вы можете понять небольшое подмножество того, что отличается, и сохранять бдительность в отношении продолжения эффективного решения основных принципов, вы можете привести свою организацию к светлому будущему: тому, где вы сможете воспользоваться многими преимуществами, которые дают эти технологии без излишней опасности для вашей организации.

Перевод материала: https://www.weforum.org/agenda/2019/04/what-leaders-need-to-understand-about-securing-a-blockchain/

Поделиться новостью

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *