10 NFT and cryptocurrency security threats that CISOs must confront
Decentralized technologies can raise the level of anxiety for CISOs, but there are ways to avoid security risks.
Romanovsky / Getty Images
The list of companies accepting cryptocurrency payments is constantly growing, thanks to which customers can buy almost anything they want: electronics, diplomas, cappuccinos.
At the same time, the non-tradable token ( NFT ) market is booming as emerging artists become millionaires, with more established names like Snoop Dogg, Martha Stewart, and Grimes capitalizing on the trend.
Cryptocurrencies and NFTs are on the agenda of many organizations as they discuss the implications of Web3 and the opportunities it brings.
This new big shift in the evolution of the Internet promises to decentralize our digital world, providing users with greater control and a more transparent flow of information.
Also check:
Companies from various industries are doing their best to adapt to the new paradigm.
However, the list of CISO concerns is long, and ranges from cybersecurity and identity fraud to market security, key management, data and privacy threats.
Cryptocurrency in any form, including NFT, carries a number of risks and security issues that most businesses may not be familiar with.
“It requires a number of new operating procedures, exposes you to a new set of systems (public blockchains), and carries risks that many companies are not aware of,” says Doug Schwenk, CEO of Digital Asset Research.
How CISOs think about these issues can affect users and business partners.
“The settlement has immediate financial consequences for the company, its users, and/or NFT collectors,” says Ilya Stein, chief security engineer at Confiant.
Here are the top ten security threats that cryptocurrencies and NFT pose to CISOs.
1. The integration of blockchain protocols can be complex
Blockchain is a relatively new technology. As such, integrating blockchain protocols into the project becomes a bit tricky.
“The main challenge with blockchain is the lack of awareness of the technology, especially in sectors other than banking, and the widespread lack of understanding of how it works,” Deloitte said in a report.
“This makes it difficult to invest and explore ideas.”
Companies must carefully evaluate each supported chain for maturity and appropriateness.
“Early-stage [blockchain] protocol adoption can lead to downtime and security risks, while later-stage protocols currently have higher transaction fees,” says Schwenk.
“Once a protocol is chosen for the desired use (such as payment), the sponsor may not be able to provide any support. It is more like open source adoption where specific service providers may be required to fully realize the value.”
2. Changing the criteria for asset ownership
When someone buys an NFT, they are not actually buying an image because it is impractical to store images on the blockchain due to their size.
Instead, users receive a kind of receipt showing them the way to the image.
Only the image identification is stored in the blockchain, which can be a hash or a URL. HTTP is often used, but a decentralized alternative is the Interplanetary File System (IPFS).
Organizations that choose IPFS should be aware that the IPFS node will be managed by the company selling the NFT, and if that company decides to close the store, users may lose access to the image the NFT points to.
“While it is technically possible to re-upload a file to IPFS, it is unlikely that the average user will be able to do so because the process is complex,” says independent security researcher Anatole Brisacaro.
“However, the good part is that due to its decentralized and vulnerable nature, anyone can do this – not just project developers.”
3. Market security risks
Although NFTs are based on blockchain technology, the images or videos associated with them can be stored on a centralized or decentralized platform.
Often, for convenience, a centralized model is chosen because it makes it easier for users to interact with digital assets. The disadvantage of this approach is that NFT markets may inherit Web2 vulnerabilities.
Also, while traditional banking transactions are reversible, those on the blockchain are not.
“A hacked server could provide misleading information to the user, tricking them into making transactions that would drain their wallet,” says Brisacaro.
However, spending the right amount of time and effort on the correct implementation of the system can protect against attacks, especially when it comes to using a decentralized platform.
“However, some markets are cutting corners and sacrificing security and decentralization for greater control,” says Brisacaro.
4. Identity fraud and cryptocurrency fraud
Cryptocurrency scams are common and a large number of people can fall victim to them. “Scammers regularly follow up on upcoming NFT launches and typically have dozens of scam mint sites ready to promote along with the official launch,” says Stein.
Customers who fall victim to these scams are often some of their most loyal customers, and such bad experiences can affect how they perceive a particular brand.
Therefore, protecting them is crucial.
Often, users receive malicious emails that suspicious behavior has been noticed in one of their accounts. To solve this problem, they are required to provide their credentials for account verification.
If the user falls for it, their credentials are at risk. “Any brand trying to get into the NFT space would benefit from dedicating resources to monitoring and mitigating these types of phishing attacks,” says Stein.
5. Blockchain bridges are a growing threat
Different blockchains have different currencies and are subject to different rules. For example, if someone owns Bitcoin but wants to spend Ethereum, they need a link between the two blockchains that enables the transfer of assets.
A blockchain bridge, sometimes called a cross-chain bridge, does just that. “By its very nature, it is not strictly implemented using smart contracts and relies on off-chain components initiating a transaction on the second chain when the user deposits assets on the original chain,” says Brisacaro.
Some of the largest cryptocurrency hacks include multi-chain bridges such as Ronin, Poly Network, and Wormhole.
For example, during the Ronin Games blockchain hack in late March 2022, attackers seized $625 million worth of Ethereum and USDC.
Also during the attack on the Poly Network in August 2021, the hacker transferred more than $600 million in tokens to multiple cryptocurrency wallets.
Fortunately, in this case, the money was returned after 2 weeks.
6. The code must be thoroughly tested and revised
Having good code should be a priority from the beginning of any project. Developers must be skilled and willing to pay attention to detail, Brisacaro argues.
Otherwise, the risk of becoming a victim of a security incident increases. For example, in the attack on the Poly Network, the attacker exploited a gap between node calls.
To prevent an accident, teams must conduct comprehensive testing. The organization must also have a third party perform a security audit, although this can be costly and time consuming.
Audits provide a systematic code review that helps identify the most common vulnerabilities.
Of course, code verification is necessary, but it is not sufficient, and the fact that the company has conducted an audit does not guarantee that it will not have problems. “In a blockchain, smart contracts tend to be very complex and often interact with other protocols,” says Brisacaro.
“However, only organizations control their own code, and interaction with external protocols increases the risk.”
Both individuals and companies can explore another avenue for risk management: insurance that helps companies reduce the cost of smart contracts or custody hacks.
7. Management key
“At the heart of cryptocurrency is simply managing the private key. It seems simple to many companies, and CIOs can be familiar with the issues and best practices,” says Schwenk.
There are several key management solutions available.
One of them is hardware wallets like Trezor, Ledger or Lattice1. These are USB devices that create and store cryptographic material on their secure components, preventing attackers from accessing private keys even when they have access to the computer, eg via a virus/backdoor.
Another line of defense is the multiple formations that can be used with hardware wallets. “Multi-sig is a smart contract wallet that requires transactions to be confirmed by multiple owners,” says Brisacaro.
“For example, you could have five owners and require at least three people to sign a transaction before sending it. That way, the attacker would have to compromise on more than one person to compromise the wallet.”
8. User and user education
Organizations that want to integrate Web3 technologies need to train their staff because new tools are needed to perform transactions on different blockchains.
says Aaron Higbee, co-founder and chief technology officer of Cofense.
Although every company needs to worry about email-based phishing attacks, employees who handle digital assets may be more likely to be targeted.
The purpose of the training is to ensure that everyone on the team uses the latest practices and has a good understanding of security principles. Oded Vanunu, Head of Product Vulnerabilities Research at Check Point, says he’s noticed a huge knowledge gap about cryptocurrencies, which can make things “a little messy” for some companies.
“Organizations that want to integrate Web3 technologies need to understand that these projects need a deep security overview and understanding of security, which means they need to understand the numbers and the implications that can happen,” he says.
Some organizations that do not want to manage private keys choose to use a centralized system, which makes them vulnerable to Web2 security issues.
“I call for integrating Web3 with Web2 technologies to be a project where in-depth security analysis and security best practices are implemented,” says Vanunu.
9. Continued use of NFT and Web3 decentralized applications
Many companies abandon products that no longer serve their needs, but this is not usually the case with blockchain-based assets if implemented correctly.
“NFTs should not be seen as a one-off marketing effort,” says Stein.
“If the NFT itself is not on-chain, the onus is on the company to maintain it at all times. If the project is very successful, the company takes on the serious task of supporting collectors of these NFTs in case of mishaps, scams, etc. till then.
One such viral project is one launched by the Ukrainian government that sold NFT based on a war timeline.
A place where the memory of the war is preserved. A place to celebrate Ukrainian identity and freedom,” reads a tweet by Mykhailo Fedorov, Ukraine’s Deputy Prime Minister and Minister of Digital Transformation.
NFT enthusiasts have responded positively, saying they want to buy a piece of history and support Ukraine. However, they expect the project to continue.
10. Blockchain isn’t always the right tool
New technologies are always exciting, but before introducing them, organizations should ask themselves if they have already solved the problem and if this is the right time to adopt them. Blockchain-based projects have the potential to change companies for the better, but they can also be resource-intensive, at least in the initial stage.
Assessing the risk-benefit ratio will be an important part of the decision, and adequate funding for security-related activities, both at the implementation stage and during their implementation, is critical.
Assessing the risk-benefit ratio of these new threats may not be a core competency (yet), and it is easy to get caught up in the hype that is often associated with cryptocurrencies,” concludes Schwenk.
10 menaces de sécurité NFT et crypto-monnaie auxquelles les RSSI doivent faire face
Les technologies décentralisées peuvent augmenter le niveau d’anxiété des RSSI, mais il existe des moyens d’éviter les risques de sécurité.
Romanovsky / Getty Images
La liste des entreprises acceptant les paiements en crypto-monnaie ne cesse de s’allonger, grâce à laquelle les clients peuvent acheter presque tout ce qu’ils veulent : appareils électroniques, diplômes, cappuccinos.
Dans le même temps, le marché des jetons non échangeables ( NFT ) est en plein essor alors que les artistes émergents deviennent millionnaires, avec des noms plus établis comme Snoop Dogg, Martha Stewart et Grimes capitalisant sur la tendance.
Les crypto-monnaies et les NFT sont à l’ordre du jour de nombreuses organisations alors qu’elles discutent des implications du Web3 et des opportunités qu’il offre.
Ce nouveau grand changement dans l’évolution d’Internet promet de décentraliser notre monde numérique, offrant aux utilisateurs un plus grand contrôle et un flux d’informations plus transparent.
Vérifiez également :
Les entreprises de diverses industries font de leur mieux pour s’adapter au nouveau paradigme.
Cependant, la liste des préoccupations des RSSI est longue et va de la cybersécurité et de la fraude d’identité à la sécurité du marché, la gestion des clés, les données et les menaces à la vie privée.
La crypto-monnaie sous quelque forme que ce soit, y compris NFT, comporte un certain nombre de risques et de problèmes de sécurité que la plupart des entreprises ne connaissent peut-être pas.
“Cela nécessite un certain nombre de nouvelles procédures d’exploitation, vous expose à un nouvel ensemble de systèmes (chaînes de blocs publiques) et comporte des risques dont de nombreuses entreprises ne sont pas conscientes”, déclare Doug Schwenk, PDG de Digital Asset Research.
La manière dont les RSSI envisagent ces problèmes peut affecter les utilisateurs et les partenaires commerciaux.
“Le règlement a des conséquences financières immédiates pour l’entreprise, ses utilisateurs et/ou les collecteurs de NFT”, déclare Ilya Stein, ingénieur en chef de la sécurité chez Confiant.
Voici les dix principales menaces de sécurité que les crypto-monnaies et NFT posent aux RSSI.
1. L’intégration des protocoles blockchain peut être complexe
La blockchain est une technologie relativement nouvelle. En tant que tel, l’intégration des protocoles de blockchain dans le projet devient un peu délicate.
“Le principal défi de la blockchain est le manque de sensibilisation à la technologie, en particulier dans les secteurs autres que la banque, et le manque généralisé de compréhension de son fonctionnement”, a déclaré Deloitte dans un rapport.
“Cela rend difficile l’investissement et l’exploration d’idées.”
Les entreprises doivent soigneusement évaluer chaque chaîne prise en charge pour la maturité et la pertinence.
“L’adoption du protocole [blockchain] à un stade précoce peut entraîner des temps d’arrêt et des risques de sécurité, tandis que les protocoles à un stade ultérieur ont actuellement des frais de transaction plus élevés”, déclare Schwenk.
“Une fois qu’un protocole est choisi pour l’utilisation souhaitée (telle que le paiement), le sponsor peut ne pas être en mesure de fournir une assistance. Il s’agit plutôt d’une adoption open source où des fournisseurs de services spécifiques peuvent être nécessaires pour réaliser pleinement la valeur.”
2. Modification des critères de propriété des actifs
Lorsque quelqu’un achète un NFT, il n’achète pas réellement une image car il n’est pas pratique de stocker des images sur la blockchain en raison de leur taille.
Au lieu de cela, les utilisateurs reçoivent une sorte de reçu leur indiquant le chemin vers l’image.
Seule l’identification de l’image est stockée dans la blockchain, qui peut être un hachage ou une URL. HTTP est souvent utilisé, mais une alternative décentralisée est le système de fichiers interplanétaire (IPFS).
Les organisations qui choisissent IPFS doivent être conscientes que le nœud IPFS sera géré par la société vendant le NFT, et si cette société décide de fermer le magasin, les utilisateurs peuvent perdre l’accès à l’image vers laquelle pointe le NFT.
“Bien qu’il soit techniquement possible de télécharger à nouveau un fichier sur IPFS, il est peu probable que l’utilisateur moyen puisse le faire car le processus est complexe”, explique Anatole Brisacaro, chercheur indépendant en sécurité.
“Cependant, la bonne partie est qu’en raison de sa nature décentralisée et vulnérable, n’importe qui peut le faire – pas seulement les développeurs de projets.”
3. Risques de sécurité du marché
Bien que les NFT soient basés sur la technologie blockchain, les images ou vidéos qui leur sont associées peuvent être stockées sur une plateforme centralisée ou décentralisée.
Souvent, pour plus de commodité, un modèle centralisé est choisi car il permet aux utilisateurs d’interagir plus facilement avec les actifs numériques. L’inconvénient de cette approche est que les marchés NFT peuvent hériter des vulnérabilités Web2.
De plus, alors que les transactions bancaires traditionnelles sont réversibles, celles de la blockchain ne le sont pas.
“Un serveur piraté pourrait fournir des informations trompeuses à l’utilisateur, l’incitant à effectuer des transactions qui videraient son portefeuille”, explique Brisacaro.
Cependant, consacrer suffisamment de temps et d’efforts à la mise en œuvre correcte du système peut protéger contre les attaques, en particulier lorsqu’il s’agit d’utiliser une plate-forme décentralisée.
“Cependant, certains marchés prennent des raccourcis et sacrifient la sécurité et la décentralisation pour un plus grand contrôle”, déclare Brisacaro.
4. Fraude à l’identité et fraude à la crypto-monnaie
Les escroqueries à la crypto-monnaie sont courantes et un grand nombre de personnes peuvent en être victimes. “Les escrocs suivent régulièrement les prochains lancements de NFT et ont généralement des dizaines de sites frauduleux prêts à être promus avec le lancement officiel”, déclare Stein.
Les clients victimes de ces escroqueries font souvent partie de leurs clients les plus fidèles, et de telles mauvaises expériences peuvent affecter la façon dont ils perçoivent une marque particulière.
Par conséquent, les protéger est crucial.
Souvent, les utilisateurs reçoivent des e-mails malveillants indiquant qu’un comportement suspect a été remarqué dans l’un de leurs comptes. Pour résoudre ce problème, ils sont tenus de fournir leurs informations d’identification pour la vérification du compte.
Si l’utilisateur tombe dans le panneau, ses informations d’identification sont en danger. “Toute marque essayant d’entrer dans l’espace NFT gagnerait à consacrer des ressources à la surveillance et à l’atténuation de ces types d’attaques de phishing”, déclare Stein.
5. Les ponts blockchain sont une menace croissante
Différentes blockchains ont des devises différentes et sont soumises à des règles différentes. Par exemple, si quelqu’un possède Bitcoin mais veut dépenser Ethereum, il a besoin d’un lien entre les deux blockchains qui permette le transfert d’actifs.
Un pont blockchain, parfois appelé pont inter-chaînes, fait exactement cela. “De par sa nature même, il n’est pas strictement mis en œuvre à l’aide de contrats intelligents et repose sur des composants hors chaîne qui lancent une transaction sur la deuxième chaîne lorsque l’utilisateur dépose des actifs sur la chaîne d’origine”, explique Brisacaro.
Certains des plus grands hacks de crypto-monnaie incluent des ponts multi-chaînes tels que Ronin, Poly Network et Wormhole.
Par exemple, lors du piratage de la blockchain de Ronin Games fin mars 2022, les attaquants ont saisi pour 625 millions de dollars d’Ethereum et d’USDC.
Également lors de l’attaque contre le réseau Poly en août 2021, le pirate informatique a transféré plus de 600 millions de dollars en jetons vers plusieurs portefeuilles de crypto-monnaie.
Heureusement, dans ce cas, l’argent a été restitué après 2 semaines.
6. Le code doit être soigneusement testé et révisé
Avoir un bon code devrait être une priorité dès le début de tout projet. Les développeurs doivent être compétents et prêts à prêter attention aux détails, soutient Brisacaro.
Sinon, le risque d’être victime d’un incident de sécurité augmente. Par exemple, lors de l’attaque sur le réseau Poly, l’attaquant a exploité un écart entre les appels de nœuds.
Pour prévenir un accident, les équipes doivent effectuer des tests complets. L’organisation doit également demander à un tiers d’effectuer un audit de sécurité, bien que cela puisse être coûteux et prendre du temps.
Les audits fournissent une revue systématique du code qui aide à identifier les vulnérabilités les plus courantes.
Bien sûr, la vérification du code est nécessaire, mais elle n’est pas suffisante, et le fait que l’entreprise ait réalisé un audit ne garantit pas qu’elle n’aura pas de problèmes. “Dans une blockchain, les contrats intelligents ont tendance à être très complexes et interagissent souvent avec d’autres protocoles”, explique Brisacaro.
“Cependant, seules les organisations contrôlent leur propre code, et l’interaction avec des protocoles externes augmente le risque.”
Les particuliers et les entreprises peuvent explorer une autre voie de gestion des risques : une assurance qui aide les entreprises à réduire le coût des contrats intelligents ou des piratages de garde.
7. Clé de gestion
“Au cœur de la crypto-monnaie se trouve simplement la gestion de la clé privée. Cela semble simple pour de nombreuses entreprises, et les DSI peuvent être familiarisés avec les problèmes et les meilleures pratiques”, déclare Schwenk.
Il existe plusieurs solutions de gestion de clés disponibles.
L’un d’eux est les portefeuilles matériels comme Trezor, Ledger ou Lattice1. Ce sont des périphériques USB qui créent et stockent du matériel cryptographique sur leurs composants sécurisés, empêchant les attaquants d’accéder aux clés privées même lorsqu’ils ont accès à l’ordinateur, par exemple via un virus/une porte dérobée.
Une autre ligne de défense est constituée par les multiples formations pouvant être utilisées avec les portefeuilles matériels. “Multi-sig est un portefeuille de contrats intelligent qui nécessite que les transactions soient confirmées par plusieurs propriétaires”, explique Brisacaro.
“Par exemple, vous pourriez avoir cinq propriétaires et exiger qu’au moins trois personnes signent une transaction avant de l’envoyer. De cette façon, l’attaquant devrait faire des compromis sur plus d’une personne pour compromettre le portefeuille.”
8. Utilisateur et éducation des utilisateurs
Les organisations qui souhaitent intégrer les technologies Web3 doivent former leur personnel car de nouveaux outils sont nécessaires pour effectuer des transactions sur différentes blockchains.
déclare Aaron Higbee, co-fondateur et directeur de la technologie de Cofense.
Bien que chaque entreprise doive s’inquiéter des attaques de phishing par e-mail, les employés qui gèrent des actifs numériques peuvent être plus susceptibles d’être ciblés.
Le but de la formation est de s’assurer que tous les membres de l’équipe utilisent les dernières pratiques et ont une bonne compréhension des principes de sécurité. Oded Vanunu, responsable de la recherche sur les vulnérabilités des produits chez Check Point, a déclaré avoir remarqué un énorme manque de connaissances sur les crypto-monnaies, ce qui peut rendre les choses “un peu compliquées” pour certaines entreprises.
“Les organisations qui souhaitent intégrer les technologies Web3 doivent comprendre que ces projets nécessitent une vue d’ensemble approfondie de la sécurité et une compréhension de la sécurité, ce qui signifie qu’elles doivent comprendre les chiffres et les implications qui peuvent survenir”, a-t-il déclaré.
Certaines organisations qui ne souhaitent pas gérer les clés privées choisissent d’utiliser un système centralisé, ce qui les rend vulnérables aux problèmes de sécurité Web2.
« J’appelle à l’intégration des technologies Web3 et Web2 dans un projet où une analyse approfondie de la sécurité et les meilleures pratiques en matière de sécurité sont mises en œuvre », déclare Vanunu.
9. Utilisation continue des applications décentralisées NFT et Web3
De nombreuses entreprises abandonnent des produits qui ne répondent plus à leurs besoins, mais ce n’est généralement pas le cas des actifs basés sur la blockchain s’ils sont correctement mis en œuvre.
“Les NFT ne doivent pas être considérés comme un effort marketing ponctuel”, déclare Stein.
“Si le NFT lui-même n’est pas en chaîne, il incombe à l’entreprise de le maintenir à tout moment. Si le projet est très réussi, l’entreprise assume la tâche sérieuse de soutenir les collectionneurs de ces NFT en cas d’incidents, d’escroqueries , etc. jusque-là.
L’un de ces projets viraux est celui lancé par le gouvernement ukrainien qui a vendu NFT sur la base d’une chronologie de guerre.
Un lieu où la mémoire de la guerre est préservée. Un lieu pour célébrer l’identité et la liberté ukrainiennes », lit-on dans un tweet de Mykhailo Fedorov, vice-Premier ministre ukrainien et ministre de la Transformation numérique.
Les passionnés de NFT ont répondu positivement, affirmant qu’ils souhaitaient acheter un morceau d’histoire et soutenir l’Ukraine. Cependant, ils s’attendent à ce que le projet se poursuive.
10. La blockchain n’est pas toujours le bon outil
Les nouvelles technologies sont toujours passionnantes, mais avant de les introduire, les organisations doivent se demander si elles ont déjà résolu le problème et si c’est le bon moment pour les adopter. Les projets basés sur la blockchain ont le potentiel de changer les entreprises pour le mieux, mais ils peuvent également être gourmands en ressources, du moins dans la phase initiale.
L’évaluation du rapport risques-avantages constituera une partie importante de la décision, et un financement adéquat des activités liées à la sécurité, tant au stade de la mise en œuvre que pendant leur mise en œuvre, est essentiel.
L’évaluation du rapport risques-avantages de ces nouvelles menaces n’est peut-être pas (encore) une compétence essentielle, et il est facile de se laisser prendre par le battage médiatique souvent associé aux crypto-monnaies », conclut Schwenk.
10 NFT- und Kryptowährungs-Sicherheitsbedrohungen, denen sich CISOs stellen müssen
Dezentralisierte Technologien können CISOs verunsichern, aber es gibt Möglichkeiten, Sicherheitsrisiken zu vermeiden.
Romanovsky/Getty Images
Die Liste der Unternehmen, die Kryptowährungszahlungen akzeptieren, wächst ständig, dank derer Kunden fast alles kaufen können, was sie wollen: Elektronik, Diplome, Cappuccinos.
Kryptowährungen und NFTs stehen auf der Tagesordnung vieler Organisationen, wenn sie die Auswirkungen von Web3 und die damit verbundenen Möglichkeiten diskutieren.
Diese neue große Veränderung in der Entwicklung des Internets verspricht eine Dezentralisierung unserer digitalen Welt und bietet den Benutzern eine größere Kontrolle und einen transparenteren Informationsfluss.
Überprüfen Sie auch:
Unternehmen aus verschiedenen Branchen tun ihr Bestes, um sich an das neue Paradigma anzupassen.
Die Liste der CISO-Bedenken ist jedoch lang und reicht von Cybersicherheit und Identitätsbetrug bis hin zu Marktsicherheit, Schlüsselverwaltung, Daten- und Datenschutzbedrohungen.
Kryptowährung in jeglicher Form, einschließlich NFT, birgt eine Reihe von Risiken und Sicherheitsproblemen, mit denen die meisten Unternehmen möglicherweise nicht vertraut sind.
„Es erfordert eine Reihe neuer Betriebsverfahren, setzt Sie einer Reihe neuer Systeme (öffentliche Blockchains) aus und birgt Risiken, die vielen Unternehmen nicht bewusst sind“, sagt Doug Schwenk, CEO von Digital Asset Research.
Wie CISOs über diese Probleme denken, kann sich auf Benutzer und Geschäftspartner auswirken.
„Der Vergleich hat unmittelbare finanzielle Konsequenzen für das Unternehmen, seine Benutzer und/oder NFT-Sammler“, sagt Ilya Stein, Chief Security Engineer bei Confiant.
Hier sind die zehn größten Sicherheitsbedrohungen, die Kryptowährungen und NFT für CISOs darstellen.
1. Die Integration von Blockchain-Protokollen kann komplex sein
Blockchain ist eine relativ neue Technologie. Daher wird die Integration von Blockchain-Protokollen in das Projekt etwas schwierig.
„Die größte Herausforderung bei Blockchain ist das mangelnde Bewusstsein für die Technologie, insbesondere in anderen Sektoren als dem Bankwesen, und das weit verbreitete mangelnde Verständnis dafür, wie sie funktioniert“, sagte Deloitte in einem Bericht.
“Das macht es schwierig, Ideen zu investieren und zu erforschen.”
Unternehmen müssen jede unterstützte Kette sorgfältig auf Reife und Angemessenheit prüfen.
„Die Einführung von [Blockchain]-Protokollen in der Frühphase kann zu Ausfallzeiten und Sicherheitsrisiken führen, während Protokolle in späteren Phasen derzeit höhere Transaktionsgebühren haben“, sagt Schwenk.
“Sobald ein Protokoll für die gewünschte Verwendung (z. B. Zahlung) ausgewählt wurde, kann der Sponsor möglicherweise keine Unterstützung mehr leisten. Es ist eher wie die Einführung von Open Source, bei der möglicherweise bestimmte Dienstanbieter erforderlich sind, um den Wert voll auszuschöpfen.”
2. Ändern der Kriterien für das Eigentum an Vermögenswerten
Wenn jemand ein NFT kauft, kauft er nicht wirklich ein Bild, da es aufgrund seiner Größe unpraktisch ist, Bilder in der Blockchain zu speichern.
Stattdessen erhalten Nutzer eine Art Quittung, die ihnen den Weg zum Bild weist.
In der Blockchain wird nur die Bildidentifikation gespeichert, die ein Hash oder eine URL sein kann. HTTP wird häufig verwendet, aber eine dezentrale Alternative ist das Interplanetary File System (IPFS).
Organisationen, die sich für IPFS entscheiden, sollten sich darüber im Klaren sein, dass der IPFS-Knoten von dem Unternehmen verwaltet wird, das das NFT verkauft, und wenn dieses Unternehmen beschließt, den Laden zu schließen, können Benutzer den Zugriff auf das Bild verlieren, auf das das NFT verweist.
„Obwohl es technisch möglich ist, eine Datei erneut auf IPFS hochzuladen, ist es unwahrscheinlich, dass der durchschnittliche Benutzer dazu in der Lage sein wird, da der Prozess komplex ist“, sagt der unabhängige Sicherheitsforscher Anatole Brisacaro.
„Das Gute daran ist jedoch, dass dies aufgrund seiner dezentralen und anfälligen Natur jeder tun kann – nicht nur Projektentwickler.“
3. Marktsicherheitsrisiken
Obwohl NFTs auf Blockchain-Technologie basieren, können die damit verbundenen Bilder oder Videos auf einer zentralen oder dezentralen Plattform gespeichert werden.
Aus praktischen Gründen wird häufig ein zentralisiertes Modell gewählt, da es Benutzern die Interaktion mit digitalen Assets erleichtert. Der Nachteil dieses Ansatzes besteht darin, dass NFT-Märkte Web2-Schwachstellen erben können.
Während herkömmliche Banktransaktionen umkehrbar sind, sind dies bei Blockchains nicht der Fall.
„Ein gehackter Server könnte dem Benutzer irreführende Informationen liefern und ihn dazu verleiten, Transaktionen durchzuführen, die seine Brieftasche belasten würden“, sagt Brisacaro.
Der richtige Aufwand für die richtige Implementierung des Systems kann jedoch vor Angriffen schützen, insbesondere wenn es um die Verwendung einer dezentralen Plattform geht.
„Einige Märkte schneiden jedoch ab und opfern Sicherheit und Dezentralisierung für mehr Kontrolle“, sagt Brisacaro.
4. Identitätsbetrug und Kryptowährungsbetrug
Kryptowährungsbetrug ist weit verbreitet und eine große Anzahl von Menschen kann ihnen zum Opfer fallen. „Betrüger verfolgen regelmäßig bevorstehende NFT-Einführungen und haben in der Regel Dutzende von betrügerischen Mint-Sites, die bereit sind, zusammen mit der offiziellen Einführung zu werben“, sagt Stein.
Kunden, die Opfer dieser Betrügereien werden, gehören oft zu ihren treuesten Kunden, und solche schlechten Erfahrungen können sich darauf auswirken, wie sie eine bestimmte Marke wahrnehmen.
Daher ist ihr Schutz von entscheidender Bedeutung.
Häufig erhalten Benutzer böswillige E-Mails, dass verdächtiges Verhalten in einem ihrer Konten festgestellt wurde. Um dieses Problem zu lösen, müssen sie ihre Anmeldeinformationen für die Kontoverifizierung angeben.
Wenn der Benutzer darauf hereinfällt, sind seine Anmeldeinformationen gefährdet. „Jede Marke, die versucht, in den NFT-Bereich einzudringen, würde davon profitieren, Ressourcen für die Überwachung und Abwehr dieser Art von Phishing-Angriffen bereitzustellen“, sagt Stein.
5. Blockchain-Brücken sind eine wachsende Bedrohung
Unterschiedliche Blockchains haben unterschiedliche Währungen und unterliegen unterschiedlichen Regeln. Wenn jemand beispielsweise Bitcoin besitzt, aber Ethereum ausgeben möchte, benötigt er eine Verbindung zwischen den beiden Blockchains, die die Übertragung von Vermögenswerten ermöglicht.
Eine Blockchain-Bridge, manchmal auch als Cross-Chain-Bridge bezeichnet, tut genau das. „Von Natur aus wird es nicht ausschließlich mit intelligenten Verträgen implementiert und stützt sich auf Off-Chain-Komponenten, die eine Transaktion auf der zweiten Kette einleiten, wenn der Benutzer Vermögenswerte auf der ursprünglichen Kette hinterlegt“, sagt Brisacaro.
Zu den größten Kryptowährungs-Hacks gehören Multi-Chain-Bridges wie Ronin, Poly Network und Wormhole.
Beispielsweise beschlagnahmten Angreifer während des Blockchain-Hacks von Ronin Games Ende März 2022 Ethereum und USDC im Wert von 625 Millionen US-Dollar.
Auch während des Angriffs auf das Poly-Netzwerk im August 2021 übertrug der Hacker Token im Wert von mehr als 600 Millionen US-Dollar auf mehrere Kryptowährungs-Wallets.
Glücklicherweise wurde in diesem Fall das Geld nach 2 Wochen zurückerstattet.
6. Der Code muss gründlich getestet und überarbeitet werden
Guter Code sollte von Beginn eines jeden Projekts an Priorität haben. Entwickler müssen kompetent und bereit sein, auf Details zu achten, argumentiert Brisacaro.
Andernfalls steigt das Risiko, Opfer eines Sicherheitsvorfalls zu werden. Bei dem Angriff auf das Poly-Netzwerk nutzte der Angreifer beispielsweise eine Lücke zwischen Knotenaufrufen aus.
Um einen Unfall zu verhindern, müssen die Teams umfassende Tests durchführen. Die Organisation muss auch einen Dritten mit der Durchführung eines Sicherheitsaudits beauftragen, obwohl dies kostspielig und zeitaufwändig sein kann.
Audits bieten eine systematische Codeüberprüfung, die dabei hilft, die häufigsten Schwachstellen zu identifizieren.
Natürlich ist eine Code-Verifizierung notwendig, aber sie reicht nicht aus, und die Tatsache, dass das Unternehmen ein Audit durchgeführt hat, garantiert nicht, dass es keine Probleme haben wird. „In einer Blockchain sind Smart Contracts in der Regel sehr komplex und interagieren oft mit anderen Protokollen“, sagt Brisacaro.
„Allerdings kontrollieren nur Organisationen ihren eigenen Code, und die Interaktion mit externen Protokollen erhöht das Risiko.“
Sowohl Einzelpersonen als auch Unternehmen können einen anderen Weg für das Risikomanagement einschlagen: Versicherungen, die Unternehmen dabei helfen, die Kosten von Smart Contracts oder Custody-Hacks zu senken.
7. Verwaltungsschlüssel
“Das Herzstück der Kryptowährung ist einfach die Verwaltung des privaten Schlüssels. Für viele Unternehmen scheint es einfach zu sein, und CIOs können mit den Problemen und Best Practices vertraut sein”, sagt Schwenk.
Es sind mehrere Schlüsselverwaltungslösungen verfügbar.
Eines davon sind Hardware Wallets wie Trezor, Ledger oder Lattice1. Dies sind USB-Geräte, die kryptografisches Material auf ihren sicheren Komponenten erstellen und speichern und Angreifer daran hindern, auf private Schlüssel zuzugreifen, selbst wenn sie Zugriff auf den Computer haben, z. B. über einen Virus/eine Hintertür.
Eine weitere Verteidigungslinie sind die mehreren Formationen, die mit Hardware Wallets verwendet werden können. „Multi-Sig ist eine Smart Contract Wallet, bei der Transaktionen von mehreren Eigentümern bestätigt werden müssen“, sagt Brisacaro.
“Zum Beispiel könnten Sie fünf Eigentümer haben und mindestens drei Personen verlangen, eine Transaktion zu unterzeichnen, bevor Sie sie senden. Auf diese Weise müsste der Angreifer mehr als eine Person kompromittieren, um die Wallet zu kompromittieren.”
8. Benutzer und Benutzerschulung
Organisationen, die Web3-Technologien integrieren möchten, müssen ihre Mitarbeiter schulen, da neue Tools benötigt werden, um Transaktionen auf verschiedenen Blockchains durchzuführen.
sagt Aaron Higbee, Mitbegründer und Chief Technology Officer von Cofense.
Obwohl sich jedes Unternehmen vor E-Mail-basierten Phishing-Angriffen fürchten muss, werden Mitarbeiter, die mit digitalen Assets umgehen, möglicherweise eher ins Visier genommen.
Der Zweck der Schulung besteht darin, sicherzustellen, dass jeder im Team die neuesten Praktiken anwendet und ein gutes Verständnis der Sicherheitsprinzipien hat. Oded Vanunu, Head of Product Vulnerabilities Research bei Check Point, sagt, er habe eine riesige Wissenslücke über Kryptowährungen bemerkt, die die Dinge für einige Unternehmen „ein wenig chaotisch“ machen kann.
„Organisationen, die Web3-Technologien integrieren möchten, müssen verstehen, dass diese Projekte einen umfassenden Sicherheitsüberblick und ein Sicherheitsverständnis benötigen, was bedeutet, dass sie die Zahlen und die möglichen Auswirkungen verstehen müssen“, sagt er.
Einige Organisationen, die keine privaten Schlüssel verwalten möchten, entscheiden sich für ein zentralisiertes System, wodurch sie anfällig für Web2-Sicherheitsprobleme werden.
„Ich fordere die Integration von Web3- mit Web2-Technologien als ein Projekt, bei dem eingehende Sicherheitsanalysen und Best Practices für die Sicherheit implementiert werden“, sagt Vanunu.
9. Fortgesetzte Nutzung von NFT und dezentralen Web3-Anwendungen
Viele Unternehmen geben Produkte auf, die ihren Bedürfnissen nicht mehr entsprechen, aber dies ist bei korrekt implementierten Blockchain-basierten Assets normalerweise nicht der Fall.
„NFTs sollten nicht als einmalige Marketingmaßnahme betrachtet werden“, sagt Stein.
“Wenn das NFT selbst nicht in der Kette ist, liegt die Verantwortung beim Unternehmen, es jederzeit zu warten. Wenn das Projekt sehr erfolgreich ist, übernimmt das Unternehmen die ernsthafte Aufgabe, Sammler dieser NFTs im Falle von Pannen und Betrug zu unterstützen , usw. bis dahin.
Ein solches virales Projekt ist eines, das von der ukrainischen Regierung gestartet wurde, die NFT auf der Grundlage einer Kriegszeitachse verkaufte.
