블록 체인 구현 : 기업의 주요 보안 위험

광고 - 중반
광고 - 중반
광고 - 중반
광고 - 중반

블록 체인 구현 : 기업의 주요 보안 위험

RSA 2019에서 IBM X-Force Red의 Charles Henderson은 블록 체인을 기업에 도입하는 데 관련된 사이버 보안 문제를 설명했습니다.

블록 체인 구현 : 기업의 주요 보안 위험
RSA 2019에서 IBM X-Force Red의 Charles Henderson은 블록 체인을 기업에 도입하는 데 관련된 사이버 보안 문제를 설명했습니다.

RSA 2019의 TechRepublic 수석 편집자 인 Alison DeNisco Rayome은 IBM X-Force Red의 Charles Henderson과 함께 블록 체인을 기업에 도입하는 데 관련된 사이버 보안 문제에 대해 이야기했습니다. 다음은 편집 된 성적 증명서입니다.

Alison DeNisco Rayome : Blockchain은 지난 2 년 동안 기업의 주요 유행어였습니다. 이제는 비즈니스가 단지 실제 구현에 대해 이야기하는 것에서 시작하기 시작합니다.하지만 30 % blockchain 구현은 실제로 블록 체인 기술을 필요로합니다. 그걸 조금 더 말해 줄 수 있니?

찰스 헨더슨 : 확실한. 언제든지 소비자가 시작하거나 기업이 특정 기술을 구현하기 시작하면 항상 기술을 마법의 탄환으로 생각합니다. 당신은 그것을 많이 보았고, 아마도 블록 체인 (blockchain)을 보았고, 그들은 "이봐, 근본적인 암호? 나는 그 암호를 안다. 그 암호가 좋다. 블록 체인은 훌륭합니다. 나는 보안에 대해 걱정할 필요가 없다. "

음, 암호보다 블록 체인에 더 많은 것이 있습니다. 구현, 조직 세부 사항, 그 뒤에있는 사람들이 있습니다. 그것이 내려지는 것은 그러한 모든 것들이 오류가 있다는 것입니다. 암호가 양호하더라도 인프라가 모든 것을 손상시킬 수 있습니다.

블록 체인을 파괴하기 위해 반드시 암호를 뒤엎을 필요는 없습니다. 그것은 정말로 중요한 성명서입니다. 우리가보고있는 것은 어딘가에 블록 체인을 구현 한 회사가 어떤 프로세스에서 70 % 문제 일 수 있기 때문에 테스트를 시작해야한다는 것을 깨닫는 것입니다.

참조 : 블록 체인이란 무엇입니까? 기술 및 혁명 이해 (TechRepublic 다운로드)

Alison DeNisco Rayome : 조직이 블록 체인을 적절히 확보하고 있는지 확인할 수있는 방법은 무엇입니까?

찰스 헨더슨 : 글쎄, 맨 먼저, 그들은 연습에 성공한 사람들을 볼 필요가 있습니다. 테스트에서 발견 된 문제를 해결하는 것은 처음부터 올바르게하는 것보다 항상 더 비쌉니다.

즉, 테스트를 수행해야합니다. 솔루션 자체 만 보는 것이 아니라 솔루션을 구현하면서 솔루션을 살펴 보는 것입니다. 다른 말로하면 인프라를 살펴 보는 것입니다. 사람들을 보면서. 침투 테스트 중.

다른 기술 분야에서 당신이 할 수있는 일들의 종류. 그 블럭 체인이 섬세한 눈송이가 아니라는 것을 깨닫고, 그것은 꿰 뚫을 수 없습니다. 사람들이 실수를하기 때문입니다.

당신이 그것에 대해 생각한다면, 당신이 주어진 주에하는 모든 어리석은 실수들, 내가 주어진 주간에 할 모든 실수들 ... 문제는, 어리 석다는 방화벽이 없다는 것입니다.

Alison DeNiscoRayome : 블록 체인을 안전하게하는 것이 전체 기업의 보안을 실제로 향상시킬 수있는 몇 가지 방법은 무엇입니까?

찰스 헨더슨 : 글쎄, 당신이 그것에 대해 생각한다면 범죄자들은 ​​기업을 재미있게 공격하지 않습니다. 그들은 이익을 위해 공격합니다. 그들은 정말로 그들이 절충 한 것이 든, 그것이 어떻게 타협을하는지 상관하지 않습니다. 그들은 투자 수익을 중요시합니다. 그것은 그 이익을 극대화하는 것입니다.

