Il team di esperti di sicurezza Ibm X-Force Red inaugura un nuovo servizio di test di sicurezza per progetti e implementazioni blockchain.
Il nuovo servizio di Blockchain Security Testing aiuta a identificare i punti deboli e a rafforzare la sicurezza. E si focalizza su una vasta gamma di soluzioni che incorporano questa tecnologia in rapida crescita.
Ibm cita un report IDC che prevede che la spesa mondiale per soluzioni blockchain raggiungerà 9,7 miliardi di dollari entro il 2021. Il numero di implementazioni blockchain crescerà plausibilmente in modo esponenziale in tutti i settori.
Mai sottovalutare i test di sicurezza
Le reti blockchain includono ecosistemi ampi e decentralizzati. Ciò offre il fianco a vettori di attacco diversi rispetto alle applicazioni tradizionali. E crea opportunità per i criminali informatici che cercano di manipolare o monetizzare i dati condivisi sulla blockchain.
Il team X-Force Red, informa Ibm, rileva che il 70% delle soluzioni che incorporano blockchain si basano su tecnologie tradizionali per processi di back-end. Processi quali l’autenticazione, l’elaborazione dei dati e le API (Application Programming Interface).
Il servizio Blockchain Testing di X-Force Red valuta l’intera implementazione, inclusi chaincode, infrastruttura a chiave pubblica e hyperledger. X-Force Red testa anche i processi di back-end, le applicazioni e l’hardware fisico utilizzati per controllare l’accesso e gestire le reti blockchain.
Infatti, sottolinea Ibm, benché la blockchain sia un passo avanti nella protezione dell’integrità dei dati, ciò non significa che le soluzioni che sfruttano tale tecnologia siano immuni dai cyber-attacchi. Per questo motivo i test di sicurezza sono essenziali sia durante lo sviluppo che dopo il deployment.
Per una politica di sicurezza aziendale
Nell’odierno ambiente It distribuito, le aziende necessitano di flessibilità e molte eseguono workload su una varietà di infrastrutture diverse, anche all’interno della propria organizzazione. Ciò significa che i dati scritti sulla blockchain possono provenire da più strutture di dati differenti. E che sono stati ospitati su numerosi cloud pubblici o sistemi on-premise e sono stati sottoposti a standard di sicurezza eterogenei.
Le reti di blockchain utilizzate nell’azienda tengono conto delle considerazioni sulla sicurezza aziendale. Ma la sicurezza non si estende necessariamente oltre la blockchain stessa. Gli stessi hardware, reti, applicazioni e personale che possono esporre le organizzazioni a vulnerabilità, sono ancora presenti anche quando la blockchain è al centro di una soluzione tecnologica o di business.
Essendo molto attiva nel settore nella blockchain enterprise, Ibm è impegnata anche nel fornire codice e best practice per implementazioni aziendali sicure, conformi ed efficaci. Tuttavia, non tutte le reti aderiscono agli stessi standard o richiedono gli stessi livelli di sicurezza di base. Secondo Ibm, se non si costruiscono condizioni di sicurezza sin dalle fondamenta, i componenti di supporto alla rete blockchain e la tecnologia circostante, come API, app mobili o meccanismi di identità, potrebbero essere a rischio di compromissione.
Il team di X-Force Red e la blockchain
Lavorando a stretto contatto con il team Blockchain di Ibm, X-Force Red dispone di una prospettiva privilegiata. È in grado di condividere l’expertise da un punto di vista architetturale, operativo e di implementazione. Per comprendere i potenziali rischi per la sicurezza all’interno dello stack tecnologico che supporta le reti blockchain.
Ciò consente, sostiene l’azienda, di guidare i clienti sulla messa in sicurezza di implementazioni di livello enterprise. Partendo dalla progettazione della rete fino al deployment della soluzione blockchain. Ciò include test indipendenti delle implementazioni sia di Ibm Blockchain che non affiliate con Ibm.
X-Force Red dispone non solo dell’expertise di sviluppatori ed esperti di sicurezza, ma anche della “mentalità hacker”. Proprio perché il team comprende hacker in grado di penetrare nelle reti blockchain utilizzando gli stessi strumenti, tecniche, pratiche e mentalità dei criminali.
X-Force Red può aiutare le organizzazioni a identificare e correggere le vulnerabilità prima che vengano individuate dai criminali. Attraverso valutazioni di vulnerabilità, programmi di gestione delle vulnerabilità, simulazioni e test manuali di intrusione.
L’attività di X-Force Red
Durante una tipica attività di Blockchain Testing, X-Force Red valuta una serie di punti.
Valuta come vengono amministrate le autorizzazioni di accesso e aggiunta di informazioni alla blockchain. Comprese le policy sulle password, la vulnerabilità agli attacchi brute force e l’implementazione dell’autenticazione a 2 fattori.
Esamina la Public Key Infrastructure (PKI). Creazione, gestione e distribuzione sicure di certificati e chiavi digitali associati a una rete blockchain è fondamentale per garantire l’integrità dei dati.
Analizza eventuali falle negli smart contract. I contratti intelligenti, o anche “chain code“, consentono l’esecuzione trustless degli accordi tra le parti sulla blockchain. Ma test di penetrazione adeguati possono rilevare falle sfruttabili in questi accordi.
Verifica gli attacchi alla supply chain software. Testa l’hacking delle librerie comuni e delle dipendenze dei componenti, durante la progettazione e l’implementazione.
Ulteriori informazioni sul Blockchain Security Testing di X-Force Red di Ibm sono disponibili a questo link.
