10 угроз безопасности NFT и криптовалюты, с которыми должны противостоять директорам по информационной безопасности 

 

Список компаний, принимающих криптовалютные платежи, постоянно растет, благодаря чему клиенты могут купить практически все, что пожелают: электронику, дипломы, капучино.

В то же время рынок неторгуемых токенов ( NFT ) переживает бум, поскольку начинающие артисты становятся миллионерами, а более известные имена, такие как Снуп Догг, Марта Стюарт и Граймс, извлекают выгоду из этой тенденции.

Криптовалюты и NFT находятся в повестке дня многих организаций, поскольку они обсуждают последствия Web3 и возможности, которые он предоставляет.

Этот новый большой сдвиг в эволюции Интернета обещает децентрализовать наш цифровой мир, предоставляя пользователям больший контроль и более прозрачный поток информации.

Также проверьте:

Компании из разных отраслей стараются адаптироваться к новой парадигме.

Тем не менее, список проблем CISO длинный и варьируется от кибербезопасности и мошенничества с идентификацией до безопасности рынка, управления ключами, данных и угроз конфиденциальности.

Криптовалюта в любой форме, включая NFT, несет в себе ряд рисков и проблем с безопасностью, с которыми большинство компаний могут быть не знакомы.

«Это требует ряда новых операционных процедур, открывает вам доступ к новому набору систем (общедоступных блокчейнов) и сопряжено с рисками, о которых многие компании не знают», — говорит Дуг Швенк, генеральный директор Digital Asset Research.

То, как руководители по информационной безопасности думают об этих проблемах, может повлиять на пользователей и деловых партнеров.

«Урегулирование имеет немедленные финансовые последствия для компании, ее пользователей и/или сборщиков NFT», — говорит Илья Штейн, главный инженер по безопасности Confiant.

Вот десять основных угроз безопасности, которые криптовалюты и NFT представляют для директоров по информационной безопасности.

1. Интеграция протоколов блокчейна может быть сложной

Блокчейн — относительно новая технология. Таким образом, интеграция протоколов блокчейна в проект становится немного сложной.

«Основная проблема с блокчейном — это недостаточная осведомленность о технологии, особенно в секторах, отличных от банковского, и повсеместное непонимание того, как она работает», — говорится в отчете Deloitte.

«Это затрудняет инвестирование и изучение идей».

Компании должны тщательно оценивать каждую поддерживаемую цепочку на предмет зрелости и пригодности.

«Внедрение протокола [блокчейн] на ранней стадии может привести к простоям и рискам для безопасности, в то время как протоколы более поздних стадий в настоящее время имеют более высокие комиссии за транзакции», — говорит Швенк.

«После того, как протокол выбран для желаемого использования (например, для оплаты), спонсор может быть не в состоянии оказать какую-либо поддержку. Это больше похоже на принятие открытого исходного кода, когда для полной реализации ценности могут потребоваться конкретные поставщики услуг».

2. Изменение критериев владения активами

Когда кто-то покупает NFT, он на самом деле не покупает изображение, потому что хранить изображения в блокчейне нецелесообразно из-за их размера.

Вместо этого пользователи получают своего рода квитанцию, показывающую им путь к изображению.

В блокчейне хранится только идентификация изображения, которая может быть хешем или URL-адресом. Часто используется HTTP, но децентрализованной альтернативой является межпланетная файловая система (IPFS).

Организации, выбравшие IPFS, должны знать, что узел IPFS будет управляться компанией, продающей NFT, и если эта компания решит закрыть магазин, пользователи могут потерять доступ к изображению, на которое указывает NFT.

«Хотя технически возможно повторно загрузить файл в IPFS, маловероятно, что обычный пользователь сможет это сделать, потому что этот процесс сложен», — говорит независимый исследователь безопасности Анатоль Брисакаро.

«Однако хорошая часть заключается в том, что из-за его децентрализованного и уязвимого характера это может сделать любой, а не только разработчики проектов».

3. Рыночные риски безопасности

Хотя NFT основаны на технологии блокчейна, изображения или видео, связанные с ними, могут храниться на централизованной или децентрализованной платформе.

Часто для удобства выбирают централизованную модель, поскольку она упрощает взаимодействие пользователей с цифровыми активами. Недостатком этого подхода является то, что рынки NFT могут наследовать уязвимости Web2.

Кроме того, в то время как традиционные банковские транзакции являются обратимыми, транзакции в блокчейне — нет.

«Взломанный сервер может предоставлять пользователям вводящую в заблуждение информацию, заставляя их совершать транзакции, которые опустошают их кошелек», — говорит Брисакаро.

Однако, потратив нужное количество времени и усилий на правильную реализацию системы, можно защититься от атак, особенно если речь идет об использовании децентрализованной платформы.

«Однако некоторые рынки срезают углы и жертвуют безопасностью и децентрализацией ради большего контроля», — говорит Брисакаро.

4. Мошенничество с идентификацией и мошенничество с криптовалютой

Мошенничество с криптовалютой является обычным явлением, и большое количество людей может стать его жертвой. «Мошенники регулярно следят за предстоящими запусками NFT и, как правило, имеют десятки мошеннических сайтов, готовых к продвижению вместе с официальным запуском», — говорит Стейн.

Клиенты, которые становятся жертвами этих мошенников, часто являются одними из их самых лояльных клиентов, и такой плохой опыт может повлиять на то, как они воспринимают конкретный бренд.

Поэтому их защита имеет решающее значение.

Часто пользователи получают вредоносные электронные письма о том, что в одной из их учетных записей замечено подозрительное поведение. Чтобы решить эту проблему, они должны предоставить свои учетные данные для проверки учетной записи.

Если пользователь попадется на эту удочку, его учетные данные окажутся под угрозой. «Любой бренд, пытающийся войти в пространство NFT, выиграет, если выделит ресурсы для мониторинга и смягчения этих типов фишинговых атак», — говорит Стейн.

5. Блокчейн-мосты — растущая угроза

Разные блокчейны имеют разные валюты и подчиняются разным правилам. Например, если кто-то владеет биткойнами, но хочет потратить Ethereum, ему нужна связь между двумя цепочками блоков, которая позволяет передавать активы.

Блокчейн-мост, который иногда называют межсетевым мостом, делает именно это. «По своей природе он не реализуется строго с использованием смарт-контрактов и полагается на компоненты вне сети, инициирующие транзакцию во второй цепочке, когда пользователь вносит активы в исходную цепочку», — говорит Брисакаро.

Некоторые из крупнейших взломов криптовалюты включают мосты с несколькими цепями, такие как Ronin, Poly Network и Wormhole.

Например, во время взлома блокчейна Ronin Games в конце марта 2022 года злоумышленники захватили Ethereum и USDC на сумму 625 миллионов долларов.

Также во время атаки на Poly Network в августе 2021 года хакер перевел токены на сумму более 600 миллионов долларов на несколько криптовалютных кошельков.

К счастью, в этом случае деньги вернули через 2 недели.

6. Код должен быть тщательно протестирован и исправлен

Наличие хорошего кода должно быть приоритетом с самого начала любого проекта. Брисакаро утверждает, что разработчики должны быть опытными и готовыми уделять внимание деталям.

В противном случае возрастает риск стать жертвой инцидента безопасности. Например, при атаке на сеть Poly злоумышленник использовал разрыв между вызовами узлов.

Чтобы предотвратить аварию, команды должны провести всестороннее тестирование. Организация также должна привлечь третью сторону для проведения аудита безопасности, хотя это может быть дорогостоящим и трудоемким.

Аудиты обеспечивают систематический обзор кода, который помогает выявить наиболее распространенные уязвимости.

Конечно, проверка кода необходима, но этого недостаточно, и то, что компания провела аудит, не гарантирует, что у нее не возникнет проблем. «В блокчейне смарт-контракты, как правило, очень сложны и часто взаимодействуют с другими протоколами», — говорит Брисакаро.

«Однако только организации контролируют собственный код, а взаимодействие с внешними протоколами увеличивает риск».

И частные лица, и компании могут изучить еще один способ управления рисками: страхование, которое помогает компаниям снизить стоимость смарт-контрактов или хакерских атак.

7. Ключ управления

«В основе криптовалюты лежит простое управление закрытым ключом. Многим компаниям это кажется простым, и ИТ-директора могут быть знакомы с проблемами и передовым опытом», — говорит Швенк.

Доступно несколько решений для управления ключами.

Одним из них являются аппаратные кошельки, такие как Trezor, Ledger или Lattice1. Это USB-устройства, которые создают и хранят криптографический материал на своих защищенных компонентах, предотвращая доступ злоумышленников к закрытым ключам, даже если у них есть доступ к компьютеру, например, через вирус/черный ход.

Еще одна линия защиты — это несколько формаций, которые можно использовать с аппаратными кошельками. «Multi-sig — это кошелек для смарт-контрактов, который требует подтверждения транзакций несколькими владельцами», — говорит Брисакаро.

«Например, у вас может быть пять владельцев и требуется, чтобы по крайней мере три человека подписали транзакцию перед ее отправкой. Таким образом, злоумышленнику придется скомпрометировать более одного человека, чтобы скомпрометировать кошелек».

8. Пользователь и обучение пользователей

Организации, которые хотят интегрировать технологии Web3, должны обучать свой персонал, потому что нужны новые инструменты для выполнения транзакций в разных блокчейнах.

— говорит Аарон Хигби, соучредитель и главный технический директор Cofense.

Хотя каждая компания должна беспокоиться о фишинговых атаках на основе электронной почты, сотрудники, которые работают с цифровыми активами, могут с большей вероятностью стать жертвами.

Цель обучения — убедиться, что каждый член команды использует новейшие методики и хорошо понимает принципы безопасности. Одед Вануну, руководитель отдела исследования уязвимостей продуктов в Check Point, говорит, что заметил огромный пробел в знаниях о криптовалютах, который может сделать вещи «несколько беспорядочными» для некоторых компаний.

«Организации, которые хотят интегрировать технологии Web3, должны понимать, что эти проекты нуждаются в глубоком обзоре безопасности и понимании безопасности, что означает, что им нужно понимать цифры и последствия, которые могут произойти», — говорит он.

Некоторые организации, которые не хотят управлять закрытыми ключами, предпочитают использовать централизованную систему, что делает их уязвимыми для проблем безопасности Web2.

«Я призываю к тому, чтобы интеграция Web3 с технологиями Web2 стала проектом, в котором реализован глубокий анализ безопасности и лучшие практики безопасности», — говорит Вануну.

9. Продолжение использования децентрализованных приложений NFT и Web3

Многие компании отказываются от продуктов, которые больше не служат их потребностям, но это обычно не относится к активам на основе блокчейна, если они реализованы правильно.

«NFT не следует рассматривать как одноразовую маркетинговую попытку», — говорит Стейн.

«Если сам NFT не находится в сети, ответственность за его постоянное обслуживание лежит на компании. Если проект очень успешен, компания берет на себя серьезную задачу поддержки сборщиков этих NFT в случае неудач, мошенничества. и т.д. до тех пор.

Одним из таких вирусных проектов является проект, запущенный украинским правительством, который продавал NFT на основе временной шкалы войны.

Место, где хранится память о войне. Место, где прославляют украинскую идентичность и свободу», — написал в Твиттере вице-премьер-министр Украины и министр цифровой трансформации Михаил Федоров.

Энтузиасты NFT ответили положительно, заявив, что хотят купить кусочек истории и поддержать Украину. Тем не менее, они ожидают, что проект будет продолжен.

10. Блокчейн — не всегда правильный инструмент

Новые технологии всегда интересны, но прежде чем внедрять их, организации должны спросить себя, решили ли они уже проблему и не пора ли их внедрить. Проекты на основе блокчейна могут изменить компании к лучшему, но они также могут быть ресурсоемкими, по крайней мере, на начальном этапе.

Оценка соотношения риска и пользы будет важной частью решения, а адекватное финансирование деятельности, связанной с безопасностью, как на этапе реализации, так и во время ее реализации, имеет решающее значение.

Оценка соотношения риска и выгоды от этих новых угроз может не быть основной компетенцией (пока), и легко попасть в ловушку ажиотажа, который часто ассоциируется с криптовалютами», — заключает Швенк.

Источник: ОГО