ブロックチェーンの実装:企業にとっての最大のセキュリティリスク

広告中点
広告中点
広告中点
広告中点

ブロックチェーンの実装:企業にとっての最大のセキュリティリスク

RSA 2019で、IBM X-ForceRedのCharlesHendersonは、企業にブロックチェーンを導入することに伴うサイバーセキュリティの課題について説明しました。

ブロックチェーンの実装:企業にとっての最大のセキュリティリスク
RSA 2019で、IBM X-ForceRedのCharlesHendersonは、企業にブロックチェーンを導入することに伴うサイバーセキュリティの課題について説明しました。

RSA 2019で、TechRepublicのシニアエディターであるAlison DeNisco Rayomeは、IBM X-ForceRedのCharlesHendersonと、企業にブロックチェーンを導入する際のサイバーセキュリティの課題について話しました。 以下は編集されたトランスクリプトです。

アリソンデニスコレイオーム: ここ数年、ブロックチェーンは企業にとって主要な流行語であり、今やようやく企業がそれについて話しているだけから実際の実装に移行し始めていることを私たちは知っていますが、皆さんは30%しか見つけていないことを知っていますブロックチェーンの実装には、実際にはブロックチェーンテクノロジーが関係しています。 それについてもう少し教えていただけますか、そしてあなたが見つけたものは何ですか?

チャールズヘンダーソン: 承知しました。 消費者が…または企業が特定のテクノロジーを実装し始めるときはいつでも、彼らは常にテクノロジーを魔法の弾丸と考えています。 あなたはそれをよく見ます、彼らは多分ブロックチェーンを見て、そして彼らは言います、「ねえ、基礎となる暗号? 私はその暗号を知っています。 その暗号は良いです。 ブロックチェーンは素晴らしいです。 セキュリティについて心配する必要はありません。」

さて、ブロックチェーンには暗号よりもはるかに多くのものがあることがわかりました。 実装、組織の詳細、その背後にいる人々がいます。 結局のところ、それらのすべては誤りやすいということです。 暗号が優れていても、インフラストラクチャはすべてを損なう可能性があります。

ブロックチェーンを破壊するために、私は必ずしも暗号を破壊する必要はありません。 それは本当に重要な声明です。 私たちが目にしているのは、ブロックチェーンをどこかに、あるプロセスで実装した企業が、70%が重要であるため、テストを開始する必要があることを認識していることです。

参照:ブロックチェーンとは何ですか? テクノロジーと革命を理解する(TechRepublicダウンロード)

アリソンデニスコレイオーム: 組織がブロックチェーンを適切に保護していることを確認する方法は何ですか?

チャールズヘンダーソン: さて、何よりもまず、彼らは練習で成功した人々を見る必要があります。 テストで問題が発見されたときに問題を修正することは、最初に問題を修正するよりも常に費用がかかります。

そうは言っても、彼らはテストを実施する必要があります。 ソリューション自体を見るだけでなく、実装時にソリューションを見る。 言い換えれば、インフラストラクチャを見てください。 人々を見てください。 ペネトレーションテストを行う。

他のテクノロジー分野で行うようなこと。 ブロックチェーンは繊細なスノーフレークではなく、侵入できないものではないことを認識しています。 人々が間違いを犯したからです。

あなたがそれについて考えるならば、あなたが特定の週に犯すすべての愚かな間違い、私が特定の週に犯すすべての間違い…問題は、愚かなためのファイアウォールがないということです。

アリソンDeNiscoRayome: ブロックチェーンを保護することで、企業全体のセキュリティを実際に強化できる方法は何ですか?

