IBM推出新型区块链安全测试服务

IBM安全团队X-Force Red宣布将推出一个新的区块链安全测试服务,以帮助企业识别包含区块链技术的解决方案中的弱点。新的服务被称为X-Force Red区块链测试,评估用于管理区块链网络的后端流程和实际的分类环境,以识别整个执行过程中可利用的漏洞。

根据国际数据公司最近的一份报告显示,到2021年,全世界在区块链解决方案上的支出预计将达到97亿美元,这表明区块链的实现在未来几年里可能会呈指数增长。根据IBM的说法,要使企业广泛采用区块链,建立严格的行业标准将是下一个阶段的工作重点。
IBM X-Force Red全球负责人Charles Henderson说:“虽然区块链是保护数据完整性的一个突破,但这并不意味着利用数据不受攻击者攻击的解决方案,这就是为什么安全测试在开发期间和部署后都非常重要”。
在典型的区块链测试活动中,由黑客组成的X-Force Red团队将使用与犯罪分子使用的相同的工具、技术、实践和思维模式闯入区块链,并对其进行评估:
· 身份和访问:X-Force Red将评估对区块链的访问/添加信息的权限是如何管理的,包括加密策略、对暴力攻击的敏感性,以及2-因素认证身份验证;
· 公钥基础设施(PKI):确保与区块链网络相关的数字证书和密钥的安全创建、管理和分发;
· 智能契约的缺点:进行渗透测试,以确智能契约没有可利用的缺陷;
· 软件供应链攻击:公共库和组件依赖黑客可以在设计和实现过程中进行测试,以确保安全的依赖签名和信任构建管道。
假设即使区块链的基本概念,是非常抵抗攻击,但它不是无懈可击的。许多安全专家警告称,区块链的实现带来了一系列的危险,企业需要意识到这一点。
到目前为止,还没有关于对企业区块链进行网络攻击的报道,部分原因是该技术仍处于发展或试点阶段。但是,对公共区块链项目和加密货币交易所的攻击是常见的。
今年1月,以太坊网络的最初版本“以太经典”(Ethereum Classic)受到了攻击。一名身份不明的行为人实质上是回滚并改变了网络上的交易,在所谓的51%攻击中窃取了价值约110万美元的加密货币。
自2017年年初以来,黑客总共窃取了价值近20亿美元的加密货币,其中大部分来自交易所。
Carbon Black的安全策略师(Rick McElroy说:“网络犯罪的发展推动了能够编写恶意代码的个人数量的增加,而黑暗网络为他们提供了完美的销售市场”。他补充说,犯罪分子从这些攻击中获得的专业知识,以及地下活动中激增的工具,都可以用来对付企业项目。
从2018年开始,攻击者发起51%的攻击,目标包括Verge、Monacoin和Bitcoin Gold等较小的硬币,估计总共盗取了2000万美元。
基于区块链的文件存储平台Sia的联合创始人David Vorick预计,551%的攻击将在频率和严重程度上继续增长。