당신은 범죄 행위를보고 어떻게 진화했는지 ... 범죄자들이 특정 시점의 화폐 화에서 벗어나는 것을보고 있습니다 ... 상황은 좋아, ransomware를 기억합니까? 그것은 쇠퇴하고 있습니다. 글쎄, 왜 쇠퇴하고 있니? 왜냐하면 그것은 일일이 다.

그들은 구독 수익을 원합니다. 그들은 지속적인 수입 흐름을 원합니다. cryptojacking 같은 것들을 보게됩니다. 음, 기업을 공격하는 것은 거의 같습니다. 그들은 지속적인 수입 흐름을 원합니다. 월스트리트의 모든 투자 회사가 숫자와 관련하여 찾는 것과 동일한 것. 그들이 바라는 것은 그들의 공격 기술뿐 아니라 비즈니스를 진화시키는 것입니다.

SEE : 보안 인식 및 교육 정책 (Tech Pro Research)

Alison DeNisco Rayome : 당신이 한 일도 알았습니다. 장비를 조금 바꿨습니다. 키오스크에 대한 연구도있었습니다. 그 얘기 좀 할 수 있니?

찰스 헨더슨 : 사무실의 1 층에 앉아있는 클립 보드를 가진 사람을 기억하십니까?

그들은 이름을 사용하는 데 익숙 했었고 로그인을 했었습니다. 이름, 전자 메일 주소를 알려주는 경우도있었습니다. 때로는 사회 보장 번호를 제공하기도했습니다. 기본적으로 ... 큰 위험은 누군가가 클립 보드를 훔칠 것이라는 겁니까?

글쎄, 그들은 그 사람을 클립 보드로 키오스크로 대체했습니다. 그것은 방문자 관리 시스템입니다. 해당 방문자 관리 시스템의 개념은 편의를 추가하고 기능을 추가하는 것입니다.

문제는 방문자 관리 시스템이 손상되면 6 시간의 방문자 체크인을 기다리지 않는다는 것입니다. 당신은 6 주, 6 개월, 심지어 6 년을보고 있습니다. 그 데이터는 공격자에게 매우 매력적입니다.

당신은 방문자 관리 시스템이 어디에 사용되는지 생각하기 시작합니다. 그들은 의사 사무실이 될 수 있습니다. 그들은 금융 회사 일 수 있습니다. 그들은 법률 사무소가 될 수 있습니다.

실제로, 합병 및 인수가 진행될 수 있는지 파악하기 위해 많은 방문자 관리 레코드를 실제로 처리 할 수 ​​있습니다. 또는 누군가의 건강 기록이 무엇인지. 사람에 대해 많이 알 수 있습니다. 그 정보는 정확히 범죄자에 대해 이야기 한 구독 수익 모델에 도움이되는 정보입니다.

Alison DeNisco Rayome : 조직이 이러한 관리 시스템을 안전하게 할 수있는 방법은 무엇입니까?

찰스 헨더슨 : 글쎄,이 이야기에 실제로 큰 구성 요소입니다. 우리가 수행 한 취약점 연구 결과, 다섯 가지 방문자 관리 시스템에서 19 취약점이 발견되었습니다. 그것은 실제로 우리가 인턴들에게 주어진 일이었습니다. 우리 인턴은이 취약점 연구를하고있었습니다.

SEE : 네트워크 보안 정책 템플릿 (Tech Pro Research)

난이도에 대해 생각해보십시오.이 취약점은 단단한 취약점 이었지만 일부는 상당히 낮은 수준이었습니다. 이것들은 엄격한 테스트를 거치지 않았 음이 분명했습니다. 예를 들어, 취약점 중 하나가 이스케이프 키와 관련되어 있기 때문입니다. 그들은 도피 열쇠는 당신을 타협에서 분리하는 것이어서는 안됩니다.

다음과 같은 중요한 정보와 함께 이러한 종류의 시스템에 필요한 테스트의 수준에 대해 생각하기 시작합니다. PII를 잊어 버려서 ... 개인의 삶에 관한 중요한 정보를 두 번째로 잊어 버리십시오.

기업들이 방문자 관리 시스템을 만든 두 벤더 모두를 테스트하는 것이 중요하다고 생각하지만이를 채택한 회사도 마찬가지입니다. 로비에 제품을 넣고 테스트 할 필요가없는 마술 상자로 생각할 수는 없습니다. 웹 애플리케이션이 아니기 때문에 테스트를 포기할 수있는 것은 아닙니다.

참조

소스코드

광고 하단
광고 하단
광고 하단
광고 하단

의견 없음