Ein Ort, an dem die Erinnerung an den Krieg bewahrt wird. Ein Ort, um die ukrainische Identität und Freiheit zu feiern“, heißt es in einem Tweet von Mykhailo Fedorov, dem stellvertretenden Ministerpräsidenten und Minister für digitale Transformation der Ukraine.
NFT-Enthusiasten haben positiv reagiert und gesagt, dass sie ein Stück Geschichte kaufen und die Ukraine unterstützen wollen. Sie gehen jedoch davon aus, dass das Projekt fortgesetzt wird.
10. Blockchain ist nicht immer das richtige Werkzeug
Neue Technologien sind immer spannend, aber vor der Einführung sollten sich Unternehmen fragen, ob sie das Problem bereits gelöst haben und ob jetzt der richtige Zeitpunkt ist, sie einzuführen. Blockchain-basierte Projekte haben das Potenzial, Unternehmen zum Besseren zu verändern, können aber zumindest in der Anfangsphase auch ressourcenintensiv sein.
Die Bewertung des Risiko-Nutzen-Verhältnisses wird ein wichtiger Teil der Entscheidung sein, und eine angemessene Finanzierung für sicherheitsrelevante Aktivitäten sowohl in der Umsetzungsphase als auch während ihrer Umsetzung ist von entscheidender Bedeutung.
Die Bewertung des Risiko-Nutzen-Verhältnisses dieser neuen Bedrohungen ist möglicherweise (noch) keine Kernkompetenz, und es ist leicht, sich in den Hype zu versetzen, der oft mit Kryptowährungen verbunden ist“, schließt Schwenk.
10 تهديدات أمنية لـ NFT والعملات المشفرة يجب على CISOs مواجهتها
يمكن للتقنيات اللامركزية أن ترفع مستوى القلق لدى CISOs ، ولكن هناك طرقًا لتجنب المخاطر الأمنية.
صور رومانوفسكي / جيتي
تتزايد باستمرار قائمة الشركات التي تقبل مدفوعات العملات المشفرة ، وبفضل ذلك يمكن للعملاء شراء أي شيء يريدونه تقريبًا: الإلكترونيات والدبلومات والكابتشينو.
في الوقت نفسه ، يزدهر سوق الرموز غير القابلة للتداول (NFT) مع تحول الفنانين الناشئين إلى أصحاب الملايين ، مع استفادة أسماء أكثر رسوخًا مثل Snoop Dogg و Martha Stewart و Grimes من هذا الاتجاه.
العملات المشفرة و NFTs مدرجة على جدول أعمال العديد من المنظمات لأنها تناقش الآثار المترتبة على Web3 والفرص التي تجلبها.
يعد هذا التحول الكبير الجديد في تطور الإنترنت بإضفاء اللامركزية على عالمنا الرقمي ، مما يوفر للمستخدمين تحكمًا أكبر وتدفقًا أكثر شفافية للمعلومات.
تحقق أيضًا من:
تبذل الشركات من مختلف الصناعات قصارى جهدها للتكيف مع النموذج الجديد.
ومع ذلك ، فإن قائمة مخاوف CISO طويلة ، وتتراوح من الأمن السيبراني والاحتيال في الهوية إلى تهديدات أمان السوق وإدارة المفاتيح والبيانات والخصوصية.
تحمل العملات المشفرة بأي شكل من الأشكال ، بما في ذلك NFT ، عددًا من المخاطر ومشكلات الأمان التي قد لا تكون مألوفة لمعظم الشركات.
يقول دوج شوينك ، الرئيس التنفيذي لبحوث الأصول الرقمية: “إنها تتطلب عددًا من الإجراءات التشغيلية الجديدة ، وتعرضك لمجموعة جديدة من الأنظمة (سلاسل الكتل العامة) ، وتنطوي على مخاطر لا تعرفها العديد من الشركات”.
يمكن أن تؤثر طريقة تفكير CISOs حول هذه المشكلات على المستخدمين وشركاء الأعمال.
يقول إيليا شتاين ، كبير مهندسي الأمن في شركة Confiant: “للتسوية عواقب مالية فورية على الشركة ومستخدميها و / أو جامعي NFT”.
فيما يلي أهم عشرة تهديدات أمنية تشكلها العملات المشفرة و NFT على CISOs.
1. يمكن أن يكون تكامل بروتوكولات blockchain معقدًا
Blockchain هي تقنية جديدة نسبيًا. على هذا النحو ، يصبح دمج بروتوكولات blockchain في المشروع أمرًا صعبًا بعض الشيء.
قال ديلويت في تقرير: “التحدي الرئيسي في blockchain هو الافتقار إلى الوعي بالتكنولوجيا ، خاصة في القطاعات الأخرى غير المصرفية ، والافتقار الواسع لفهم كيفية عملها”.
“هذا يجعل من الصعب الاستثمار واستكشاف الأفكار.”
يجب على الشركات تقييم كل سلسلة مدعومة بعناية من أجل النضج والملاءمة.
يقول شوينك: “إن اعتماد بروتوكول [blockchain] في مراحله الأولى يمكن أن يؤدي إلى تعطل ومخاطر أمنية ، في حين أن بروتوكولات المرحلة اللاحقة لديها حاليًا رسوم معاملات أعلى”.
“بمجرد اختيار بروتوكول للاستخدام المطلوب (مثل الدفع) ، قد لا يتمكن الراعي من تقديم أي دعم. إنه أشبه بتبني المصدر المفتوح حيث قد تكون هناك حاجة إلى مزودي خدمة محددين لإدراك القيمة بشكل كامل “.
2. تغيير معايير ملكية الأصول
عندما يشتري شخص ما NFT ، فإنه لا يشتري بالفعل صورة لأنه من غير العملي تخزين الصور على blockchain نظرًا لحجمها.
بدلاً من ذلك ، يتلقى المستخدمون نوعًا من الإيصال يوضح لهم الطريق إلى الصورة.
يتم تخزين تعريف الصورة فقط في blockchain ، والذي يمكن أن يكون تجزئة أو عنوان URL. غالبًا ما يتم استخدام HTTP ، ولكن البديل اللامركزي هو نظام الملفات بين الكواكب (IPFS).
يجب أن تدرك المنظمات التي تختار IPFS أن عقدة IPFS ستدار من قبل الشركة التي تبيع NFT ، وإذا قررت هذه الشركة إغلاق المتجر ، فقد يفقد المستخدمون الوصول إلى الصورة التي يشير إليها NFT.
يقول الباحث الأمني المستقل أناتول بريساكارو: “في حين أنه من الممكن تقنيًا إعادة تحميل ملف إلى IPFS ، فمن غير المرجح أن يتمكن المستخدم العادي من القيام بذلك لأن العملية معقدة”.
“ومع ذلك ، فإن الجزء الجيد هو أنه نظرًا لطبيعته اللامركزية والضعيفة ، يمكن لأي شخص القيام بذلك – وليس فقط مطوري المشروع.”
3. مخاطر أمن السوق
على الرغم من أن NFTs تعتمد على تقنية blockchain ، يمكن تخزين الصور أو مقاطع الفيديو المرتبطة بها على منصة مركزية أو لا مركزية.
في كثير من الأحيان ، للراحة ، يتم اختيار نموذج مركزي لأنه يسهل على المستخدمين التفاعل مع الأصول الرقمية. عيب هذا النهج هو أن أسواق NFT قد ترث نقاط ضعف Web2.
أيضًا ، في حين أن المعاملات المصرفية التقليدية قابلة للعكس ، فإن تلك الموجودة على blockchain ليست كذلك.
يقول بريساكارو: “يمكن للخادم المخترق أن يقدم معلومات مضللة للمستخدم ، ويخدعه لإجراء معاملات من شأنها أن تستنزف محفظته”.
ومع ذلك ، فإن إنفاق القدر المناسب من الوقت والجهد على التنفيذ الصحيح للنظام يمكن أن يحمي من الهجمات ، خاصة عندما يتعلق الأمر باستخدام نظام أساسي لامركزي.
يقول بريساكارو: “ومع ذلك ، فإن بعض الأسواق تقطع الزوايا وتضحي بالأمن واللامركزية من أجل سيطرة أكبر”.
4. الاحتيال على الهوية والاحتيال بالعملات المشفرة
تعتبر عمليات الاحتيال المتعلقة بالعملات المشفرة شائعة ويمكن أن يقع عدد كبير من الأشخاص ضحية لها. يقول Stein: “يتابع المحتالون بانتظام عمليات إطلاق NFT المرتقبة ولديهم عادةً عشرات من مواقع النعناع الاحتيالية الجاهزة للترويج جنبًا إلى جنب مع الإطلاق الرسمي”.
غالبًا ما يكون العملاء الذين يقعون ضحية لعمليات الاحتيال هذه من أكثر العملاء ولاءً ، ويمكن أن تؤثر مثل هذه التجارب السيئة على كيفية إدراكهم لعلامة تجارية معينة.
لذلك ، فإن حمايتهم أمر بالغ الأهمية.
في كثير من الأحيان ، يتلقى المستخدمون رسائل بريد إلكتروني ضارة تفيد بملاحظة سلوك مشبوه في أحد حساباتهم. لحل هذه المشكلة ، يُطلب منهم تقديم بيانات اعتمادهم للتحقق من الحساب.
إذا وقع المستخدم في ذلك ، فإن بيانات اعتماده في خطر. يقول شتاين: “ستستفيد أي علامة تجارية تحاول الدخول إلى مجال NFT من تخصيص الموارد لمراقبة وتخفيف هذه الأنواع من هجمات التصيد الاحتيالي”.
5. تشكل جسور Blockchain تهديدًا متزايدًا
سلاسل الكتل المختلفة لها عملات مختلفة وتخضع لقواعد مختلفة. على سبيل المثال ، إذا كان شخص ما يمتلك Bitcoin ولكنه يريد إنفاق Ethereum ، فإنه يحتاج إلى رابط بين مجموعتي blockchain التي تتيح نقل الأصول.
جسر blockchain ، الذي يسمى أحيانًا جسر عبر السلسلة ، يفعل ذلك بالضبط. يقول بريساكارو: “بحكم طبيعتها ، لا يتم تنفيذها بشكل صارم باستخدام العقود الذكية وتعتمد على المكونات خارج السلسلة التي تبدأ معاملة في السلسلة الثانية عندما يقوم المستخدم بإيداع الأصول في السلسلة الأصلية”.
تتضمن بعض أكبر عمليات اختراق العملة المشفرة جسورًا متعددة السلاسل مثل Ronin و Poly Network و Wormhole.
على سبيل المثال ، أثناء اختراق blockchain لألعاب Ronin في أواخر مارس 2022 ، استولى المهاجمون على Ethereum و USDC بقيمة 625 مليون دولار.
أيضًا أثناء الهجوم على شبكة Poly Network في أغسطس 2021 ، قام المتسلل بتحويل أكثر من 600 مليون دولار من الرموز المميزة إلى محافظ متعددة للعملات المشفرة.
لحسن الحظ ، في هذه الحالة ، تمت إعادة الأموال بعد أسبوعين.
6. يجب اختبار ومراجعة التعليمات البرمجية بدقة
يجب أن يكون وجود رمز جيد أولوية من بداية أي مشروع. يجادل بريساكارو بأن المطورين يجب أن يكونوا ماهرين وراغبين في الاهتمام بالتفاصيل.
خلاف ذلك ، يزداد خطر الوقوع ضحية لحادث أمني. على سبيل المثال ، في الهجوم على شبكة Poly Network ، استغل المهاجم فجوة بين مكالمات العقد.
لمنع وقوع حادث ، يجب على الفرق إجراء اختبارات شاملة. يجب أن يكون لدى المنظمة أيضًا طرف ثالث يقوم بإجراء تدقيق أمني ، على الرغم من أن هذا قد يكون مكلفًا ويستغرق وقتًا طويلاً.
تقدم عمليات التدقيق مراجعة نظامية للكود تساعد في تحديد أكثر نقاط الضعف شهرة.
بالطبع ، التحقق من الكود ضروري ، لكنه ليس كافيًا ، وحقيقة أن الشركة أجرت تدقيقًا لا يضمن أنها لن تواجه مشاكل. يقول بريساكارو: “في blockchain ، تميل العقود الذكية إلى أن تكون معقدة للغاية وتتفاعل غالبًا مع بروتوكولات أخرى”.
“ومع ذلك ، فإن المؤسسات فقط تتحكم في التعليمات البرمجية الخاصة بها ، والتفاعل مع البروتوكولات الخارجية يزيد من المخاطر.”
