售前客服二维码
文章均源于网络收集编辑侵删
提示:仅接受技术开发咨询!
区块链:让回报远远大于风险
2019-03-06 14:13 栏目:经验之谈 来源: 查看()
当有人提到区块链时,首先想到的是什么?许多人可能会说比特币,这是预期的,因为比特币是第一个使区块链成为家喻户晓的主要加密货币。然而,比特币只是众多加密货币中的一种。虽然它是区块链技术的第一次大规模实施,但它只是区块链用于帮助社会和商业的众多用途之一。
区块链技术的第一个主要应用是在2008年随着比特币的发布而引入的,但仅在过去几年中,公司才开始意识到这项技术的潜力。这是因为在过去十年中,安全存储,计算能力和通信的成本大大降低。因此,更多的创新已进入主流市场并服务于普通消费者。
这同样适用于商业部门。今天,我们开始在许多行业看到区块链,包括金融,食品服务,医疗保健,航空,汽车和物流。 2017年,区块链市场价值7.08亿美元。两份单独的报告估计,到2024年至2025年,市场价值可能在20至600亿美元之间。这种显着增长意味着在不到10年的时间内增长了8300%。
我们仍处于探索这项技术的早期阶段,需要时间才能充分发挥其应用和潜力。例如,计算机用了将近10年才达到80%的利用率。对于企业而言,区块链技术仅在2015年底出现。那么这意味着什么?当我们看到新技术的出现和稳步发展时,那些喜欢站在技术前沿的人们对于区块链的尽可能缺乏感到兴奋。话虽如此,随着新技术的发展,它也带来了新的挑战,特别是在安全方面。
大实施,有限的专家
对区块链基础设施有深刻理解的人通常是区块链开发人员和架构师,他们的数量正在增加,但仍然很少。如果您在区块链的安全专家层中,您会发现这个数字甚至更小。关于区块链的安全性几乎没有任何公共信息或指导。
那么,在不了解可能导致整个系统崩溃的潜在攻击路径和风险的情况下开发这些成熟的解决方案,您的意思是什么?从本质上讲,区块链的分散性与共识协议相结合,可以帮助满足一些安全需求,但如果没有充分探索安全性,后果可能会很糟糕。
区块链是代码,代码可能有缺陷
如前所述,区块链的核心概念很简单:它是一个分布式,不可变,加密保证的分类帐,可以与应用程序关联(通常称为“智能合约”)。相互作用。
智能合约由存储在区块链中的无数代码组成。当满足预定条款和条件时,这些合同将自动执行。它们是可以复制流程或业务逻辑的小程序,可用于在多方之间执行协议,以便他们可以在没有任何中介的情况下确定结果。
例如,智能合约可用于医疗保健行业。用户数据(例如血压和其他指标)可以发布到链中,一旦指标超过指定阈值,智能合约就可以执行诸如通知用户和/或流程之类的操作,例如进一步咨询专家解决他们的健康问题。可能破坏智能合约的漏洞可能允许攻击者修改代码中的关键细节。在上面的示例中,如果攻击者可以影响业务逻辑或引入其他代码来执行意外操作,会发生什么?
但是,与许多强大的技术一样,区块链在概念上也很简单,但如果实施不当,缺陷和漏洞可能会带来风险和安全风险。想想如果一个人在将智能合约的数据存储在链上之前可以更改的话会发生什么。链上的数据应该值得信赖,对吧?那么导致业务逻辑如预期那样失败的智能合约呢?
在过去几年中,X-Force Red在区块链生态系统中发现了过多的风险,在这种生态系统中,访问控制可能会在用户和管理层面被滥用。例如,某些漏洞可能允许攻击者将恶意代码注入网络,从而有效地破坏所有节点。
无论采用何种技术,您的标准日常应用程序(即Web /移动应用程序)仍需要在某种程度上与链条进行交互。我们的渗透测试人员可以危害这些组件并在后端系统上移植到后端系统,几乎没有安全性,允许攻击者在链上插入数据或执行任何公共功能。功能可以包括更高权限管理访问权限或访问用户不应访问的数据。如果发生这种情况,环境如何保护自己免受恶意行为的侵害?
