Blockchainin toteutus: Ylin turvallisuusriskit yritykselle

ad-Midbar
ad-Midbar
ad-Midbar
ad-Midbar

Blockchainin toteutus: Ylin turvallisuusriskit yritykselle

RSA 2019: ssä Charles Henderson IBM X-Force Redistä selitti kyberturvallisuushaasteet, jotka liittyvät lohkoketjun tuomiseen yritykseen.

Blockchainin toteutus: Ylin turvallisuusriskit yritykselle
RSA 2019: ssä Charles Henderson IBM X-Force Redistä selitti kyberturvallisuushaasteet, jotka liittyvät lohkoketjun tuomiseen yritykseen.

RSA 2019: ssä TechRepublicin vanhempi toimittaja Alison DeNisco Rayome puhui IBM X-Force Redin Charles Hendersonin kanssa kyberturvallisuuden haasteista, jotka liittyvät lohkoketjun tuomiseen yritykseen. Seuraava on muokattu transkriptio.

Alison DeNisco Rayome: Tiedämme, että estoketju on ollut merkittävä yrityssana yrityksille parin viime vuoden aikana, ja nyt alamme lopulta nähdä yritysten siirtyvän vain puhumasta siitä joihinkin todellisiin toteutuksiin, mutta tiedän, että vain 30% blockchain-toteutus sisältää tosiasiallisesti blockchain-tekniikkaa. Voitteko kertoa minulle vähän enemmän siitä ja mitä löysit?

Charles Henderson: Varma. Aina kun kuluttajat alkavat… tai yritykset alkavat toteuttaa tiettyä tekniikkaa, he ajattelevat tekniikkaa aina taikuudeksi. Näet sen paljon, he katsovat ehkä blockchainia ja sanovat: "Hei, taustalla oleva salaus? Tiedän sen salauksen. Se salaus on hyvä. Blockchain on loistava. Minun ei tarvitse huolehtia turvallisuudesta. "

No, käy ilmi, että lohkoketjua on paljon enemmän kuin salausta. Siellä on toteutus, organisaation yksityiskohdat, ihmiset sen takana. Se, mitä se tulee, on, että kaikki nuo asiat ovat erehtyviä. Vaikka salaus on hyvä, infrastruktuuri voi heikentää kaikkea.

Lohkoketjun hajottamiseksi minun ei tarvitse välttämättä kumota salausta. Se on todella tärkeä lausunto. Näemme, että yritykset, jotka ovat toteuttaneet blockchainin jossain, jossakin prosessissa, ymmärtävät, että heidän on aloitettava sen testaaminen, koska ehkä sillä on 70% merkitystä.

KATSO: Mikä on blockchain? Teknologian ja vallankumouksen ymmärtäminen (TechRepublic Lataa)

Alison DeNisco Rayome: Millä tavoin organisaatiot voivat varmistaa, että he varmistavat riittävästi estoketjun?

Charles Henderson: Ensinnäkin heidän on tarkasteltava ihmisiä, jotka ovat menestyneet käytännössä. Ongelman korjaaminen, kun se havaitaan testauksessa, on aina kalliimpaa kuin ongelman korjaaminen ensimmäisellä kerralla.

Heidän on kuitenkin tehtävä testejä. Ei vain tarkastella itse ratkaisua, vaan myös tarkastella ratkaisua sen toteuttaessa. Toisin sanoen katsomalla infrastruktuuria. Katsomalla ihmisiä. Tunkeutumistestaus.

Sellaisia ​​asioita, joita tekisit missä tahansa muussa teknologia-tilassa. Ymmärtäminen, että estoketju ei ole herkkä lumihiutale, eikä se ole tunkeutumaton. Pelkästään siksi, että ihmiset tekevät virheitä.

Jos ajattelet sitä, kaikki tyhmät virheet, jotka teet tietyllä viikolla, kaikki virheet, jotka teen tietyllä viikolla ... Ongelmana on, että tyhmille ei ole palomuuria.

Alison DeNiscoRayome: Millä tavoin lohkoketjun turvaaminen voi todella parantaa koko yrityksen turvallisuutta?

Charles Henderson: No, jos ajattelet sitä, rikolliset eivät hyökkää yritystä huvin vuoksi. He hyökkäävät voittoa varten. He eivät todellakaan välitä siitä, mistä he kompromissi, tai edes kuinka he kompromissi siihen. He välittävät sijoitetun pääoman tuotosta. Kyse on tuoton maksimoimisesta.