يمكن لكل من الأفراد والشركات استكشاف وسيلة أخرى لإدارة المخاطر: التأمين الذي يساعد الشركات على تقليل تكلفة العقود الذكية أو الاختراقات الوصاية.
7. مفتاح الإدارة
“في قلب العملات المشفرة هو ببساطة إدارة المفتاح الخاص. يقول شوينك: “يبدو الأمر بسيطًا للعديد من الشركات ، ويمكن لمدراء أمن المعلومات أن يكونوا على دراية بالقضايا وأفضل الممارسات”.
هناك العديد من حلول الإدارة الرئيسية المتاحة.
إحداها هي محافظ الأجهزة مثل Trezor أو Ledger أو Lattice1. هذه هي أجهزة USB تقوم بإنشاء وتخزين مواد تشفير على مكوناتها الآمنة ، مما يمنع المهاجمين من الوصول إلى المفاتيح الخاصة حتى عندما يكون لديهم وصول إلى الكمبيوتر ، على سبيل المثال عبر فيروس / باب خلفي.
خط دفاع آخر هو متعدد التشكيلات التي يمكن استخدامها مع محافظ الأجهزة. يقول بريساكارو: “تعد Multi-sig محفظة عقد ذكية تتطلب تأكيد المعاملات من قبل العديد من مالكيها”.
“على سبيل المثال ، يمكن أن يكون لديك خمسة مالكين وأن تطلب من ثلاثة أشخاص على الأقل توقيع معاملة قبل إرسالها. بهذه الطريقة ، سيتعين على المهاجم التنازل عن أكثر من شخص لتسوية المحفظة “.
8. تعليم المستخدم والمستخدم
تحتاج المنظمات التي ترغب في دمج تقنيات Web3 إلى تدريب موظفيها لأن هناك حاجة إلى أدوات جديدة لإجراء المعاملات على سلاسل الكتل المختلفة.
يقول آرون هيجبي ، الشريك المؤسس ورئيس قسم التكنولوجيا من Cofense.
على الرغم من أن كل شركة تحتاج إلى القلق بشأن هجمات التصيد الاحتيالي المستندة إلى البريد الإلكتروني ، فقد يكون الموظفون الذين يتعاملون مع الأصول الرقمية أكثر عرضة للاستهداف.
الغرض من التدريب هو التأكد من أن كل فرد في الفريق يستخدم أحدث الممارسات وأن يكون لديه فهم جيد لمبادئ الأمان. يقول أوديد فانونو ، رئيس أبحاث ثغرات المنتجات في Check Point ، إنه لاحظ وجود فجوة كبيرة في المعرفة حول العملات المشفرة ، مما قد يجعل الأمور “فوضوية بعض الشيء” بالنسبة لبعض الشركات.
يقول: “تحتاج المنظمات التي ترغب في دمج تقنيات Web3 إلى فهم أن هذه المشاريع تحتاج إلى نظرة عامة عميقة للأمان وفهم للأمان ، مما يعني أنها بحاجة إلى فهم الأرقام والآثار التي يمكن أن تحدث”.
تختار بعض المؤسسات التي لا ترغب في إدارة المفاتيح الخاصة استخدام نظام مركزي ، مما يجعلها عرضة لمشاكل أمان Web2.
يقول فانونو: “إنني أطالب بدمج Web3 مع تقنيات Web2 ليكون مشروعًا يتم فيه إجراء تحليل أمني متعمق وتنفيذ أفضل الممارسات الأمنية”.
9. استمرار استخدام NFT وتطبيقات Web3 اللامركزية
تتخلى العديد من الشركات عن المنتجات التي لم تعد تخدم احتياجاتها ، ولكن هذا ليس هو الحال عادةً مع الأصول المستندة إلى blockchain إذا تم تنفيذها بشكل صحيح.
يقول شتاين: “لا ينبغي اعتبار NFTs على أنها جهد تسويقي لمرة واحدة”.
“إذا لم تكن NFT نفسها في السلسلة ، فإن العبء يقع على عاتق الشركة للحفاظ عليها في جميع الأوقات. إذا كان المشروع ناجحًا للغاية ، فإن الشركة تأخذ على عاتقها مهمة جادة تتمثل في دعم جامعي هذه NFTs في حالة وقوع حوادث مؤسفة ، وعمليات احتيال ، وما إلى ذلك.
أحد هذه المشاريع الفيروسية هو أحد المشاريع التي أطلقتها الحكومة الأوكرانية والتي باعت NFT على أساس جدول زمني للحرب.
مكان تحفظ فيه ذكرى الحرب. مكان للاحتفال بالهوية والحرية الأوكرانية “، يقرأ تغريدة كتبها ميخايلو فيدوروف ، نائب رئيس الوزراء الأوكراني ووزير التحول الرقمي.
استجاب عشاق NFT بشكل إيجابي ، قائلين إنهم يريدون شراء قطعة من التاريخ ودعم أوكرانيا. ومع ذلك ، فإنهم يتوقعون استمرار المشروع.
10. Blockchain ليس الأداة الصحيحة دائمًا
دائمًا ما تكون التقنيات الجديدة مثيرة ، ولكن قبل تقديمها ، يجب على المؤسسات أن تسأل نفسها ما إذا كانت قد قامت بالفعل بحل المشكلة وما إذا كان هذا هو الوقت المناسب لاعتمادها. تمتلك المشاريع القائمة على Blockchain القدرة على تغيير الشركات للأفضل ، ولكن يمكن أيضًا أن تكون كثيفة الاستخدام للموارد ، على الأقل في المرحلة الأولية.
سيكون تقييم نسبة المخاطر إلى الفوائد جزءًا مهمًا من القرار ، كما أن التمويل الكافي للأنشطة المتعلقة بالأمن ، سواء في مرحلة التنفيذ أو أثناء تنفيذها ، أمر بالغ الأهمية.
قد لا يكون تقييم نسبة المخاطرة والفائدة لهذه التهديدات الجديدة كفاءة أساسية (حتى الآن) ، ومن السهل الوقوع في الضجيج الذي غالبًا ما يرتبط بالعملات المشفرة “، يستنتج شوينك.
10 NFT e minacce alla sicurezza delle criptovalute che i CISO devono affrontare
Le tecnologie decentralizzate possono aumentare il livello di ansia per i CISO, ma ci sono modi per evitare i rischi per la sicurezza.
Romanovsky / Getty Images
L’elenco delle aziende che accettano pagamenti in criptovaluta è in costante crescita, grazie al quale i clienti possono acquistare quasi tutto ciò che desiderano: elettronica, diplomi, cappuccini.
Allo stesso tempo, il mercato dei token non negoziabili ( NFT ) è in forte espansione mentre gli artisti emergenti diventano milionari, con nomi più affermati come Snoop Dogg, Martha Stewart e Grimes che sfruttano la tendenza.
Le criptovalute e gli NFT sono all’ordine del giorno di molte organizzazioni mentre discutono delle implicazioni di Web3 e delle opportunità che offre.
Questo nuovo grande cambiamento nell’evoluzione di Internet promette di decentralizzare il nostro mondo digitale, fornendo agli utenti un maggiore controllo e un flusso di informazioni più trasparente.
Controlla anche:
Le aziende di vari settori stanno facendo del loro meglio per adattarsi al nuovo paradigma.
Tuttavia, l’elenco delle preoccupazioni dei CISO è lungo e spazia dalla sicurezza informatica e dalle frodi di identità alla sicurezza del mercato, alla gestione delle chiavi, alle minacce ai dati e alla privacy.
La criptovaluta in qualsiasi forma, incluso NFT, comporta una serie di rischi e problemi di sicurezza che la maggior parte delle aziende potrebbe non conoscere.
“Richiede una serie di nuove procedure operative, ti espone a un nuovo set di sistemi (blockchain pubbliche) e comporta rischi di cui molte aziende non sono a conoscenza”, afferma Doug Schwenk, CEO di Digital Asset Research.
Il modo in cui i CISO pensano a questi problemi può influenzare utenti e partner commerciali.
“L’accordo ha conseguenze finanziarie immediate per l’azienda, i suoi utenti e/o i raccoglitori di NFT”, afferma Ilya Stein, ingegnere capo della sicurezza di Confiant.
Ecco le dieci principali minacce alla sicurezza che criptovalute e NFT rappresentano per i CISO.
1. L’integrazione dei protocolli blockchain può essere complessa
Blockchain è una tecnologia relativamente nuova. Pertanto, l’integrazione dei protocolli blockchain nel progetto diventa un po’ complicata.
“La principale sfida con la blockchain è la mancanza di consapevolezza della tecnologia, specialmente in settori diversi da quello bancario, e la diffusa mancanza di comprensione di come funziona”, ha affermato Deloitte in un rapporto.
“Questo rende difficile investire ed esplorare idee”.
Le aziende devono valutare attentamente la maturità e l’adeguatezza di ogni catena supportata.
“L’adozione del protocollo [blockchain] nella fase iniziale può portare a tempi di inattività e rischi per la sicurezza, mentre i protocolli nella fase successiva hanno attualmente commissioni di transazione più elevate”, afferma Schwenk.
“Una volta scelto un protocollo per l’uso desiderato (come il pagamento), lo sponsor potrebbe non essere in grado di fornire alcun supporto. È più simile all’adozione dell’open source in cui potrebbero essere richiesti fornitori di servizi specifici per realizzare appieno il valore”.
2. Modificare i criteri per la proprietà dei beni
Quando qualcuno acquista un NFT, in realtà non sta acquistando un’immagine perché non è pratico archiviare le immagini sulla blockchain a causa delle loro dimensioni.
Invece, gli utenti ricevono una sorta di ricevuta che mostra loro la strada per l’immagine.
Nella blockchain viene memorizzata solo l’identificazione dell’immagine, che può essere un hash o un URL. L’HTTP viene spesso utilizzato, ma un’alternativa decentralizzata è l’Interplanetary File System (IPFS).
Le organizzazioni che scelgono IPFS devono essere consapevoli del fatto che il nodo IPFS sarà gestito dalla società che vende l’NFT e, se tale società decide di chiudere il negozio, gli utenti potrebbero perdere l’accesso all’immagine a cui punta l’NFT.
“Sebbene sia tecnicamente possibile ricaricare un file su IPFS, è improbabile che l’utente medio sia in grado di farlo perché il processo è complesso”, afferma il ricercatore di sicurezza indipendente Anatole Brisacaro.
“Tuttavia, la parte buona è che, a causa della sua natura decentralizzata e vulnerabile, chiunque può farlo, non solo gli sviluppatori di progetti”.
3. Rischi per la sicurezza del mercato
Sebbene gli NFT siano basati sulla tecnologia blockchain, le immagini o i video ad essi associati possono essere archiviati su una piattaforma centralizzata o decentralizzata.
Spesso, per comodità, viene scelto un modello centralizzato perché rende più facile per gli utenti interagire con le risorse digitali. Lo svantaggio di questo approccio è che i mercati NFT possono ereditare le vulnerabilità Web2.
Inoltre, mentre le transazioni bancarie tradizionali sono reversibili, quelle sulla blockchain non lo sono.
“Un server violato potrebbe fornire informazioni fuorvianti all’utente, inducendolo a effettuare transazioni che prosciugherebbero il suo portafoglio”, afferma Brisacaro.
Tuttavia, dedicare la giusta quantità di tempo e impegno alla corretta implementazione del sistema può proteggere dagli attacchi, soprattutto quando si tratta di utilizzare una piattaforma decentralizzata.
“Tuttavia, alcuni mercati stanno tagliando gli angoli e sacrificando la sicurezza e il decentramento per un maggiore controllo”, afferma Brisacaro.
4. Frode di identità e frode di criptovaluta
Le truffe sulle criptovalute sono comuni e un gran numero di persone può esserne vittima. “I truffatori seguono regolarmente i prossimi lanci di NFT e in genere hanno dozzine di siti di scam mint pronti a promuovere insieme al lancio ufficiale”, afferma Stein.
I clienti che cadono vittime di queste truffe sono spesso alcuni dei loro clienti più fedeli e tali brutte esperienze possono influenzare il modo in cui percepiscono un particolare marchio.
Pertanto, proteggerli è fondamentale.
Spesso gli utenti ricevono e-mail dannose che segnalano comportamenti sospetti in uno dei loro account. Per risolvere questo problema, sono tenuti a fornire le proprie credenziali per la verifica dell’account.
