Blockchain implementering: Største sikkerhedsrisici for virksomheden

ad-Midbar
ad-Midbar
ad-Midbar
ad-Midbar

Blockchain implementering: Største sikkerhedsrisici for virksomheden

På RSA 2019 forklarede Charles Henderson fra IBM X-Force Red de cybersikkerhedsudfordringer, der var involveret i at bringe blockchain til virksomheden.

Blockchain implementering: Største sikkerhedsrisici for virksomheden
På RSA 2019 forklarede Charles Henderson fra IBM X-Force Red de cybersikkerhedsudfordringer, der var involveret i at bringe blockchain til virksomheden.

På RSA 2019 talte TechRepublic Senior Editor Alison DeNisco Rayome sammen med IBM X-Force Reds Charles Henderson om cybersikkerhedsudfordringer involveret i at bringe blockchain til virksomheden. Følgende er et redigeret transkript.

Alison DeNisco Rayome: Vi ved, at blockchain har været et stort buzzword for virksomheder i løbet af de sidste par år, og nu begynder vi endelig at se virksomheder flytte fra bare at tale om det til nogle faktiske implementeringer, men jeg ved, at jer fandt ud af, at kun 30% af blockchain implementering er faktisk involverer blockchain teknologi. Kan du fortælle mig lidt mere om det, og hvad har du fundet?

Charles Henderson: Jo da. Når som helst forbrugerne begynder at ... eller virksomheder begynder at implementere visse teknologier, tænker de altid på teknologien som en magisk kugle. Du ser det meget, de ser måske på blockchain, og de siger "Hey, den underliggende krypto? Jeg kender den krypto. Den krypto er god. Blockchain er fantastisk. Jeg behøver ikke bekymre mig om sikkerhed. "

Nå viser det sig, at der er meget mere at blokere end kryptoen. Der er implementeringen, de organisatoriske detaljer, folkene bagved det. Hvad det kommer til er, er alle disse ting fejlbare. Selvom kryptoen er god, kan infrastrukturen undergrave alt.

For at undergrave blockchain behøver jeg ikke nødvendigvis at undergrave kryptoen. Det er en virkelig vigtig erklæring. Hvad vi ser er virksomheder, der har implementeret blockchain et eller andet sted, i en eller anden proces, indse, at de skal begynde at teste det, for måske betyder 70% noget.

SE: Hvad er blockchain? Forstå teknologien og revolutionen (TechRepublic download)

Alison DeNisco Rayome: Hvad er nogle måder, hvorpå organisationer kan sikre sig, at de sikrer tilstrækkelig sikring af blockchain?

Charles Henderson: Nå først og fremmest skal de se på folk, der har haft succes i praksis. At løse et problem, når det opdages ved testning, er altid dyrere end at få det rigtigt første gang.

Når det er sagt, skal de foretage test. Ikke bare kigger på løsningen selv, men ser på løsningen, da de implementerede den. Med andre ord ser vi på infrastrukturen. Kigger på folket. Gennemprøvning af penetration.

De slags ting, du ville gøre i ethvert andet teknologisk rum. At indse, at blockchain ikke er en delikat snefnug, og det er ikke uigennemtrængeligt. Kun fordi folk gør fejl.

Hvis du tænker på det, er alle de dumme fejl, du laver i en given uge, alle de fejl, jeg laver i en given uge ... Problemet er, at der ikke er nogen firewall for dum.

Alison DeNiscoRayome: Hvad er nogle måder at sikre blockchain rent faktisk kunne forbedre sikkerheden for den samlede virksomhed?

Charles Henderson: Nå, hvis du tænker på det, kriminelle ikke angriber en virksomhed for sjov. De angriber for overskud. De er virkelig ligeglad med hvad de kompromitterer, eller endda hvordan de kompromitterer det. De bekymrer sig om investeringsafkastet. Det handler om at maksimere det overskud.

Du kigger på kriminelle aktiviteter og hvordan de har udviklet sig ... Du ser kriminelle bevæger sig fra point-in-time-indtægter ... Slike ting, husk ransomware? Det er faldende. Nå, hvorfor falder det? Fordi det er en en-og-færdig.

De ønsker abonnementsindtægter. De ønsker en løbende indtægtsstrøm. Du ser ting som kryptojacking kommer op. Nå, at angribe virksomheden er meget det samme. De ønsker en løbende indtægtsstrøm. Det samme som alle Wall Street investeringsselskaber søger efter, hvad angår tal. Hvad de ser er at udvikle deres forretning, ikke kun teknologien i deres angreb.

SE: Sikkerhedsbevidsthed og træningspolitik (Tech Pro Research)

Alison DeNisco Rayome: Jeg ved, du har også gjort, skifte gear lidt, nogle undersøgelser på kiosker. Kan du fortælle mig lidt om det?

Charles Henderson: Kan du huske den person med klippebordet, der sad i første sal på kontorerne?

De plejede at tage navne, og du ville logge ind. Du vil måske give dem dit navn, e-mail-adresse, nogle gange kan du endda give dem dit Social Security-nummer. Det var grundlæggende ... den store risiko var, at nogen skulle stjæle klippebordet, ikke?

Nå nu har de erstattet den person med udklipsholderen med en kiosk. Det er et besøgsstyringssystem. Ideen om det besøgendes ledelsessystem er at tilføje bekvemmelighed, for at tilføje evnen.

Problemet er, at hvis det besøgende management system er kompromitteret, kigger du ikke på seks timers check-in for besøgende. Du kigger på seks uger, seks måneder, måske endda seks år. Disse data er meget attraktive for angribere.

Du begynder at tænke på, hvor besøgende styringssystemer bruges. De kunne være lægerkontorer. De kunne være finansielle virksomheder. De kunne være juridiske kontorer.

Faktisk kan du faktisk parlay mange af de besøgende ledelseskort for at finde ud af, hvilke fusioner og opkøb der kan ske. Eller hvad nogens sundhedshistorie er. Du kan finde ud af meget om en person, og det er netop den slags information, der hjælper i den abonnementsomsætningsmodel, som vi talte om forbrydere.

Alison DeNisco Rayome: Hvad er nogle måder, som organisationer kan sikre, at de sikrer disse styringssystemer?

Charles Henderson: Nå, det er faktisk en stor komponent til denne historie. Sårbarhedsforskningen, vi gjorde, fandt vi 19 sårbarheder over fem besøgende management systemer. Det var faktisk noget vi opgav vores praktikanter med. Vores praktikanter gjorde denne sårbarhedsforskning.

SE: Netværkssikkerhedspolitisk skabelon (Tech Pro Research)

Du tænker på sværhedsgraden, og disse var solide sårbarheder, men nogle af dem var temmelig low-bar. Det var klart, at disse ikke havde gennemgået streng testning. Det skyldes for eksempel, at en af ​​sårbarhederne involverede escape-nøglen. De undslippe nøglen bør ikke være, hvad adskiller dig fra et kompromis.

Du begynder at tænke på niveauet af test, der skal være påkrævet for disse slags systemer, med kritiske oplysninger om ... Glem PII for et sekund ... kritisk information om de enkeltes liv på spil.

Jeg synes, at det er vigtigt, at virksomhederne forpligter sig til at teste, både de leverandører, der skabte de besøgende styringssystemer, men også de virksomheder, der vedtog dem. Du kan ikke bare holde et produkt i din lobby og tænke på det som en magisk boks, der ikke kræver testning. Bare fordi det ikke er en webapplikation betyder det ikke, at du kan afstå fra test.

Se også

Kilde

ad-bund
ad-bund
ad-bund
ad-bund

INGEN KOMMENTARER