Katsot rikollista toimintaa ja miten se on kehittynyt ... Näet rikollisten siirtyvän ajankohtaisesta kaupallistamisesta ... Muistatteko esimerkiksi ransomware? Se vähenee. No, miksi se vähenee? Koska se on yksi ja tehty.

He haluavat liittymätuloja. He haluavat jatkuvan tulovirran. Näet asioita, kuten kryptojacking. Yrityksen hyökkääminen on paljon samaa. He haluavat jatkuvan tulovirran. Sama asia, jota kaikki Wall Streetin sijoituspalveluyritykset etsivät lukumääräisesti. Se, mitä he etsivät, on kehittää liiketoimintaansa, ei vain hyökkäysten tekniikkaa.

SEE: Turvallisuustietoisuus ja koulutuspolitiikka (Tech Pro Research)

Alison DeNisco Rayome: Tiedän, että olet myös tehnyt, vaihtanut hieman vaihteita, tutkimusta kioskeista. Voitteko kertoa minulle siitä vähän?

Charles Henderson: Muistatko leikepöydän omaavan henkilön, joka istui toimistojesi ensimmäisessä kerroksessa?

Heillä oli tapana ottaa nimiä, ja sinä kirjauduit sisään. Voisit ehkä antaa heille nimesi, sähköpostiosoitteesi, joskus jopa antaa heille sosiaaliturvatunnuksesi. Se oli pohjimmiltaan ... suuri riski oli, että joku aikoi varastaa leikepöydän, eikö?

No, he ovat korvanneet kyseisen henkilön leikepöydälle kioskilla. Se on vierailijoiden hallintajärjestelmä. Vierailijoiden hallintajärjestelmän idea on lisätä mukavuutta ja lisätä ominaisuuksia.

Ongelmana on, että jos vierailijahallintajärjestelmä vaarantuu, et katso kuuden tunnin vierailijoiden sisäänkirjautumista. Tarkastelet kuutta viikkoa, kuutta kuukautta, ehkä jopa kuutta vuotta. Nämä tiedot ovat erittäin houkuttelevia hyökkääjille.

Alat miettiä, missä kävijöiden hallintajärjestelmiä käytetään. Ne voivat olla lääkäreitä. Ne voivat olla rahoitusyrityksiä. Ne voivat olla oikeudellisia toimistoja.

Itse asiassa voit itse kerrata paljon vierailijoiden hallintatietueita selvittääkseen, mitä fuusioita ja yritysostoja voi olla tekeillä. Tai mikä on jonkun terveyshistoria. Voit oppia paljon ihmisestä, ja juuri sellaiset tiedot auttavat siinä liittymän tulomallissa, johon puhuimme rikollisista.

Alison DeNisco Rayome: Millä tavoin organisaatiot voivat varmistaa, että ne turvaavat nämä hallintajärjestelmät?

Charles Henderson: No, se on todella hieno osa tätä tarinaa. Teimme haavoittuvuustutkimuksen, ja löysimme 19 haavoittuvuutta viidestä vierailijoiden hallintajärjestelmästä. Se oli todella jotain, jonka annoimme harjoittelijoille. Harjoittelijamme tekivät tätä haavoittuvuustutkimusta.

KATSO: Verkon suojauskäytäntömalli (Tech Pro Research)

Ajattelet vaikeustasoa, ja nämä olivat vakavia haavoittuvuuksia, mutta jotkut niistä olivat melko matalia. Oli selvää, että näitä ei ollut testattu perusteellisesti. Tämä johtuu siitä, että esimerkiksi yksi haavoittuvuuksista liittyi poistumisavaimeen. He eivät saa avata avainta, joka erottaa sinut kompromissista.

Aloitat miettiä tämäntyyppisissä järjestelmissä vaadittavaa testaustasoa, jossa on kriittistä tietoa… Unohda henkilötietojen tarkistus hetkeksi… kriittinen tieto pelaavien henkilöiden elämästä.

Pidän tärkeänä, että yritykset sitoutuvat testaamiseen, sekä vierailijoiden hallintajärjestelmien luoneet myyjät että yritykset, jotka ovat ottaneet ne käyttöön. Et voi vain kiinnittää tuotetta aulaan ja ajatella sitä taikalaatikkona, joka ei vaadi testausta. Se, että se ei ole verkkosovellus, ei tarkoita, että voit luopua testauksesta.

Katso myös

lähde

ad-bottom
ad-bottom
ad-bottom
ad-bottom

EI KOMMENTTEJA