Implementazione blockchain: i principali rischi per la sicurezza dell'azienda

ad-Midbar
ad-Midbar
ad-Midbar
ad-Midbar

Implementazione blockchain: i principali rischi per la sicurezza dell'azienda

A RSA 2019, Charles Henderson dell'IBM X-Force Red ha spiegato le sfide legate alla sicurezza informatica legate al portare blockchain all'impresa.

Implementazione blockchain: i principali rischi per la sicurezza dell'azienda
A RSA 2019, Charles Henderson dell'IBM X-Force Red ha spiegato le sfide legate alla sicurezza informatica legate al portare blockchain all'impresa.

A RSA 2019, l'editore senior di TechRepublic, Alison DeNisco Rayome, ha parlato con Charles Henderson dell'IBM X-Force Red in merito alle sfide legate alla sicurezza informatica coinvolte nel portare blockchain all'impresa. Quanto segue è una trascrizione modificata.

Alison DeNisco Rayome: Sappiamo che blockchain è stata una parola d'ordine importante per le imprese negli ultimi due anni, e ora stiamo finalmente iniziando a vedere le aziende spostarsi dal solo parlarne ad alcune implementazioni effettive, ma so che voi ragazzi avete scoperto che solo 30% l'implementazione della blockchain coinvolge in realtà la tecnologia blockchain. Puoi dirmi qualcosa in più su questo, e cosa hai trovato?

Charles Henderson: Sicuro. Ogni volta che i consumatori iniziano a ... o le aziende iniziano a implementare determinate tecnologie, pensano sempre alla tecnologia come a una bacchetta magica. Lo vedi molto, loro guardano forse blockchain e dicono "Ehi, la cripto sottostante? Conosco quella cripto. Quella cripto è buona. Blockchain è fantastico. Non devo preoccuparmi della sicurezza. "

Bene, si scopre che c'è molto di più da blockchain rispetto alla cripto. C'è l'implementazione, i dettagli organizzativi, le persone dietro di esso. Quello che viene in mente è che tutte queste cose sono fallibili. Anche se la crittografia è buona, l'infrastruttura può minare tutto.

Per sovvertire la blockchain, non ho necessariamente bisogno di sovvertire la crittografia. Questa è una dichiarazione molto importante. Quello che stiamo vedendo sono le aziende che hanno implementato blockchain da qualche parte, in qualche processo, rendendosi conto che devono iniziare a testarlo, perché forse 70% conta.

VEDERE: Cos'è la blockchain? Comprensione della tecnologia e della rivoluzione (download di TechRepublic)

Alison DeNisco Rayome: Quali sono alcuni modi in cui le organizzazioni possono assicurarsi di proteggere adeguatamente la blockchain?

Charles Henderson: Beh, prima di tutto, hanno bisogno di guardare le persone che hanno avuto successo nella pratica. Risolvere un problema quando viene scoperto nei test è sempre più costoso che farlo subito la prima volta.

Detto questo, hanno bisogno di condurre test. Non solo guardando la soluzione stessa, ma guardando la soluzione mentre la implementavano. In altre parole, guardando l'infrastruttura. Guardando le persone. Fare test di penetrazione.

Il tipo di cose che vorresti fare in qualsiasi altro spazio tecnologico. Rendendosi conto che la blockchain non è un fiocco di neve delicato, non è impenetrabile. Semplicemente perché le persone commettono errori.

Se ci pensi, tutti gli stupidi errori che fai in una determinata settimana, tutti gli errori che farò in una certa settimana ... Il problema è che non ci sono firewall per gli stupidi.

Alison DeNiscoRayome: Quali sono alcuni modi in cui la sicurezza della blockchain potrebbe effettivamente migliorare la sicurezza dell'intera azienda?

Charles Henderson: Bene, se ci pensi, i criminali non attaccano un'impresa per divertimento. Attaccano per profitto. A loro non importa davvero cosa compromettano o persino come lo compromettano. Si preoccupano del ritorno sull'investimento. Si tratta di massimizzare quel profitto.

