Отвъд биткойн: Разбиране на последиците за сигурността на блокчейн

Главен технологичен директор (CTO) в NetSPI, лидер в тестването за проникване и управлението на повърхността за атака.

Очаква се пазарът на блокчейн да нарасне с 68,4% през следващите четири години, като 86% от висшите ръководители вярват, че блокчейн ще се превърне в масова възприета технология. Докато по-голямата част от света е фиксирана върху различни криптовалути – включително bitcoin, ethereum и нововъзникващия пазар на незаменими токени (NFT) – организациите са приели блокчейн технологиятазад кулисите. За да направите това, са необходими правилното образование и стратегии за внедряване, тъй като без подходящи стратегии за внедряване, които вземат предвид архитектурните нюанси, организациите отварят бизнеса си за рискове за сигурността.

Има няколко модела за внедряване на блокчейн: частни (или вътрешни), с разрешение/консорциум и публични. Въпреки че всички те притежават някои общи черти, всеки има свои собствени нюанси, когато става въпрос за употребата му и свързаните рискове за сигурността.

Частно (или вътрешно) внедряване

Блоковите вериги в частна мрежа обикновено са изолирани, но са предназначени за решаване на вътрешни проблеми с оперативната ефективност. Те предлагат алтернативна равнина на данни на традиционните архитектури на бази данни, като интелигентните договори служат като съхранени процедури.

Частните мрежи са по-бързи от другите модели на внедряване – до голяма степен защото цялата инфраструктура е в рамките на четирите стени на организацията – но най-важното, защото консенсусният модел не изисква ненадеждна проверка, която правят публичните вериги. Когато се разгръщат вътрешно, процесите стават по-ефективни, така че стъпките за защита на бизнес активите са по-контролирани. Виждаме това конкретно във вътрешната верига за доставки на организацията – блокчейнът позволява по-бързо и по-рентабилно предоставяне на услуги.

ОЩЕ ОТ СЪВЕТНИКА НА FORBES

Най-добрите застрахователни компании за пътуване

От Amy DaniseEditor

Най-добрите планове за застраховка при пътуване срещу Covid-19

От Amy DaniseEditor

Организацията, която контролира блокчейните, може да задава изисквания за разрешения и да прилага своя собствена сигурност предпазни мерки. Чрез контролиране на това кои потребители могат да преглеждат, добавят или променят данни в блокчейна, личната информация е защитена от трети страни.

Отвъд биткойн: Разбиране на последиците за сигурността на блокчейн

Алтернативно, частните блокчейни са потенциално по-уязвими за измами, така че организациите трябва да разберат взаимодействието на мрежата, за да коригират ефективно уязвимостта. Ако се появи злонамерен вътрешен човек или кибератака, стъпките за смекчаване са по същество същите като при всяка друга киберзаплаха: извършване на оценки на риска, провеждане на тестове за проникване, за да се идентифицират пропуски в сигурността и изграждане на план за откриване на заплахи и реагиране. Организациите, които са пренебрегнали да се справят с пропуските в проницателността на блокчейн в своите ИТ и кибернетични ресурси, може да открият, че техните книги за отговор не отговарят напълно на техните нужди.

Консорциумно или разрешено внедряване

Консорциумните блокови вериги — или разрешени/обединени блокови вериги — се контролират от множество субекти, което идва със своите предимства и недостатъци от гледна точка на сигурността. Както при частните вериги, разрешените мрежи работят с по-висока скорост чрез избора на консенсусен модел, който поддържа доверени взаимоотношения.