Se l’utente ci casca, le sue credenziali sono a rischio. “Qualsiasi marchio che cerchi di entrare nello spazio NFT trarrebbe vantaggio dal dedicare risorse al monitoraggio e alla mitigazione di questi tipi di attacchi di phishing”, afferma Stein.
5. I bridge blockchain sono una minaccia crescente
Blockchain diverse hanno valute diverse e sono soggette a regole diverse. Ad esempio, se qualcuno possiede Bitcoin ma vuole spendere Ethereum, ha bisogno di un collegamento tra le due blockchain che consenta il trasferimento di asset.
Un ponte blockchain, a volte chiamato ponte cross-chain, fa proprio questo. “Per sua stessa natura, non è strettamente implementato utilizzando contratti intelligenti e si basa su componenti off-chain che avviano una transazione sulla seconda catena quando l’utente deposita risorse sulla catena originale”, afferma Brisacaro.
Alcuni dei più grandi attacchi di criptovaluta includono ponti multi-catena come Ronin, Poly Network e Wormhole.
Ad esempio, durante l’attacco alla blockchain di Ronin Games alla fine di marzo 2022, gli aggressori hanno sequestrato Ethereum e USDC per un valore di 625 milioni di dollari.
Anche durante l’attacco alla rete Poly nell’agosto 2021, l’hacker ha trasferito più di 600 milioni di dollari in token a più portafogli di criptovaluta.
Fortunatamente, in questo caso, i soldi sono stati restituiti dopo 2 settimane.
6. Il codice deve essere accuratamente testato e rivisto
Avere un buon codice dovrebbe essere una priorità fin dall’inizio di qualsiasi progetto. Gli sviluppatori devono essere esperti e disposti a prestare attenzione ai dettagli, sostiene Brisacaro.
In caso contrario, aumenta il rischio di diventare vittima di un incidente di sicurezza. Ad esempio, nell’attacco alla Poly Network, l’attaccante ha sfruttato un gap tra le chiamate ai nodi.
Per prevenire un incidente, le squadre devono condurre test completi. L’organizzazione deve inoltre disporre di una terza parte che esegua un controllo di sicurezza, sebbene ciò possa essere costoso e richiedere molto tempo.
Gli audit forniscono una revisione sistematica del codice che aiuta a identificare le vulnerabilità più comuni.
Certo, la verifica del codice è necessaria, ma non è sufficiente, e il fatto che l’azienda abbia condotto un audit non garantisce che non avrà problemi. “In una blockchain, i contratti intelligenti tendono ad essere molto complessi e spesso interagiscono con altri protocolli”, afferma Brisacaro.
“Tuttavia, solo le organizzazioni controllano il proprio codice e l’interazione con protocolli esterni aumenta il rischio”.
Sia gli individui che le aziende possono esplorare un’altra strada per la gestione del rischio: l’assicurazione che aiuta le aziende a ridurre il costo dei contratti intelligenti o degli hack di custodia.
7. Chiave di gestione
“Al centro della criptovaluta c’è semplicemente la gestione della chiave privata. A molte aziende sembra semplice e i CIO possono avere familiarità con i problemi e le best practice”, afferma Schwenk.
Sono disponibili diverse soluzioni di gestione delle chiavi.
Uno di questi sono portafogli hardware come Trezor, Ledger o Lattice1. Si tratta di dispositivi USB che creano e memorizzano materiale crittografico sui loro componenti sicuri, impedendo agli aggressori di accedere alle chiavi private anche quando hanno accesso al computer, ad esempio tramite un virus/backdoor.
Un’altra linea di difesa sono le formazioni multiple che possono essere utilizzate con i portafogli hardware. “Multi-sig è un portafoglio smart contract che richiede la conferma delle transazioni da parte di più proprietari”, afferma Brisacaro.
“Ad esempio, potresti avere cinque proprietari e richiedere ad almeno tre persone di firmare una transazione prima di inviarla. In questo modo, l’attaccante dovrebbe scendere a compromessi su più di una persona per compromettere il portafoglio.”
8. Utente e formazione degli utenti
Le organizzazioni che vogliono integrare le tecnologie Web3 devono formare il proprio personale perché sono necessari nuovi strumenti per eseguire transazioni su diverse blockchain.
dice Aaron Higbee, co-fondatore e chief technology officer di Cofense.
Sebbene ogni azienda debba preoccuparsi degli attacchi di phishing basati su e-mail, è più probabile che i dipendenti che gestiscono risorse digitali vengano presi di mira.
Lo scopo della formazione è garantire che tutti i membri del team utilizzino le pratiche più recenti e abbiano una buona comprensione dei principi di sicurezza. Oded Vanunu, Head of Product Vulnerabilities Research presso Check Point, afferma di aver notato un enorme divario di conoscenze sulle criptovalute, che può rendere le cose “un po’ confuse” per alcune aziende.
“Le organizzazioni che desiderano integrare le tecnologie Web3 devono comprendere che questi progetti necessitano di una profonda panoramica della sicurezza e di una comprensione della sicurezza, il che significa che devono comprendere i numeri e le implicazioni che possono verificarsi”, afferma.
Alcune organizzazioni che non vogliono gestire le chiavi private scelgono di utilizzare un sistema centralizzato, che le rende vulnerabili ai problemi di sicurezza di Web2.
“Chiedo che l’integrazione di Web3 con le tecnologie Web2 sia un progetto in cui vengono implementate analisi di sicurezza approfondite e best practice di sicurezza”, afferma Vanunu.
9. Uso continuato di applicazioni decentralizzate NFT e Web3
Molte aziende abbandonano i prodotti che non soddisfano più le loro esigenze, ma questo non è solitamente il caso degli asset basati su blockchain se implementati correttamente.
“Gli NFT non dovrebbero essere visti come uno sforzo di marketing una tantum”, afferma Stein.
“Se l’NFT stesso non è on-chain, spetta all’azienda mantenerlo in ogni momento. Se il progetto ha molto successo, l’azienda si assume il serio compito di supportare i collezionisti di questi NFT in caso di incidenti, truffe , ecc. fino ad allora.
Uno di questi progetti virali è quello lanciato dal governo ucraino che ha venduto NFT sulla base di una cronologia di guerra.
Un luogo dove si conserva la memoria della guerra. Un luogo per celebrare l’identità e la libertà ucraine”, si legge in un tweet di Mykhailo Fedorov, vice primo ministro ucraino e ministro della trasformazione digitale.
Gli appassionati di NFT hanno risposto positivamente, dicendo che vogliono comprare un pezzo di storia e supportare l’Ucraina. Tuttavia, si aspettano che il progetto continui.
10. Blockchain non è sempre lo strumento giusto
Le nuove tecnologie sono sempre entusiasmanti, ma prima di introdurle le organizzazioni dovrebbero chiedersi se hanno già risolto il problema e se questo è il momento giusto per adottarle. I progetti basati su blockchain hanno il potenziale per cambiare le aziende in meglio, ma possono anche richiedere molte risorse, almeno nella fase iniziale.
La valutazione del rapporto rischio-beneficio sarà una parte importante della decisione e un finanziamento adeguato per le attività legate alla sicurezza, sia nella fase di attuazione che durante la loro attuazione, è fondamentale.
Valutare il rapporto rischio-beneficio di queste nuove minacce potrebbe non essere (ancora) una competenza fondamentale ed è facile rimanere invischiati nell’entusiasmo spesso associato alle criptovalute”, conclude Schwenk.
10 NFT e ameaças de segurança de criptomoedas que os CISOs devem enfrentar
As tecnologias descentralizadas podem aumentar o nível de ansiedade dos CISOs, mas existem maneiras de evitar riscos de segurança.
Romanovsky / Getty Images
A lista de empresas que aceitam pagamentos em criptomoedas não para de crescer, graças às quais os clientes podem comprar quase tudo o que quiserem: eletrônicos, diplomas, cappuccinos.
Ao mesmo tempo, o mercado de tokens não negociáveis ( NFT ) está crescendo à medida que artistas emergentes se tornam milionários, com nomes mais estabelecidos como Snoop Dogg, Martha Stewart e Grimes capitalizando a tendência.
Criptomoedas e NFTs estão na agenda de muitas organizações enquanto discutem as implicações da Web3 e as oportunidades que ela traz.
Essa nova grande mudança na evolução da Internet promete descentralizar nosso mundo digital, proporcionando aos usuários maior controle e um fluxo de informações mais transparente.
Verifique também:
Empresas de diversos setores estão fazendo o possível para se adaptar ao novo paradigma.
No entanto, a lista de preocupações do CISO é longa e varia de segurança cibernética e fraude de identidade a segurança de mercado, gerenciamento de chaves, dados e ameaças à privacidade.
A criptomoeda em qualquer forma, incluindo NFT, carrega uma série de riscos e problemas de segurança com os quais a maioria das empresas pode não estar familiarizada.
“Isso requer uma série de novos procedimentos operacionais, expõe você a um novo conjunto de sistemas (blockchains públicos) e traz riscos dos quais muitas empresas não estão cientes”, diz Doug Schwenk, CEO da Digital Asset Research.
A forma como os CISOs pensam sobre essas questões pode afetar usuários e parceiros de negócios.
“O acordo tem consequências financeiras imediatas para a empresa, seus usuários e/ou coletores de NFT”, diz Ilya Stein, engenheiro-chefe de segurança da Confiant.
Aqui estão as dez principais ameaças à segurança que as criptomoedas e o NFT representam para os CISOs.
1. A integração de protocolos blockchain pode ser complexa
Blockchain é uma tecnologia relativamente nova. Como tal, integrar os protocolos blockchain ao projeto torna-se um pouco complicado.
“O principal desafio com blockchain é a falta de conhecimento da tecnologia, especialmente em outros setores além do bancário, e a falta generalizada de compreensão de como ela funciona”, disse a Deloitte em um relatório.
“Isso dificulta o investimento e a exploração de ideias.”
As empresas devem avaliar cuidadosamente cada cadeia apoiada quanto à maturidade e adequação.
“A adoção do protocolo [blockchain] em estágio inicial pode levar a paralisações e riscos de segurança, enquanto os protocolos de estágio posterior atualmente têm taxas de transação mais altas”, diz Schwenk.
“Depois que um protocolo é escolhido para o uso desejado (como pagamento), o patrocinador pode não ser capaz de fornecer nenhum suporte. É mais como a adoção de código aberto, em que provedores de serviços específicos podem ser necessários para realizar totalmente o valor.”
2. Alteração dos critérios de propriedade de ativos
Quando alguém compra um NFT, na verdade não está comprando uma imagem porque é inviável armazenar imagens na blockchain devido ao seu tamanho.
Em vez disso, os usuários recebem uma espécie de recibo mostrando o caminho para a imagem.
Apenas a identificação da imagem é armazenada no blockchain, que pode ser um hash ou uma URL. O HTTP é frequentemente usado, mas uma alternativa descentralizada é o Interplanetary File System (IPFS).
As organizações que optam pelo IPFS devem estar cientes de que o nó IPFS será gerenciado pela empresa que vende o NFT e, se essa empresa decidir fechar a loja, os usuários poderão perder o acesso à imagem para a qual o NFT aponta.
“Embora seja tecnicamente possível reenviar um arquivo para o IPFS, é improvável que o usuário médio consiga fazê-lo porque o processo é complexo”, diz o pesquisador de segurança independente Anatole Brisacaro.
“No entanto, a parte boa é que, devido à sua natureza descentralizada e vulnerável, qualquer um pode fazer isso – não apenas os desenvolvedores de projetos.”
3. Riscos de segurança de mercado
Embora os NFTs sejam baseados na tecnologia blockchain, as imagens ou vídeos associados a eles podem ser armazenados em uma plataforma centralizada ou descentralizada.
Muitas vezes, por conveniência, um modelo centralizado é escolhido porque facilita a interação dos usuários com ativos digitais. A desvantagem dessa abordagem é que os mercados NFT podem herdar vulnerabilidades Web2.
Além disso, embora as transações bancárias tradicionais sejam reversíveis, as da blockchain não são.
“Um servidor hackeado pode fornecer informações enganosas ao usuário, induzindo-o a fazer transações que esgotariam sua carteira”, diz Brisacaro.
No entanto, dedicar o tempo e o esforço certos na implementação correta do sistema pode proteger contra ataques, especialmente quando se trata de usar uma plataforma descentralizada.
“No entanto, alguns mercados estão cortando custos e sacrificando a segurança e a descentralização para obter maior controle”, diz Brisacaro.