Guardi le attività criminali e come si sono evolute ... Stai vedendo i criminali passare dalla monetizzazione puntuale ... Cose come, ricorda il ransomware? Sta diminuendo. Bene, perché sta diminuendo? Perché è un fatto.

Vogliono entrate in abbonamento. Vogliono un flusso di entrate in corso. Vedete cose come il cryptojacking in arrivo. Bene, attaccare l'impresa è più o meno la stessa cosa. Vogliono un flusso di entrate in corso. La stessa cosa che cercano tutte le società di investimento di Wall Street, in termini di numeri. Quello che stanno cercando è di far evolvere il loro business, non solo la tecnologia dei loro attacchi.

SEE: politica di sensibilizzazione e formazione in materia di sicurezza (Tech Pro Research)

Alison DeNisco Rayome: So che hai anche fatto, cambiando marcia, alcune ricerche sui chioschi. Puoi parlarmene un po '?

Charles Henderson: Ti ricordi la persona con gli appunti che si trovava al primo piano dei tuoi uffici?

Avevano preso i nomi e tu avevi accesso. Potresti dare loro il tuo nome, indirizzo e-mail, a volte potresti persino dare loro il tuo numero di previdenza sociale. Era fondamentalmente ... il grosso rischio era che qualcuno avrebbe rubato gli appunti, giusto?

Bene, ora hanno sostituito quella persona con gli appunti con un chiosco. È un sistema di gestione dei visitatori. L'idea di quel sistema di gestione dei visitatori è aggiungere comodità, aggiungere funzionalità.

Il problema è che se quel sistema di gestione dei visitatori è compromesso, non stai guardando sei ore di check-in dei visitatori. Stai guardando sei settimane, sei mesi, forse anche sei anni. Questi dati sono molto interessanti per gli aggressori.

Inizi a pensare a dove vengono usati i sistemi di gestione dei visitatori. Potrebbero essere gli uffici dei medici. Potrebbero essere società finanziarie. Potrebbero essere uffici legali.

In effetti, puoi effettivamente riprodurre molti record di gestione dei visitatori per capire quali fusioni e acquisizioni potrebbero accadere. O quale è la storia della salute di qualcuno. Puoi scoprire molto su una persona, e questo è esattamente il tipo di informazione che aiuta in quel modello di entrate in abbonamento a cui abbiamo parlato di criminali.

Alison DeNisco Rayome: Quali sono alcuni modi in cui le organizzazioni possono assicurarsi di proteggere tali sistemi di gestione?

Charles Henderson: Beh, in realtà è una grande componente di questa storia. La ricerca sulla vulnerabilità che abbiamo fatto, abbiamo rilevato le vulnerabilità di 19 in cinque sistemi di gestione dei visitatori. In realtà era qualcosa con cui lavoravamo i nostri stagisti. I nostri tirocinanti stavano facendo questa ricerca sulla vulnerabilità.

VEDERE: modello di politica di sicurezza di rete (Tech Pro Research)

Pensi al grado di difficoltà, e queste erano solide vulnerabilità, ma alcune erano piuttosto basse. Era chiaro che questi non avevano subito test rigorosi. Questo perché, ad esempio, una delle vulnerabilità coinvolge la chiave di escape. La chiave di escape non dovrebbe essere ciò che ti separa da un compromesso.

Inizi a pensare al livello di test che dovrebbe essere richiesto per questo tipo di sistemi, con informazioni critiche su ... Dimentica le PII per una seconda ... informazione critica sulle vite degli individui in gioco.

Penso che sia importante che le aziende si impegnino a testare, sia i venditori che hanno creato i sistemi di gestione dei visitatori, ma anche le aziende che li hanno adottati. Non puoi semplicemente attaccare un prodotto nella tua lobby e pensarlo come una scatola magica che non richiede test. Solo perché non è un'applicazione web non significa che puoi rinunciare ai test.

Vedi anche

Fonte

ad-bottom
ad-bottom
ad-bottom
ad-bottom

NON CI SONO COMMENTI