Seguridad

4 técnicas para validar cadenas de bloques empresariales

Seamos realistas, ha habido mucha publicidad sobre blockchain en los últimos años. Hoy, sin embargo, hay señales de que podemos estar a punto de pasar de la parte del ciclo de publicidad «blockchain resolverá todos sus problemas» a la parte del ciclo de publicidad «blockchain podría ser útil para algunas aplicaciones de destino».

Sí, el darwinismo basado en la utilidad está funcionando, y estamos empezando a ver que las aplicaciones de blockchain empresariales propuestas más extrañas e improbables se desvanecen, y solo aquellas que realmente agregan valor continuarán prosperando. Por supuesto, esta transición llevará tiempo, pero, en última instancia, el uso de la cadena de bloques en la empresa seguirá madurando.

Sin embargo, como cuestión práctica, hay una sección de expertos en seguridad que simultáneamente tiene un problema muy específico: a saber, ¿cómo validan el modelo de seguridad de una aplicación de cadena de bloques empresarial contra su entorno? Esto puede ser todo un desafío.

Después de todo, una comprensión detallada de cómo funciona una cadena de bloques requiere una comprensión de los conceptos con los que los profesionales pueden no estar familiarizados, mientras que un análisis de las amenazas potenciales requiere una comprensión de los nuevos ataques y amenazas que comúnmente encuentran los profesionales.

Del mismo modo, un impacto comercial más amplio requiere una comprensión profunda del negocio en sí mismo para comprender cómo blockchain transformará las operaciones.

sin criterios de verificación

Para ver lo que quiero decir, considere algo como un ataque del 51%. Para aplicaciones de cadena de bloques como las criptomonedas, esto se refiere a una situación en la que un adversario puede controlar de manera temporal o permanente una gran parte de la potencia informática y, por lo tanto, puede manipular los datos almacenados en la cadena de bloques como mejor le parezca. (Los titulares de Ethereum Classic son ser muy familiar ahora en esta situación. )

LEER  El 'código oculto' genera riesgo para el 99 % de los sitios web

A menos que el equipo de seguridad de su organización tenga empleados familiarizados con las criptomonedas, por interés personal o por especulaciones fuera del horario laboral, es posible que los equipos de seguridad no estén familiarizados con este tipo de ataque. Dicho esto, dependiendo de los detalles de uso, es probable que esto sea algo que su equipo de implementación deba considerar.

La respuesta, por supuesto, es la estandarización. Sin embargo, si bien no hay escasez de métodos patentados para ayudar a las organizaciones a obtener seguridad sobre las implementaciones de blockchain, el uso empresarial aún se encuentra en sus primeras etapas, por lo que no existen estándares de facto para la evaluación o verificación.

Mientras tanto, por lo tanto, es responsabilidad de los profesionales desarrollar una estrategia para evaluar las implementaciones de blockchain, ya sea para complementar los enfoques adoptados por los expertos que pueden emplear, o hacerlo de forma independiente si no tienen suficientes recursos para contratar a dichos expertos.

Con estas necesidades en mente, aquí hay algunas técnicas que se pueden usar para evaluar y validar modelos de seguridad para implementaciones de blockchain empresarial. No hace falta decir que los detalles de cómo aplicar estas tecnologías a su situación específica variarán según el tipo de uso planificado, los requisitos de seguridad, dónde y cómo usará blockchain, etc.

Dicho esto, independientemente de los detalles, las siguientes técnicas casi siempre agregan valor en el caso general y son lo suficientemente flexibles para adaptarse a su implementación específica.


Técnica 1: Modelado de amenazas de aplicaciones

La primera técnica de este tipo que discutiremos es la Modelado de amenazas de aplicacionesPara aquellos que no estén familiarizados con él, el modelado de amenazas de aplicaciones es el proceso de dividir sistemáticamente una aplicación en sus componentes para ver esos componentes desde la perspectiva de un atacante.

Esta es una técnica muy utilizada en el mundo de la seguridad de aplicaciones y software. Proporciona un gran valor para validar el diseño de la aplicación y seleccionar las contramedidas adecuadas para respaldar los puntos en los que la aplicación puede ser menos vulnerable. Puede proporcionar valor a las aplicaciones de blockchain del mismo modo que puede proporcionar valor a las aplicaciones en general.

Una descripción completa de cómo realizar un modelo de amenaza para una aplicación determinada es demasiado larga para incluirla aquí, pero hay muchos recursos gratuitos (como OWASP modelado de amenazas Pages y Microsoft gratis Herramienta de modelado de amenazas) puede esbozar los conceptos básicos. Sin embargo, una parte importante para recordar al hacer esto es considerar las técnicas de ataque y los métodos de operación específicos de las implementaciones de blockchain: por ejemplo, requisitos de prueba de trabajo, escenarios de ataque del 51 %, registros de duplicación de entradas (similares a los entornos de criptomonedas «doble gasto»). » situaciones en la moneda), condiciones de denegación de servicio que pueden afectar las operaciones (similares a las consideraciones de liquidez para las monedas), etc.

Técnica 2: Pruebas de seguridad del software

Nuevamente, recuerde que el software que permite la implementación de blockchain es solo eso: software. Muchos problemas que afectan negativamente a las implementaciones de criptomonedas son fundamentalmente problemas de software.

Por ejemplo, ataque Derribando el Ethereum DAO (Operaciones autónomas descentralizadas, una organización que opera completamente utilizando contratos inteligentes) es fundamentalmente un error de software (es decir, un código incorrecto) en lugar de un ataque a la propia cadena de bloques subyacente.

Por lo tanto, el impacto de los errores de software es tan importante para las aplicaciones de blockchain como cualquier otra. Por lo tanto, al igual que podría considerar la realización de pruebas de seguridad de aplicaciones estáticas o dinámicas para cualquier otra aplicación de producción, también debe considerar la realización de pruebas de aplicaciones de cadena de bloques, especialmente para software escrito internamente o muy personalizado (p. ej., de cumplimiento de código abierto).

Técnica 3: Pruebas Ambientales

Además de evaluar las aplicaciones e implementaciones de blockchain, también es importante verificar el entorno que admite blockchain. Esto significa probar los sistemas y las tecnologías de soporte que ejecutan los elementos de la cadena de bloques.

Esto puede incluir el análisis de vulnerabilidades y la revisión del propio sistema en el caso de los componentes en el sitio, así como una revisión del proveedor cuando se utiliza una plataforma de cadena de bloques como servicio u otros componentes de la nube como parte de la base de implementación.

Técnica 4: Monitoreo de resultados

Al final, como con cualquier cosa, los resultados del monitoreo son claramente importantes para una validación exitosa. A diferencia de las tecnologías existentes, aparentemente solo se puede hacer un seguimiento limitado antes de que la implementación entre en funcionamiento.

Sin embargo, el uso juicioso de la vigilancia puede ayudar a identificar los impactos comerciales, técnicos o de otro tipo que pueden surgir en la naturaleza, es decir, solo después de que las transacciones comienzan a registrarse en el libro mayor, quedan expuestas a gran escala.


Por supuesto, estas no son las únicas tecnologías que se pueden usar para ayudar a validar las implementaciones de blockchain. Dicho esto, cada uno de estos elementos puede proporcionar valor independientemente de la implementación específica o el caso de uso comercial de la implementación de blockchain en cuestión.

Cada uno de estos enfoques proporciona valor independientemente de sus objetivos comerciales específicos, requisitos de seguridad específicos o los detalles de implementación de la implementación de blockchain en sí.

Las opiniones expresadas en este artículo pertenecen al autor y no reflejan necesariamente las de ECT News Network.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba