by Director de tecnología (CTO) en NetSPIlíder en pruebas de penetración y gestión de superficie de ataque.
Getty
Se espera que el mercado de la cadena de bloques crezca un 68,4 % en los próximos cuatro años, y el 86 % de los altos ejecutivos cree que la cadena de bloques se convertirá en una tecnología adoptada por la corriente principal. Si bien la mayoría del mundo se ha obsesionado con varias criptomonedas, incluidas bitcoin, ethereum y el mercado emergente de tokens no fungibles (NFT), las organizaciones han adoptado blockchain. tecnología entre bastidores. Para hacer esto, se necesitan las estrategias de educación e implementación correctas porque sin estrategias de implementación adecuadas que tengan en cuenta los matices arquitectónicos, las organizaciones están abriendo su negocio a los riesgos de seguridad.
Hay un puñado de modelos de implementación de blockchain: privado (o interno), autorizado/consorcio y público. Si bien todos poseen algunos rasgos comunes, cada uno tiene sus propios matices en lo que respecta a su uso y los riesgos de seguridad asociados.
Implementación privada (o interna)
Las cadenas de bloques en una red privada generalmente están aisladas, pero están destinadas a resolver problemas de eficiencia operativa interna. Ofrecen un plano de datos alternativo a las arquitecturas de bases de datos tradicionales, con contratos inteligentes que sirven como procedimientos almacenados.
Las redes privadas son más rápidas que otros modelos de implementación, en gran parte porque toda la infraestructura está dentro de las cuatro paredes de la organización, pero lo que es más importante, porque el modelo de consenso no requiere la verificación sin confianza que requieren las cadenas públicas. Cuando se implementa internamente, los procesos se vuelven más eficientes, por lo que los pasos para proteger los activos comerciales están más controlados. Vemos esto específicamente con la cadena de suministro interna de una organización: la cadena de bloques permite una entrega de servicios más rápida y rentable.
La organización que controla las cadenas de bloques puede establecer requisitos de permisos e implementar sus propias precauciones de seguridad. Al controlar qué usuarios pueden ver, agregar o cambiar datos dentro de la cadena de bloques, la información privada está protegida de terceros.
Alternativamente, las cadenas de bloques privadas son potencialmente más vulnerables al fraude, por lo que las organizaciones deben comprender el interfuncionamiento de la red para corregir una vulnerabilidad de manera efectiva. Si se presenta un ciberataque o un interno malicioso, los pasos para mitigar son esencialmente los mismos que con cualquier otra ciberamenaza: realizar evaluaciones de riesgo, realizar pruebas de penetración para identificar brechas de seguridad y crear un plan de detección y respuesta a amenazas. Las organizaciones que se han negado a abordar las brechas en la perspicacia de blockchain en sus recursos cibernéticos y de TI pueden encontrar que sus manuales de respuesta no satisfacen completamente sus necesidades.
Despliegue de consorcio o autorizado
Las cadenas de bloques de consorcio, o las cadenas de bloques autorizadas/federadas, están controladas por múltiples entidades, lo que tiene sus ventajas y desventajas desde el punto de vista de la seguridad. Al igual que con las cadenas privadas, las redes autorizadas operan a mayor velocidad mediante la selección de un modelo de consenso que admite relaciones de confianza.
Las cadenas de bloques de consorcios son relativamente más seguras, dada su exposición limitada a actores externos. Por lo tanto, las organizaciones deben tener en cuenta el cambio de datos dentro de la red y las implicaciones en los impactos operativos internos. También deben prestar atención al algoritmo de consenso y asegurarse de que existan protecciones de privacidad al inicio de la adopción. Esto garantiza que solo aquellos que desea ver la cadena puedan acceder a ella. Cuando se requiere la privacidad de las transacciones, una organización debe asegurarse de que la tecnología seleccionada sea compatible con ese requisito. Este tipo de precauciones son importantes cuando existen implicaciones de privacidad individual, como cuando los proveedores utilizan la tecnología blockchain para compartir y almacenar información de identificación personal (PII). Los equipos de privacidad deben participar para comprender y abordar las implicaciones de la retención permanente de datos y la legislación global de privacidad.
Comprender cómo se pueden modificar los datos de manera dañina es importante en cada cadena de bloques, especialmente en una red de consorcio donde existen múltiples puntos de acceso. El modelado de amenazas es una forma en que los líderes de seguridad pueden evaluar las preocupaciones de seguridad dentro de las implementaciones de blockchain, ya que identifica posibles debilidades arquitectónicas y de implementación, definiendo qué acciones pueden mitigar las amenazas en el sistema. Las pruebas de seguridad proactivas son tan importantes como las pruebas tradicionales de infraestructura y aplicaciones. Las organizaciones necesitan evaluar, identificar y mitigar las vulnerabilidades en las soluciones que implementan.
Implementación pública
Las cadenas de bloques públicas son exactamente como suenan: públicas. Cualquiera que tenga el algoritmo (piénselo como una clave) puede unirse y acceder a los datos de la cadena de bloques. Por lo general, están completamente descentralizados y son más transparentes. Las cadenas de bloques públicas como bitcoin y ethereum sustentan un ecosistema vibrante que atrae cada vez más la atención. Su independencia de cualquier nación-estado u organización crea un mecanismo para la innovación económica y social. Estos libros de contabilidad distribuidos públicos permiten a las personas participar en un ecosistema global de manera confiable, aprovechando la tecnología que es intrínsecamente confiable.
Sin embargo, la red pública conlleva importantes riesgos de seguridad que las empresas deben tener en cuenta. Ya hemos visto estos riesgos con la reciente violación de Sky Mavis, donde los piratas informáticos robaron 173 600 en criptomoneda ethereum y $ 25,5 millones de Ronin Network. axie infinito juego. Continuaremos viendo que estas infracciones ocurren en diferentes formas, como la regla de ataque del 51 %, contratos inteligentes vulnerables y congestión de la red.
Además de la infraestructura tradicional y los riesgos de las aplicaciones, estos son solo algunos de los que las organizaciones deben tener en cuenta al interactuar con las redes públicas de blockchain y monitorear las infracciones. Al igual que con otros modelos de implementación, los líderes deben asegurarse de que sus equipos tengan suficiente educación y perspicacia en la tecnología blockchain para evaluar su riesgo a través de tácticas como el modelado de amenazas y las pruebas de seguridad.
Las cadenas de bloques son una parte inevitable del panorama tecnológico. Es uno de los mayores avances tecnológicos de la última década, e incluso la Casa Blanca se comprometió a explorar sus beneficios a nivel nacional. Los riesgos asociados con la implementación de cadenas de bloques varían según el caso de uso y el modelo de implementación asociado, pero los beneficios de la cadena de bloques superan los riesgos de seguridad cuando se administran correctamente.
Si bien muchos aspectos de la construcción sobre esta tecnología reflejan el desarrollo de soluciones tradicionales, los matices de usar un plano de datos distribuido y sin confianza requieren una consideración cuidadosa. Los equipos de tecnología y ciberseguridad deben comprender estos matices arquitectónicos mientras buscan apoyarlos y defenderlos. Fuera del marco de referencia de la tecnología, algunos modelos también tienen implicaciones normativas y de privacidad. Una vez que los líderes y sus equipos digieran y comprendan los riesgos que deben resolver, estarán capacitados para avanzar en sus estrategias dentro del ecosistema y desbloquear todo el potencial de las cadenas de bloques.
El Consejo de Tecnología de Forbes es una comunidad a la que solo se puede acceder por invitación para CIO, CTO y ejecutivos de tecnología de clase mundial. ¿Califico?
