当全球的领导者都在研究如何利用区块链技术的优势时,安全往往是首要考虑的问题。他们可能意识到了区块链固有的许多安全优势,比如加密学、不变性、去中心化。但问题仍然存在,比如: 将区块链作为技术问题的最佳方法是什么?攻击者如何危害区块链技术?考虑到其固有的安全性,攻击者甚至如何危害区块链?
今天的领导人必须挑战传统智慧,以不同的方式思考,以便在区块链的背景下实现尽可能高的安全。这里有三个关键的考虑因素,每一个都基于安全研究和其他数据的一系列见解,使领导者能够应对这些挑战。
1. 安全不仅是技术问题,还是领导问题
今天的大多数组织都不承认网络安全是核心领导纪律。以安全记者Brian Krebs的非正式调查为例。他根据市场价值对全球100家最大公司的领导网页进行了研究,发现只有5%的公司列出了任何类型的网络安全领导者。这生动地表明,大多数公司并不认为网络安全是整个业务领导团队的关键组成部分。
这也呼应了最近公布的一项关于医疗安全的两年研究的一个关键发现,其中一个主要的结构缺陷是“医疗机构的决策者对安全实践几乎没有洞察力或控制力”。这些例子证明了一个强有力的衡量标准,即我们安全行业中的许多人都知道这一点是正确的:太多的领导者认为安全是一个技术问题,而不是领导问题。
然而,市场已经表明了这一点,世界各地的行业都开始将安全视为核心领导问题。在臭名昭著的目标违规事件的影响下:首席执行官和首席信息官都因此被解雇。美国政府人事管理办公室主任因其机构遭受灾难性违约而被迫辞职;索尼影业娱乐公司在其臭名昭著的违约事件后更换联席主席。
所有这些都有一个共同点,那就是这些领导人——无论是公共部门还是私营部门——可能都不认为网络安全是他们在违规之前工作职责的核心。但是他们各自组织的共识是,网络安全是最高领导层的责任,他们被要求对安全方面的失败负责。
领导者对此能做些什么?
· 在您的组织中建立安全领导职位,并确保他们有权在必要时采取行动。这个领导者需要能够有效地倡导组织的安全需求,特别是当安全需求与组织的功能需求发生冲突时。
· 对自己进行核心安全设计原则的培训,以便在与指定的安全负责人互动时获得更好的信息。这最终会使您更有效地管理这个领域,而您最终对此负责。
2. 攻击不仅是攻击者能力的结果,也是开发人员错误的结果
随着区块链技术的出现,攻击者已经显示出部署新的和异国情调的攻击技术的能力,这些技术仅与此上下文相关,例如“51%攻击”——攻击者获得对一半以上区块链的控制,从而实现各种恶意结果的技术。
头条新闻会让你相信,我们几乎每天都在读到的重大漏洞都是极为熟练的攻击者利用外来的、以前未知的漏洞来追求其迂回目标的结果。这在某种程度上可能是真的,但这只是整个挑战的一小部分。
相反,领导者应该认识到,最常见的漏洞是由于未能理解并充分实施已知有效的安全措施。
例如,OWASP Top 10,一组“代表对Web应用程序最关键的安全风险的广泛共识”的漏洞,包括常见的问题,如注入攻击、损坏的身份验证、安全配置错误等。
这些问题被很好地理解,有很好的文件记录,很多年来辩护者都知道这些问题。然而,这些问题仍然困扰着世界各地的组织,并构成当今领导人应该意识到和关注的大多数安全漏洞。
领导者对此能做些什么?
· 培训开发人员的安全性。他们不需要在年度安全会议上成为下一个名人,他们只需要了解安全的核心原则——特别是加密术,考虑到其在区块链上的核心应用——以及如何在他们正在构建的解决方案中实施这些原则。
· 认识到安全要素的重要性。这就需要一个重要的领导思维转变,因为与担心未知不同,你对评估自己的技术有着巨大的控制力,在这种方法中,所有技能的攻击者都可能试图利用常见的开发人员错误。
3. 虽然攻击者确实破坏了区块链本身,但他们更常利用利用区块链的技术配置
虽然攻击者可能试图破坏,而且在许多情况下,成功地破坏区块链本身,但攻击者通常试图破坏区块链的部署。
如前所述,攻击者知道,人为错误常常会导致可利用的漏洞被不知情地注入到整个系统的设计和实现中。此外,攻击者也像其他领导者一样进行成本效益分析:他们考虑攻击某物所需的努力和可能产生的潜在结果;然后他们追求那些能够以最少的努力投资获得最高潜在收益的活动类型。
考虑到这些因素的组合,由于开发人员很可能在部署过程中无意中犯了错误,攻击者往往更关注于破坏实现。
考虑一下类似的情况:最近,我的一个朋友的存储设备被人闯入。他用一把又大又贵的挂锁把它锁牢了。这是一个很好的决定,因为就像区块链有多好一样,挂锁也有多好。
然而,小偷们实际上并不在意这把锁,也没有被这把锁的构造有多好吓住。相反,他们只是简单地从门上拆下安装较差的插销硬件。我的朋友选择了一个健壮的锁,并正确地安装了它,但他的安全性受到了侵犯,因为围绕它构建的系统是如何构建的。这就是为什么区块链部署的配置很重要。
领导者对此能做些什么?
· 构建你的威胁模型,了解你的潜在对手是谁;为什么他们对利用你的系统感兴趣;他们拥有什么样的技能;以及他们拥有什么样的资源。
· 确保您的组织具备必要的安全人才。您需要合适的专家来帮助您完成安全任务。
· 与独立的第三方安全专家合作。无论是不是,或者除了你自己的内部人才之外,你都需要有独立的观点,没有任何政治偏见的专家站在你的一边,他们花费所有的时间研究如何防御对手。
从哪里开始
有效的安全领导可能很困难,但也是可以实现的。作为领导者,如果您能够将安全挑战分解为其核心组件,那么您就可以制定一个行动计划来解决根本问题。区块链技术在很多方面都是革命性的,但区块链不同的简单事实不需要一个全新的安全模式。
相反,如果你能理解其中的一小部分不同之处,并对继续有效地解决核心基础问题一直保持警惕,那么你就可以带领你的组织走向光明的未来:一个可以利用这些技术所带来的诸多好处的未来,而不必要让你的组织暴露在不适当的环境中。