Beyond Bitcoin: Pochopení bezpečnostních důsledků blockchainu

Chief technology officer (CTO) ve společnosti NetSPI, lídra v penetračním testování a správě povrchu útoků.

Očekává se, že trh s blockchainem v příštích čtyřech letech poroste o 68,4 %, přičemž 86 % vedoucích pracovníků věří, že se blockchain stane technologií přijatou do hlavního proudu. Zatímco většina světa byla fixována na různé kryptoměny – včetně bitcoinu, etherea a vznikajícího trhu s nezaměnitelnými tokeny (NFT), organizace v zákulisí přijaly technologii blockchainu. K tomu jsou zapotřebí správné vzdělávací a implementační strategie, protože bez správných implementačních strategií zohledňujících architektonické nuance otevírají organizace své podnikání bezpečnostním rizikům.

Existuje několik modelů nasazení blockchainu: soukromý (nebo interní), povolený/konsorcium a veřejný. Zatímco všechny mají některé společné rysy, každý má své vlastní nuance, pokud jde o jeho použití a související bezpečnostní rizika.

Soukromé (nebo interní) nasazení

Blockchainy v privátní síti jsou obecně izolované, ale jsou určeny k řešení problémů s vnitřní provozní efektivitou. Nabízejí alternativní datovou rovinu k tradičním databázovým architekturám, přičemž smart kontrakty slouží jako uložené procedury.

Soukromé sítě jsou rychlejší než jiné modely nasazení – především proto, že veškerá infrastruktura se nachází mezi čtyřmi stěnami organizace – ale hlavně proto, že model konsensu nevyžaduje důvěryhodné ověření, které dělají veřejné řetězce. Při interním nasazení se procesy stávají efektivnějšími, takže kroky k ochraně podnikových aktiv jsou lépe kontrolovány. Vidíme to konkrétně u interního dodavatelského řetězce organizace – blockchain umožňuje rychlejší a nákladově efektivnější poskytování služeb.

VÍCE FROMFORBES ADVISOR

Nejlepší cestovní pojišťovny

ByAmy DaniseEditor

Nejlepší plány cestovního pojištění Covid-19

ByAmy DaniseEditor

Organizace, která kontroluje blockchainy, může nastavit požadavky na povolení a implementovat vlastní zabezpečení opatření. Řízením toho, kteří uživatelé mohou prohlížet, přidávat nebo měnit data v rámci blockchainu, jsou soukromé informace chráněny před třetími stranami.

Bezpečnostní blokování

Alternativně jsou soukromé blockchainy potenciálně zranitelnější vůči podvodům, takže organizace musí rozumět vzájemnému propojení sítě, aby mohly zranitelnost efektivně opravit. Pokud se objeví zákeřný insider nebo kybernetický útok, kroky ke zmírnění jsou v podstatě stejné jako u jakékoli jiné kybernetické hrozby: proveďte hodnocení rizik, zaveďte penetrační testování k identifikaci bezpečnostních mezer a vytvořte plán detekce hrozeb a reakce. Organizace, které zapomněly řešit mezery v prozíravosti blockchainu ve svých IT a kybernetických zdrojích, mohou zjistit, že jejich příručky odpovědí zcela nesplňují jejich potřeby.

Konsorcium nebo oprávnění, nasazení

Blockchainy konsorcia – nebo povolené/federované blockchainy – jsou řízeny více entitami, což má své výhody a nevýhody z hlediska bezpečnosti. Stejně jako u soukromých řetězců fungují sítě s povolením vyšší rychlostí díky výběru modelu konsensu, který podporuje důvěryhodné vztahy.