チャールズヘンダーソン: まあ、あなたがそれについて考えるならば、犯罪者は楽しみのために企業を攻撃しません。 彼らは利益のために攻撃します。 彼らは本当に何を妥協するか、あるいはどのように妥協するかさえ気にしません。 彼らは投資収益率を気にします。 それはその利益を最大化することです。

あなたは犯罪活動とそれらがどのように進化したかを見ます…あなたは犯罪者が特定の時点の収益化から移動するのを見ています…例えば、ランサムウェアを覚えていますか? 衰退しています。 さて、なぜそれが減少しているのですか? それはXNUMX回限りのことだからです。

彼らはサブスクリプション収入を望んでいます。 彼らは継続的な収入源を望んでいます。 クリプトジャッキングのようなものが登場します。 ええと、企業を攻撃することはほとんど同じです。 彼らは継続的な収入源を望んでいます。 数の点で、すべてのウォール街の投資会社が探しているのと同じこと。 彼らが求めているのは、攻撃のテクノロジーだけでなく、ビジネスを進化させることです。

参照:セキュリティの認識とトレーニングポリシー(Tech Pro Research)

アリソンデニスコレイオーム: ギアを少し切り替えて、キオスクに関するいくつかの調査を行ったこともあります。 それについて少し教えていただけますか?

チャールズヘンダーソン: あなたはあなたのオフィスのXNUMX階に座っていたクリップボードを持っている人を覚えていますか?

彼らはかつて名前を取り、あなたはサインインしました。あなたは彼らにあなたの名前、電子メールアドレスを与えるかもしれません、時にはあなたは彼らにあなたの社会保障番号を与えることさえありました。 基本的には…大きなリスクは誰かがクリップボードを盗もうとすることでしたよね?

さて、彼らはその人をキオスク付きのクリップボードに置き換えました。 それは訪問者管理システムです。 その訪問者管理システムのアイデアは、利便性を追加し、機能を追加することです。

問題は、その訪問者管理システムが危険にさらされている場合、XNUMX時間の訪問者チェックインを見ていません。 あなたはXNUMX週間、XNUMXか月、おそらくXNUMX年を見ています。 そのデータは攻撃者にとって非常に魅力的です。

あなたは訪問者管理システムがどこで使われるかについて考え始めます。 彼らは医者のオフィスかもしれません。 彼らは金融会社かもしれません。 彼らは法律事務所である可能性があります。

実際、実際に多くの訪問者管理レコードを整理して、どのような合併や買収が行われているのかを把握することができます。 または誰かの健康履歴は何ですか。 あなたは人について多くを知ることができます、そしてそれはまさに私たちが犯罪者が行くことについて話したそのサブスクリプション収入モデルに役立つ種類の情報です。

アリソンデニスコレイオーム: 組織がそれらの管理システムを保護していることを確認できるいくつかの方法は何ですか?

チャールズヘンダーソン: まあ、それは実際にはこの物語の素晴らしい要素です。 私たちが行った脆弱性調査では、19つの訪問者管理システムでXNUMXの脆弱性が見つかりました。 それは実際に私たちがインターンに課したものでした。 私たちのインターンはこの脆弱性の調査を行っていました。

参照:ネットワークセキュリティポリシーテンプレート(Tech Pro Research)

あなたは難易度について考えます、そしてこれらは確かな脆弱性でした、しかしそれらのいくつかはかなり低水準でした。 これらが厳密なテストを受けていないことは明らかでした。 これは、たとえば、脆弱性のXNUMXつにエスケープキーが関係しているためです。 それらのエスケープキーは、妥協からあなたを分離するものであってはなりません。

この種のシステムに必要なテストのレベルについて考え始めます。重要な情報は…PIIを少し忘れてください…プレイ中の個人の生活に関する重要な情報です。

訪問者管理システムを作成したベンダーだけでなく、それを採用した企業も、企業がテストに取り組むことが重要だと思います。 ロビーに商品を貼り付けて、テストを必要としない魔法の箱と考えることはできません。 Webアプリケーションではないからといって、テストをやめることができるとは限りません。

また見てください

ソース

広告底部
広告底部
広告底部
広告底部

コメントはありません