4. Fraude de identidade e fraude de criptomoeda
Golpes de criptomoeda são comuns e um grande número de pessoas pode ser vítima deles. “Os golpistas acompanham regularmente os próximos lançamentos de NFT e normalmente têm dezenas de sites fraudulentos prontos para promover junto com o lançamento oficial”, diz Stein.
Os clientes que são vítimas desses golpes geralmente são alguns de seus clientes mais fiéis, e essas experiências ruins podem afetar a forma como eles percebem uma determinada marca.
Portanto, protegê-los é crucial.
Frequentemente, os usuários recebem e-mails maliciosos informando que comportamentos suspeitos foram observados em uma de suas contas. Para resolver esse problema, eles são obrigados a fornecer suas credenciais para verificação da conta.
Se o usuário cair nessa, suas credenciais estarão em risco. “Qualquer marca tentando entrar no espaço NFT se beneficiaria ao dedicar recursos para monitorar e mitigar esses tipos de ataques de phishing”, diz Stein.
5. Pontes Blockchain são uma ameaça crescente
Diferentes blockchains têm moedas diferentes e estão sujeitas a regras diferentes. Por exemplo, se alguém possui Bitcoin, mas deseja gastar Ethereum, precisa de um link entre os dois blockchains que permita a transferência de ativos.
Uma ponte blockchain, às vezes chamada de ponte cross-chain, faz exatamente isso. “Por sua própria natureza, não é estritamente implementado usando contratos inteligentes e depende de componentes fora da cadeia iniciando uma transação na segunda cadeia quando o usuário deposita ativos na cadeia original”, diz Brisacaro.
Alguns dos maiores hacks de criptomoeda incluem pontes de várias cadeias, como Ronin, Poly Network e Wormhole.
Por exemplo, durante o hack da blockchain da Ronin Games no final de março de 2022, os invasores apreenderam US$ 625 milhões em Ethereum e USDC.
Também durante o ataque à Poly Network em agosto de 2021, o hacker transferiu mais de US$ 600 milhões em tokens para várias carteiras de criptomoedas.
Felizmente, neste caso, o dinheiro foi devolvido após 2 semanas.
6. O código deve ser completamente testado e revisado
Ter um bom código deve ser uma prioridade desde o início de qualquer projeto. Os desenvolvedores devem ser habilidosos e dispostos a prestar atenção aos detalhes, argumenta Brisacaro.
Caso contrário, o risco de se tornar vítima de um incidente de segurança aumenta. Por exemplo, no ataque à Poly Network, o invasor explorou uma lacuna entre as chamadas de nó.
Para evitar um acidente, as equipes devem realizar testes abrangentes. A organização também deve ter um terceiro realizando uma auditoria de segurança, embora isso possa ser caro e demorado.
As auditorias fornecem uma revisão sistemática do código que ajuda a identificar as vulnerabilidades mais comuns.
Claro que a verificação do código é necessária, mas não é suficiente, e o fato de a empresa ter feito uma auditoria não garante que não terá problemas. “Em um blockchain, os contratos inteligentes tendem a ser muito complexos e muitas vezes interagem com outros protocolos”, diz Brisacaro.
“No entanto, apenas as organizações controlam seu próprio código e a interação com protocolos externos aumenta o risco.”
Tanto os indivíduos quanto as empresas podem explorar outro caminho para o gerenciamento de riscos: seguros que ajudam as empresas a reduzir o custo de contratos inteligentes ou hacks de custódia.
7. Chave de gerenciamento
“No centro da criptomoeda está simplesmente gerenciar a chave privada. Parece simples para muitas empresas, e os CIOs podem estar familiarizados com os problemas e as melhores práticas”, diz Schwenk.
Existem várias soluções de gerenciamento de chaves disponíveis.
Uma delas são as carteiras de hardware como Trezor, Ledger ou Lattice1. São dispositivos USB que criam e armazenam material criptográfico em seus componentes seguros, impedindo que invasores acessem chaves privadas mesmo quando têm acesso ao computador, por exemplo, por meio de um vírus/backdoor.
Outra linha de defesa são as múltiplas formações que podem ser usadas com carteiras de hardware. “Multi-sig é uma carteira de contrato inteligente que exige que as transações sejam confirmadas por vários proprietários”, diz Brisacaro.
“Por exemplo, você poderia ter cinco proprietários e exigir que pelo menos três pessoas assinassem uma transação antes de enviá-la. Dessa forma, o invasor teria que comprometer mais de uma pessoa para comprometer a carteira.”
8. Usuário e educação do usuário
As organizações que desejam integrar tecnologias Web3 precisam treinar sua equipe porque novas ferramentas são necessárias para realizar transações em diferentes blockchains.
diz Aaron Higbee, co-fundador e diretor de tecnologia da Cofense.
Embora toda empresa precise se preocupar com ataques de phishing baseados em e-mail, os funcionários que lidam com ativos digitais podem ser mais propensos a serem alvos.
O objetivo do treinamento é garantir que todos na equipe usem as práticas mais recentes e tenham um bom entendimento dos princípios de segurança. Oded Vanunu, chefe de pesquisa de vulnerabilidades de produtos da Check Point, diz que percebeu uma enorme lacuna de conhecimento sobre criptomoedas, o que pode tornar as coisas “um pouco confusas” para algumas empresas.
“As organizações que desejam integrar as tecnologias Web3 precisam entender que esses projetos precisam de uma visão geral de segurança profunda e compreensão da segurança, o que significa que precisam entender os números e as implicações que podem acontecer”, diz ele.
Algumas organizações que não desejam gerenciar chaves privadas optam por usar um sistema centralizado, o que as torna vulneráveis a problemas de segurança Web2.
“Apelo para que a integração do Web3 com as tecnologias Web2 seja um projeto em que a análise de segurança aprofundada e as melhores práticas de segurança sejam implementadas”, diz Vanunu.
9. Uso contínuo de aplicativos descentralizados NFT e Web3
Muitas empresas abandonam produtos que não atendem mais às suas necessidades, mas esse geralmente não é o caso de ativos baseados em blockchain, se implementados corretamente.
“Os NFTs não devem ser vistos como um esforço de marketing isolado”, diz Stein.
“Se o próprio NFT não for on-chain, o ônus é da empresa em mantê-lo sempre. Se o projeto for muito bem-sucedido, a empresa assume a séria tarefa de apoiar os cobradores desses NFTs em caso de contratempos, golpes , etc. até então.
Um desses projetos virais é o lançado pelo governo ucraniano que vendeu NFT com base em uma linha do tempo de guerra.
Um lugar onde a memória da guerra é preservada. Um lugar para celebrar a identidade e a liberdade ucranianas”, diz um tweet de Mykhailo Fedorov, vice-primeiro-ministro da Ucrânia e ministro da Transformação Digital.
Os entusiastas do NFT responderam positivamente, dizendo que querem comprar um pedaço da história e apoiar a Ucrânia. No entanto, eles esperam que o projeto continue.
10. Blockchain nem sempre é a ferramenta certa
Novas tecnologias são sempre empolgantes, mas antes de apresentá-las, as organizações devem se perguntar se já resolveram o problema e se este é o momento certo para adotá-las. Os projetos baseados em blockchain têm o potencial de mudar as empresas para melhor, mas também podem consumir muitos recursos, pelo menos no estágio inicial.
A avaliação da relação risco-benefício será uma parte importante da decisão, e o financiamento adequado para atividades relacionadas à segurança, tanto no estágio de implementação quanto durante sua implementação, é crítico.
Avaliar a relação risco-benefício dessas novas ameaças pode não ser uma competência essencial (ainda), e é fácil ser pego no hype frequentemente associado às criptomoedas”, conclui Schwenk.
10 угроз безопасности NFT и криптовалюты, с которыми должны противостоять директорам по информационной безопасности
Децентрализованные технологии могут повысить уровень беспокойства директоров по информационной безопасности, но есть способы избежать рисков безопасности.
Романовский / Getty Images
Список компаний, принимающих криптовалютные платежи, постоянно растет, благодаря чему клиенты могут купить практически все, что пожелают: электронику, дипломы, капучино.
В то же время рынок неторгуемых токенов ( NFT ) переживает бум, поскольку начинающие артисты становятся миллионерами, а более известные имена, такие как Снуп Догг, Марта Стюарт и Граймс, извлекают выгоду из этой тенденции.
Криптовалюты и NFT находятся в повестке дня многих организаций, поскольку они обсуждают последствия Web3 и возможности, которые он предоставляет.
Этот новый большой сдвиг в эволюции Интернета обещает децентрализовать наш цифровой мир, предоставляя пользователям больший контроль и более прозрачный поток информации.
Также проверьте:
Компании из разных отраслей стараются адаптироваться к новой парадигме.
Тем не менее, список проблем CISO длинный и варьируется от кибербезопасности и мошенничества с идентификацией до безопасности рынка, управления ключами, данных и угроз конфиденциальности.
Криптовалюта в любой форме, включая NFT, несет в себе ряд рисков и проблем с безопасностью, с которыми большинство компаний могут быть не знакомы.
«Это требует ряда новых операционных процедур, открывает вам доступ к новому набору систем (общедоступных блокчейнов) и сопряжено с рисками, о которых многие компании не знают», — говорит Дуг Швенк, генеральный директор Digital Asset Research.
То, как руководители по информационной безопасности думают об этих проблемах, может повлиять на пользователей и деловых партнеров.
«Урегулирование имеет немедленные финансовые последствия для компании, ее пользователей и/или сборщиков NFT», — говорит Илья Штейн, главный инженер по безопасности Confiant.
Вот десять основных угроз безопасности, которые криптовалюты и NFT представляют для директоров по информационной безопасности.
1. Интеграция протоколов блокчейна может быть сложной
Блокчейн — относительно новая технология. Таким образом, интеграция протоколов блокчейна в проект становится немного сложной.
«Основная проблема с блокчейном — это недостаточная осведомленность о технологии, особенно в секторах, отличных от банковского, и повсеместное непонимание того, как она работает», — говорится в отчете Deloitte.
«Это затрудняет инвестирование и изучение идей».
Компании должны тщательно оценивать каждую поддерживаемую цепочку на предмет зрелости и пригодности.
«Внедрение протокола [блокчейн] на ранней стадии может привести к простоям и рискам для безопасности, в то время как протоколы более поздних стадий в настоящее время имеют более высокие комиссии за транзакции», — говорит Швенк.
“После того, как протокол выбран для желаемого использования (например, для оплаты), спонсор может быть не в состоянии оказать какую-либо поддержку. Это больше похоже на принятие открытого исходного кода, когда для полной реализации ценности могут потребоваться конкретные поставщики услуг”.
2. Изменение критериев владения активами
Когда кто-то покупает NFT, он на самом деле не покупает изображение, потому что хранить изображения в блокчейне нецелесообразно из-за их размера.
Вместо этого пользователи получают своего рода квитанцию, показывающую им путь к изображению.
В блокчейне хранится только идентификация изображения, которая может быть хешем или URL-адресом. Часто используется HTTP, но децентрализованной альтернативой является межпланетная файловая система (IPFS).
Организации, выбравшие IPFS, должны знать, что узел IPFS будет управляться компанией, продающей NFT, и если эта компания решит закрыть магазин, пользователи могут потерять доступ к изображению, на которое указывает NFT.
«Хотя технически возможно повторно загрузить файл в IPFS, маловероятно, что обычный пользователь сможет это сделать, потому что этот процесс сложен», — говорит независимый исследователь безопасности Анатоль Брисакаро.
«Однако хорошая часть заключается в том, что из-за его децентрализованного и уязвимого характера это может сделать любой, а не только разработчики проектов».
3. Рыночные риски безопасности
Хотя NFT основаны на технологии блокчейна, изображения или видео, связанные с ними, могут храниться на централизованной или децентрализованной платформе.
Часто для удобства выбирают централизованную модель, поскольку она упрощает взаимодействие пользователей с цифровыми активами. Недостатком этого подхода является то, что рынки NFT могут наследовать уязвимости Web2.
Кроме того, в то время как традиционные банковские транзакции являются обратимыми, транзакции в блокчейне — нет.
«Взломанный сервер может предоставлять пользователям вводящую в заблуждение информацию, заставляя их совершать транзакции, которые опустошают их кошелек», — говорит Брисакаро.
Однако, потратив нужное количество времени и усилий на правильную реализацию системы, можно защититься от атак, особенно если речь идет об использовании децентрализованной платформы.
«Однако некоторые рынки срезают углы и жертвуют безопасностью и децентрализацией ради большего контроля», — говорит Брисакаро.