Blockchainy konsorcia jsou relativně bezpečnější, vzhledem k jejich omezenému vystavení externím aktérům. Organizace tedy musí počítat se změnami dat v rámci sítě a důsledky na vnitřní provozní dopady. Musí také věnovat pozornost konsensuálnímu algoritmu a zajistit ochranu soukromí na začátku přijetí. Tím zajistíte, že k němu budou mít přístup pouze ti, které chcete vidět. Je-li vyžadováno soukromí transakcí, musí organizace zajistit, aby vybraná technologie tento požadavek podporovala. Tyto typy preventivních opatření jsou důležité tam, kde existují individuální dopady na soukromí – například když poskytovatelé používají technologii blockchain ke sdílení a ukládání osobních údajů (PII). Týmy pro ochranu soukromí by měly být zapojeny do pochopení a řešení důsledků trvalého uchovávání údajů a globální legislativy na ochranu soukromí.

V každém blockchainu je důležité pochopit, jak mohou být data modifikována škodlivým způsobem – zvláště v konsorciální síti, kde existuje více přístupových bodů. Modelování hrozeb je jedním ze způsobů, jak mohou bezpečnostní lídři vyhodnotit bezpečnostní obavy v rámci nasazení blockchainu, protože identifikuje potenciální slabiny architektury a implementace a definuje, jaké akce mohou zmírnit hrozby v systému. Proaktivní bezpečnostní testování je stejně důležité jako tradiční testování infrastruktury a aplikací. Organizace potřebují posoudit, identifikovat a zmírnit slabá místa v řešeních, která nasazují.

Veřejné nasazení

Veřejné blockchainy jsou přesně tak, jak zní – veřejné. Kdokoli s algoritmem (přemýšlejte o něm jako o klíči) se může připojit a získat přístup k datům blockchainu. Obvykle jsou zcela decentralizované a transparentnější. Veřejné blockchainy, jako je bitcoin a ethereum, jsou základem živého ekosystému, který si stále více získává pozornost. Jeho nezávislost na jakémkoli národním státě nebo organizaci vytváří mechanismus pro ekonomické a sociální inovace. Tyto veřejné distribuované účetní knihy umožňují lidem zapojit se do globálního ekosystému důvěryhodným způsobem a využívat technologii, která je ze své podstaty nedůvěryhodná.

Veřejná síť však přichází s významnými bezpečnostními riziky, na která musí podniky dávat pozor. Tato rizika jsme již viděli při nedávném prolomení Sky Mavis, kde hackeři ukradli 173 600 v kryptoměně ethereum a 25,5 milionu dolarů ze hry Axie Infinity společnosti Ronin Network. Budeme i nadále svědky toho, že k těmto narušením dochází v různých formách, jako je pravidlo 51% útoku, zranitelné chytré smlouvy a přetížení sítě.

Kromě tradičních infrastrukturních a aplikačních rizik je to jen několik, které musí organizace vzít v úvahu při interakci s veřejnými blockchainovými sítěmi a monitorováním narušení. Stejně jako u jiných modelů nasazení by lídři měli zajistit, aby jejich týmy měly dostatečné vzdělání a bystrost v technologii blockchain, aby mohly posoudit svá rizika prostřednictvím taktik, jako je modelování hrozeb a testování zabezpečení.

Blockchainy jsou nevyhnutelnou součástí technologického světa. Je to jeden z největších technologických pokroků za poslední desetiletí, přičemž i Bílý dům se zavázal prozkoumat jeho výhody na národní úrovni. Rizika spojená s implementací blockchainů se liší podle případu použití a souvisejícího modelu nasazení, ale výhody blockchainu převažují nad jeho bezpečnostními riziky, pokud je správně spravován.

Zatímco mnoho aspektů budování na vrcholu této technologie odráží tradiční vývoj řešení, nuance používání nedůvěryhodné a distribuované datové roviny vyžadují pečlivé zvážení. Technologické týmy a týmy kybernetické bezpečnosti musí těmto architektonickým nuancím porozumět, protože se snaží je podporovat a bránit. Mimo rámec technologického referenčního rámce mají některé modely také dopad na soukromí a regulační dopady. Jakmile lídři a jejich týmy stráví a pochopí rizika, která potřebují vyřešit, budou moci pokročit ve svých strategiích v rámci ekosystému a odemknout plný potenciál blockchainů.


Forbes Technology Council je komunita určená pouze pro pozvání pro špičkové CIO, CTO a technologické manažery. Splňuji podmínky?


Populární články