3 вещи, которые нужно знать о защите и блокчейне


https://imaginationtarget.info/3-veshhi/

Пока лидеры по всему миру исследуют, как использовать преимущества блокчейн-технологий, безопасность часто становится главной задачей. Они могут знать о многих преимуществах безопасности, присущих блокчейну, таких как криптография, неизменность, децентрализация. Но остаются вопросы, такие как: каков наилучший подход к блокчейну как технической проблеме? Как злоумышленники компрометируют блокчейн-технологии? Учитывая присущие ему свойства безопасности, как злоумышленник может даже пойти на компромисс и блокчейн?

Сегодняшние лидеры должны бросить вызов общепринятому мнению и думать иначе, чтобы достичь максимально возможной безопасности в контексте блокчейна. Вот три ключевых соображения, каждое из которых содержит серию идей, основанных на исследованиях безопасности и других данных;

1. Безопасность — это не просто техническая проблема, это проблема лидерства.

Большинство организаций сегодня не признают кибербезопасность как основную дисциплину лидерства. Взять, к примеру, информативное расследование, проведенное журналистом по безопасности Брайаном Кребсом (Brian Krebs). Его исследование, посвященное изучению ведущих веб-страниц 100 крупнейших компаний мира по рыночной стоимости, выявило лишь 5% любого лидера в области кибербезопасности. Это наглядно демонстрирует, что большинство компаний не считают кибербезопасность ключевым компонентом всей команды бизнес-лидерства.

Он также включает в себя одно из ключевых результатов двухлетнего исследования, посвященного безопасности в сфере здравоохранения, где одним из основных структурных недостатков было то, что «лица, принимающие решения в медицинских учреждениях, мало понимают или контролируют методы безопасности». Эти примеры демонстрируют мощную оценку того, как многие из нас в индустрии безопасности уже знают, что это правда: слишком многие лидеры считают безопасность технической проблемой, а не проблемой лидерства.

Тем не менее, рынки говорят, и отрасли по всему миру начинают рассматривать безопасность в качестве ключевой проблемы лидерства. В падении печально известного нарушения цели: в результате были уволены как исполнительный директор, так и главный информационный директор. Директор Управления по управлению персоналом при правительстве США был вынужден уйти в отставку, когда ее агентство пострадало и произошло катастрофическое нарушение; как был сопредседатель Sony Pictures Entertainment после их печально известного нарушения.

Что общего у этих лидеров — это государственный и частный секторы — они не будут кибербезопасностью для своих основных обязанностей. Но консенсус в их соответствующих организациях заключался в том, что кибербезопасность является обязанностью высшего уровня руководства; Они были привлечены к ответственности за ошибки в безопасности.

Что могут сделать с этим лидеры?

  • Создайте руководящую должность в своей организации в области безопасности и убедитесь, что они уполномочены принимать меры в случае необходимости. Этот руководитель должен уметь эффективно защищать потребности организации в безопасности, особенно когда потребности в безопасности вступают в конфликт с функциональными потребностями организации.
  • Самостоятельно обучайтесь основным принципам проектирования, чтобы лучше информироваться при взаимодействии с назначенным руководителем службы безопасности. Это в конечном итоге делает вас более эффективным в управлении этой областью, за которую вы несете полную ответственность.

**2. Эксплуатация является результатом не только возможностей атакующего, но и ошибок разработчика.

С появлением блокчейн-технологий злоумышленники могут применять новые и экзотические методы атаки, которые имеют отношение только к этому контексту, например, «атака на 51%». и, таким образом, может достичь различных вредоносных результатов.
Заголовки новостей заставят вас поверить, что основные нарушения, о которых мы читаем почти каждый день, являются результатом чрезвычайно умелых злоумышленников, использующих экзотические, ранее неизвестные уязвимости для достижения своих коварных целей. Это может быть правдой, но это лишь малая часть общей проблемы.

Вместо этого лидеры должны признать, что наиболее распространенные эксплойты являются результатом непонимания и реализации мер безопасности, которые, как известно, эффективны.