Блоковите вериги на консорциума са относително по-сигурни, предвид ограниченото им излагане на външни участници. Така че организациите трябва да отчитат промяната на данните в мрежата и последиците от вътрешните оперативни въздействия. Те трябва също да обърнат внимание на алгоритъма за консенсус и да осигурят защита на поверителността в началото на приемането. Това гарантира, че само тези, които искате да видите веригата, имат достъп до нея. Когато се изисква поверителност на транзакцията, организацията трябва да гарантира, че избраната технология поддържа това изискване. Тези видове предпазни мерки са важни, когато има индивидуални последици за поверителността – като например когато доставчиците използват блокчейн технология за споделяне и съхраняване на информация, позволяваща лично идентифициране (PII). Екипите за поверителност трябва да бъдат ангажирани, за да разберат и да се справят с последиците от постоянното запазване на данни и глобалното законодателство за поверителност.

Разбирането как данните могат да бъдат модифицирани по вреден начин е важно във всяка блокчейн — особено в мрежа на консорциум, където съществуват множество точки за достъп. Моделирането на заплахи е един от начините, по които лидерите по сигурността могат да оценят опасенията за сигурността в рамките на внедряването на блокчейн, тъй като идентифицира потенциални слабости в архитектурата и изпълнението, определяйки какви действия могат да смекчат заплахите в системата. Проактивното тестване на сигурността е също толкова важно, колкото традиционното тестване на инфраструктура и приложения. Организациите трябва да оценят, идентифицират и смекчат уязвимостите в решенията, които внедряват.

Публично внедряване

Публичните блокчейни са точно както звучат – публични. Всеки с алгоритъма (мислете за него като за ключ) може да се присъедини и да получи достъп до данните на блокчейна. Те обикновено са напълно децентрализирани и по-прозрачни. Публичните блокчейни като bitcoin и ethereum са в основата на жизнена екосистема, която все повече привлича вниманието. Нейната независимост от всяка национална държава или организация създава механизъм за икономически и социални иновации. Тези публични разпределени регистри позволяват на хората да се включат в глобална екосистема по доверен начин, използвайки технология, която по своята същност е безнадеждна.

Обществената мрежа обаче носи значителни рискове за сигурността, за които фирмите трябва да внимават. Вече видяхме как тези рискове се проявяват при неотдавнашния пробив в Sky Mavis, където хакери откраднаха 173 600 в криптовалута ethereum и $25,5 милиона от играта Axie Infinity на Ronin Network. Ще продължим да виждаме тези нарушения да се случват под различни форми, като например правилото за атака от 51%, уязвими интелигентни договори и претоварване на мрежата.

В допълнение към традиционните рискове за инфраструктурата и приложенията, това са само няколко, които организациите трябва да имат предвид, когато взаимодействат с обществени блокчейн мрежи и наблюдават за пробиви. Както при други модели на внедряване, лидерите трябва да гарантират, че техните екипи имат достатъчно образование и проницателност в блокчейн технологията, за да оценят риска чрез тактики като моделиране на заплахи и тестване на сигурността.

Блоковите вериги са неизбежна част от технологичния пейзаж. Това е един от най-големите технологични постижения за последното десетилетие, като дори Белият дом се ангажира да проучи ползите от него на национално ниво. Рисковете, свързани с внедряването на блокови вериги, варират в зависимост от случая на употреба и свързания модел на внедряване, но ползите от блоковата верига надвишават рисковете за сигурността, когато се управлява правилно.

Въпреки че много аспекти на изграждането върху тази технология отразяват традиционното развитие на решения, нюансите на използването на надеждна и разпределена равнина на данни изискват внимателно обмисляне. Екипите по технологии и киберсигурност трябва да разберат тези архитектурни нюанси, докато се стремят да ги поддържат и защитават. Извън технологичната референтна рамка, някои модели също имат поверителност и регулаторни последици. След като лидерите и техните екипи усвоят и разберат рисковете, които трябва да решат, те ще бъдат овластени да напреднат в своите стратегии в рамките на екосистемата и да отключат пълния потенциал на блокчейните.


Технологичният съвет на Forbes е общност само с покана за ИТ директори, технически директори и технологични ръководители от световна класа. Отговарям ли на изискванията?


Popular Articles