提高区块链安全标准
安全性是将阈值提高到足以使攻击者难以利用任何漏洞。如果他们发动攻击,他们将在网络上产生足够的噪音以进行检测,事故响应计划预计会关闭。因此,从应用程序和网络级别进行监视是保护区块链实现的关键。内部主机应该扫描您的内部网络吗?我不这么认为!
另一个预防措施是借鉴着名的电视节目《 x文件》(X档案),不要相信任何人:
·构建分层防御,其中解决方案的每一层都对其上方的所有层提供一定程度的不信任。
·在应用程序和区块链级别实施严格的访问控制,以防止过度许可访问和滥用。
·在处理所有敏感信息(包括关键材料)时,确保强有力的治理控制和流程。如果您的证书颁发机构泄露给未经授权的第三方,则游戏结束;他们将完全控制您的区块链环境。
·实施强大的变更控制和安全的代码审查流程,以确保所有配置设置和源代码(即智能合约)尽可能安全,并且不包含任何可能被滥用的弱点。
这些只是您可以采取的一些基本操作,以帮助保护启用区块链的环境的完整性,可用性和机密性。
在X-Force Red,我们有许多经验丰富的黑客,他们在区块链中拥有独特的技能,可以对区块链技术和连接基础设施中的任何内容进行安全评估和渗透测试。
IBM是区块链技术行业的领导者,因此我们的X-Force Red黑客在与该领域的领先专家合作时将会接触到该技术的许多领域。
所有这些最终导致对技术的深刻理解以及从端到端角度评估任何支持区块链的解决方案的能力。 X-Force Red可以从设计/架构的角度审查环境,并手动审查智能合约,访问控制,关键组件的配置等。我们还可以测试与区块链接口的所有应用程序和技术,与关键利益相关者和开发人员合作,充分了解他们可能面临的潜在风险,并帮助降低受损风险。
区块链技术的第一个主要应用是在2008年随着比特币的发布而引入的,但仅在过去几年中,公司才开始意识到这项技术的潜力。这是因为在过去十年中,安全存储,计算能力和通信的成本大大降低。因此,更多的创新已进入主流市场并服务于普通消费者。
这同样适用于商业部门。今天,我们开始在许多行业看到区块链,包括金融,食品服务,医疗保健,航空,汽车和物流。 2017年,区块链市场价值7.08亿美元。两份单独的报告估计,到2024年至2025年,市场价值可能在20至600亿美元之间。这种显着增长意味着在不到10年的时间内增长了8300%。
我们仍处于探索这项技术的早期阶段,需要时间才能充分发挥其应用和潜力。例如,计算机用了将近10年才达到80%的利用率。对于企业而言,区块链技术仅在2015年底出现。那么这意味着什么?当我们看到新技术的出现和稳步发展时,那些喜欢站在技术前沿的人们对于区块链的尽可能缺乏感到兴奋。话虽如此,随着新技术的发展,它也带来了新的挑战,特别是在安全方面。
大实施,有限的专家
对区块链基础设施有深刻理解的人通常是区块链开发人员和架构师,他们的数量正在增加,但仍然很少。如果您在区块链的安全专家层中,您会发现这个数字甚至更小。关于区块链的安全性几乎没有任何公共信息或指导。
那么,在不了解可能导致整个系统崩溃的潜在攻击路径和风险的情况下开发这些成熟的解决方案,您的意思是什么?从本质上讲,区块链的分散性与共识协议相结合,可以帮助满足一些安全需求,但如果没有充分探索安全性,后果可能会很糟糕。
区块链是代码,代码可能有缺陷
如前所述,区块链的核心概念很简单:它是一个分布式,不可变,加密保证的分类帐,可以与应用程序关联(通常称为“智能合约”)。相互作用。
智能合约由存储在区块链中的无数代码组成。当满足预定条款和条件时,这些合同将自动执行。它们是可以复制流程或业务逻辑的小程序,可用于在多方之间执行协议,以便他们可以在没有任何中介的情况下确定结果。
例如,智能合约可用于医疗保健行业。用户数据(例如血压和其他指标)可以发布到链中,一旦指标超过指定阈值,智能合约就可以执行诸如通知用户和/或流程之类的操作,例如进一步咨询专家解决他们的健康问题。可能破坏智能合约的漏洞可能允许攻击者修改代码中的关键细节。在上面的示例中,如果攻击者可以影响业务逻辑或引入其他代码来执行意外操作,会发生什么?