Например, OWASP Top 10, набор уязвимостей, который «представляет и обеспечивает широкий консенсус в отношении наиболее критических угроз безопасности для веб-приложений», включает в себя часто встречающиеся проблемы, такие как атаки с использованием инъекций, неправильная аутентификация, неправильная настройка безопасности и многое другое.

Это хорошо понятые, хорошо документированные проблемы, о которых защитники знали много лет; И все же они продолжают преследовать организации по всему миру и создают большинство уязвимостей в области безопасности, о которых сегодня должны знать и беспокоить лидеры.

Что могут сделать с этим лидеры?

Тренируй своих разработчиков на безопасность. Им не нужно быть следующей знаменитостью ежегодной безопасности DEF CON, им просто нужно понять основные принципы безопасности — особенно криптографию, учитывая ее основное приложение для блокчейна — и как реализовать их в решениях, которых они являются зданием.
Признавай, что основы безопасности имеют значение, едва ли не больше, чем экзотические новинки. Это требует существенного изменения мышления руководства, потому что, в отличие от беспокойства о неизвестном, вы обладаете огромным количеством контроля над своей собственной технологией, с помощью которой все навыки могут пытаться использовать распространенные ошибки разработчика.

3. В то время как злоумышленники идут на компромисс и блокируют себя, они чаще используют конфигурацию технологии, используя и блокчейн.

Хотя злоумышленники могут попытаться — и во многих случаях преуспеть в своих усилиях — скомпрометировать и сам блокчейн, злоумышленники гораздо чаще пытаются скомпрометировать развертывание блокчейна.

Как отмечалось ранее, злоумышленники знают, что человеческая ошибка часто может привести к уязвимым уязвимостям, внедряемым в проект и реализацию всей системы. Более того, злоумышленники, как и любой другой лидер, проводят анализ затрат и выгод: они учитывают усилия, необходимые для атаки, и возможные последствия, которые могут в результате этого произойти; Затем они выбирают те виды деятельности, которые обеспечат наибольший потенциал при минимальных затратах.

Учитывая совокупность этих факторов, злоумышленники, как правило, больше внимания уделяют нарушению реализации из-за высокой вероятности того, что разработчик непреднамеренно допустил ошибки при развертывании.

Рассмотрим эту аналогичную историю: мой друг пережил взлом его хранилища. Он закрепил его большим, дорогим замком. Это было хорошее решение, потому что, как это хорошо, насколько хорошо сложен и блокчейн, имеет значение, насколько хорошо сложен и замок.

Однако у воров фактически не было замка, и замок был хорошо построен. Вместо этого они просто сломали слабо установленную защелку на самой двери. Мой друг выбрал надежный замок, он был правильно установлен, но его безопасность была нарушена из-за того, как он был построен. Вот почему ваше развертывание блокчейна имеет значение.

Что могут сделать с этим лидеры?

  • Создайте свою модель угроз, чтобы понять, кто ваши потенциальные противники; почему они заинтересованы в использовании вашей системы; какие у них навыки; и какие типы ресурсов у них есть.
  • Убедитесь, что в вашей организации есть необходимые специалисты по безопасности. Вам нужны правильные специалисты, которые помогут вам в выполнении вашей задачи безопасности.
  • Партнер с независимым сторонним экспертом по безопасности. Независимо от ваших собственных внутренних талантов, вам нужны эксперты на вашей стороне, которые имеют независимую точку зрения, свободную от любых политических предубеждений, которые могут существовать в организации, и которые проводят все свое время, изучая, как защитить против противника.

С чего начать?

Эффективное руководство безопасностью может быть трудным, но оно достижимо. Будучи лидером, если вы разбиваете проблему безопасности на ее основные компоненты, вы можете затем разработать план действий для решения основных проблем. Блокчейн-технологии во многом революционны, но тот простой факт, что блокчейн — это совершенно другая потребность в совершенно новой парадигме безопасности.

Вместо этого, если вы можете понять небольшое подмножество того, что отличается, и сохранять бдительность в отношении продолжения рассмотрения основных принципов, вы можете привести свою организацию к светлому будущему: тому, где вы сможете воспользоваться многими преимуществами, которые дают эти технологии без излишней опасности для вашей организации.


Comments 0