但是,与许多强大的技术一样,区块链在概念上也很简单,但如果实施不当,缺陷和漏洞可能会带来风险和安全风险。想想如果一个人在将智能合约的数据存储在链上之前可以更改的话会发生什么。链上的数据应该值得信赖,对吧?那么导致业务逻辑如预期那样失败的智能合约呢?
在过去几年中,X-Force Red在区块链生态系统中发现了过多的风险,在这种生态系统中,访问控制可能会在用户和管理层面被滥用。例如,某些漏洞可能允许攻击者将恶意代码注入网络,从而有效地破坏所有节点。
无论采用何种技术,您的标准日常应用程序(即Web /移动应用程序)仍需要在某种程度上与链条进行交互。我们的渗透测试人员可以危害这些组件并在后端系统上移植到后端系统,几乎没有安全性,允许攻击者在链上插入数据或执行任何公共功能。功能可以包括更高权限管理访问权限或访问用户不应访问的数据。如果发生这种情况,环境如何保护自己免受恶意行为的侵害?
提高区块链安全标准
安全性是将阈值提高到足以使攻击者难以利用任何漏洞。如果他们发动攻击,他们将在网络上产生足够的噪音以进行检测,事故响应计划预计会关闭。因此,从应用程序和网络级别进行监视是保护区块链实现的关键。内部主机应该扫描您的内部网络吗?我不这么认为!
另一个预防措施是借鉴着名的电视节目《 x文件》(X档案),不要相信任何人:
·构建分层防御,其中解决方案的每一层都对其上方的所有层提供一定程度的不信任。
·在应用程序和区块链级别实施严格的访问控制,以防止过度许可访问和滥用。
·在处理所有敏感信息(包括关键材料)时,确保强有力的治理控制和流程。如果您的证书颁发机构泄露给未经授权的第三方,则游戏结束;他们将完全控制您的区块链环境。
·实施强大的变更控制和安全的代码审查流程,以确保所有配置设置和源代码(即智能合约)尽可能安全,并且不包含任何可能被滥用的弱点。
这些只是您可以采取的一些基本操作,以帮助保护启用区块链的环境的完整性,可用性和机密性。
在X-Force Red,我们有许多经验丰富的黑客,他们在区块链中拥有独特的技能,可以对区块链技术和连接基础设施中的任何内容进行安全评估和渗透测试。
IBM是区块链技术行业的领导者,因此我们的X-Force Red黑客在与该领域的领先专家合作时将会接触到该技术的许多领域。
所有这些最终导致对技术的深刻理解以及从端到端角度评估任何支持区块链的解决方案的能力。 X-Force Red可以从设计/架构的角度审查环境,并手动审查智能合约,访问控制,关键组件的配置等。我们还可以测试与区块链接口的所有应用程序和技术,与关键利益相关者和开发人员合作,充分了解他们可能面临的潜在风险,并帮助降低受损风险。
郑重申明:资讯文章为网络收集整理,官方公告以外的资讯内容与本站无关!
- 联系我们
- 电话:18502831623
- 手机:18502831623
- 客服:在线咨询
- 邮箱:zuocoin@foxmail.com
微信二维码
- 在线咨询
- 18502831623
-
微信二维码