4. Мошенничество с идентификацией и мошенничество с криптовалютой
Мошенничество с криптовалютой является обычным явлением, и большое количество людей может стать его жертвой. «Мошенники регулярно следят за предстоящими запусками NFT и, как правило, имеют десятки мошеннических сайтов, готовых к продвижению вместе с официальным запуском», — говорит Стейн.
Клиенты, которые становятся жертвами этих мошенников, часто являются одними из их самых лояльных клиентов, и такой плохой опыт может повлиять на то, как они воспринимают конкретный бренд.
Поэтому их защита имеет решающее значение.
Часто пользователи получают вредоносные электронные письма о том, что в одной из их учетных записей замечено подозрительное поведение. Чтобы решить эту проблему, они должны предоставить свои учетные данные для проверки учетной записи.
Если пользователь попадется на эту удочку, его учетные данные окажутся под угрозой. «Любой бренд, пытающийся войти в пространство NFT, выиграет, если выделит ресурсы для мониторинга и смягчения этих типов фишинговых атак», — говорит Стейн.
5. Блокчейн-мосты — растущая угроза
Разные блокчейны имеют разные валюты и подчиняются разным правилам. Например, если кто-то владеет биткойнами, но хочет потратить Ethereum, ему нужна связь между двумя цепочками блоков, которая позволяет передавать активы.
Блокчейн-мост, который иногда называют межсетевым мостом, делает именно это. «По своей природе он не реализуется строго с использованием смарт-контрактов и полагается на компоненты вне сети, инициирующие транзакцию во второй цепочке, когда пользователь вносит активы в исходную цепочку», — говорит Брисакаро.
Некоторые из крупнейших взломов криптовалюты включают мосты с несколькими цепями, такие как Ronin, Poly Network и Wormhole.
Например, во время взлома блокчейна Ronin Games в конце марта 2022 года злоумышленники захватили Ethereum и USDC на сумму 625 миллионов долларов.
Также во время атаки на Poly Network в августе 2021 года хакер перевел токены на сумму более 600 миллионов долларов на несколько криптовалютных кошельков.
К счастью, в этом случае деньги вернули через 2 недели.
6. Код должен быть тщательно протестирован и исправлен
Наличие хорошего кода должно быть приоритетом с самого начала любого проекта. Брисакаро утверждает, что разработчики должны быть опытными и готовыми уделять внимание деталям.
В противном случае возрастает риск стать жертвой инцидента безопасности. Например, при атаке на сеть Poly злоумышленник использовал разрыв между вызовами узлов.
Чтобы предотвратить аварию, команды должны провести всестороннее тестирование. Организация также должна привлечь третью сторону для проведения аудита безопасности, хотя это может быть дорогостоящим и трудоемким.
Аудиты обеспечивают систематический обзор кода, который помогает выявить наиболее распространенные уязвимости.
Конечно, проверка кода необходима, но этого недостаточно, и то, что компания провела аудит, не гарантирует, что у нее не возникнет проблем. «В блокчейне смарт-контракты, как правило, очень сложны и часто взаимодействуют с другими протоколами», — говорит Брисакаро.
«Однако только организации контролируют собственный код, а взаимодействие с внешними протоколами увеличивает риск».
И частные лица, и компании могут изучить еще один способ управления рисками: страхование, которое помогает компаниям снизить стоимость смарт-контрактов или хакерских атак.
7. Ключ управления
“В основе криптовалюты лежит простое управление закрытым ключом. Многим компаниям это кажется простым, и ИТ-директора могут быть знакомы с проблемами и передовым опытом”, — говорит Швенк.
Доступно несколько решений для управления ключами.
Одним из них являются аппаратные кошельки, такие как Trezor, Ledger или Lattice1. Это USB-устройства, которые создают и хранят криптографический материал на своих защищенных компонентах, предотвращая доступ злоумышленников к закрытым ключам, даже если у них есть доступ к компьютеру, например, через вирус/черный ход.
Еще одна линия защиты — это несколько формаций, которые можно использовать с аппаратными кошельками. «Multi-sig — это кошелек для смарт-контрактов, который требует подтверждения транзакций несколькими владельцами», — говорит Брисакаро.
“Например, у вас может быть пять владельцев и требуется, чтобы по крайней мере три человека подписали транзакцию перед ее отправкой. Таким образом, злоумышленнику придется скомпрометировать более одного человека, чтобы скомпрометировать кошелек”.
8. Пользователь и обучение пользователей
Организации, которые хотят интегрировать технологии Web3, должны обучать свой персонал, потому что нужны новые инструменты для выполнения транзакций в разных блокчейнах.
— говорит Аарон Хигби, соучредитель и главный технический директор Cofense.
Хотя каждая компания должна беспокоиться о фишинговых атаках на основе электронной почты, сотрудники, которые работают с цифровыми активами, могут с большей вероятностью стать жертвами.
Цель обучения — убедиться, что каждый член команды использует новейшие методики и хорошо понимает принципы безопасности. Одед Вануну, руководитель отдела исследования уязвимостей продуктов в Check Point, говорит, что заметил огромный пробел в знаниях о криптовалютах, который может сделать вещи «несколько беспорядочными» для некоторых компаний.
«Организации, которые хотят интегрировать технологии Web3, должны понимать, что эти проекты нуждаются в глубоком обзоре безопасности и понимании безопасности, что означает, что им нужно понимать цифры и последствия, которые могут произойти», — говорит он.
Некоторые организации, которые не хотят управлять закрытыми ключами, предпочитают использовать централизованную систему, что делает их уязвимыми для проблем безопасности Web2.
«Я призываю к тому, чтобы интеграция Web3 с технологиями Web2 стала проектом, в котором реализован глубокий анализ безопасности и лучшие практики безопасности», — говорит Вануну.
9. Продолжение использования децентрализованных приложений NFT и Web3
Многие компании отказываются от продуктов, которые больше не служат их потребностям, но это обычно не относится к активам на основе блокчейна, если они реализованы правильно.
«NFT не следует рассматривать как одноразовую маркетинговую попытку», — говорит Стейн.
“Если сам NFT не находится в сети, ответственность за его постоянное обслуживание лежит на компании. Если проект очень успешен, компания берет на себя серьезную задачу поддержки сборщиков этих NFT в случае неудач, мошенничества. и т.д. до тех пор.
Одним из таких вирусных проектов является проект, запущенный украинским правительством, который продавал NFT на основе временной шкалы войны.
Место, где хранится память о войне. Место, где прославляют украинскую идентичность и свободу», — написал в Твиттере вице-премьер-министр Украины и министр цифровой трансформации Михаил Федоров.
Энтузиасты NFT ответили положительно, заявив, что хотят купить кусочек истории и поддержать Украину. Тем не менее, они ожидают, что проект будет продолжен.
10. Блокчейн — не всегда правильный инструмент
Новые технологии всегда интересны, но прежде чем внедрять их, организации должны спросить себя, решили ли они уже проблему и не пора ли их внедрить. Проекты на основе блокчейна могут изменить компании к лучшему, но они также могут быть ресурсоемкими, по крайней мере, на начальном этапе.
Оценка соотношения риска и пользы будет важной частью решения, а адекватное финансирование деятельности, связанной с безопасностью, как на этапе реализации, так и во время ее реализации, имеет решающее значение.
Оценка соотношения риска и выгоды от этих новых угроз может не быть основной компетенцией (пока), и легко попасть в ловушку ажиотажа, который часто ассоциируется с криптовалютами», — заключает Швенк.
10 amenazas de seguridad de NFT y criptomonedas que los CISO deben enfrentar
Las tecnologías descentralizadas pueden aumentar el nivel de ansiedad de los CISO, pero hay formas de evitar los riesgos de seguridad.
Imágenes de Romanovsky/Getty
La lista de empresas que aceptan pagos con criptomonedas crece constantemente, gracias a lo cual los clientes pueden comprar casi cualquier cosa que deseen: electrónica, diplomas, capuchinos.
Al mismo tiempo, el mercado de tokens no negociables ( NFT ) está en auge a medida que los artistas emergentes se vuelven millonarios, con nombres más establecidos como Snoop Dogg, Martha Stewart y Grimes capitalizando la tendencia.
Las criptomonedas y las NFT están en la agenda de muchas organizaciones mientras discuten las implicaciones de Web3 y las oportunidades que brinda.
Este nuevo gran cambio en la evolución de Internet promete descentralizar nuestro mundo digital, brindando a los usuarios un mayor control y un flujo de información más transparente.
También verifique:
Empresas de diversas industrias están haciendo todo lo posible para adaptarse al nuevo paradigma.
Sin embargo, la lista de preocupaciones de los CISO es larga y va desde la ciberseguridad y el fraude de identidad hasta la seguridad del mercado, la gestión de claves, los datos y las amenazas a la privacidad.
La criptomoneda en cualquier forma, incluido NFT, conlleva una serie de riesgos y problemas de seguridad con los que la mayoría de las empresas pueden no estar familiarizadas.
“Requiere una serie de nuevos procedimientos operativos, lo expone a un nuevo conjunto de sistemas (cadenas de bloques públicas) y conlleva riesgos de los que muchas empresas no son conscientes”, dice Doug Schwenk, director ejecutivo de Digital Asset Research.
La forma en que los CISO piensan sobre estos temas puede afectar a los usuarios y socios comerciales.
“El acuerdo tiene consecuencias financieras inmediatas para la empresa, sus usuarios y/o los recolectores de NFT”, dice Ilya Stein, ingeniero jefe de seguridad de Confiant.
Aquí están las diez principales amenazas de seguridad que las criptomonedas y NFT representan para los CISO.
1. La integración de los protocolos de blockchain puede ser compleja
Blockchain es una tecnología relativamente nueva. Como tal, la integración de los protocolos de la cadena de bloques en el proyecto se vuelve un poco complicada.
“El principal desafío con blockchain es la falta de conocimiento de la tecnología, especialmente en sectores distintos al bancario, y la falta generalizada de comprensión de cómo funciona”, dijo Deloitte en un informe.
“Esto hace que sea difícil invertir y explorar ideas”.
Las empresas deben evaluar cuidadosamente la madurez y la idoneidad de cada cadena admitida.
“La adopción del protocolo [blockchain] en la etapa inicial puede generar tiempo de inactividad y riesgos de seguridad, mientras que los protocolos de etapa posterior actualmente tienen tarifas de transacción más altas”, dice Schwenk.
“Una vez que se elige un protocolo para el uso deseado (como el pago), es posible que el patrocinador no pueda brindar ningún soporte. Es más como la adopción de código abierto donde se pueden requerir proveedores de servicios específicos para obtener el valor por completo”.
2. Cambiar los criterios para la propiedad de activos
Cuando alguien compra un NFT, en realidad no está comprando una imagen porque no es práctico almacenar imágenes en la cadena de bloques debido a su tamaño.
En cambio, los usuarios reciben una especie de recibo que les indica el camino a la imagen.
Solo la identificación de la imagen se almacena en la cadena de bloques, que puede ser un hash o una URL. A menudo se utiliza HTTP, pero una alternativa descentralizada es el Sistema de archivos interplanetarios (IPFS).
Las organizaciones que elijan IPFS deben saber que el nodo de IPFS será administrado por la empresa que vende el NFT, y si esa empresa decide cerrar la tienda, los usuarios pueden perder el acceso a la imagen a la que apunta el NFT.
“Si bien es técnicamente posible volver a cargar un archivo en IPFS, es poco probable que el usuario promedio pueda hacerlo porque el proceso es complejo”, dice el investigador de seguridad independiente Anatole Brisacaro.
“Sin embargo, lo bueno es que, debido a su naturaleza descentralizada y vulnerable, cualquiera puede hacer esto, no solo los desarrolladores de proyectos”.
3. Riesgos de seguridad del mercado
Aunque los NFT se basan en la tecnología de cadena de bloques, las imágenes o videos asociados a ellos se pueden almacenar en una plataforma centralizada o descentralizada.
A menudo, por conveniencia, se elige un modelo centralizado porque facilita que los usuarios interactúen con los activos digitales. La desventaja de este enfoque es que los mercados de NFT pueden heredar las vulnerabilidades de Web2.
Además, mientras que las transacciones bancarias tradicionales son reversibles, las de la cadena de bloques no lo son.
“Un servidor pirateado podría proporcionar información engañosa al usuario, engañándolo para que realice transacciones que agotarían su billetera”, dice Brisacaro.
Sin embargo, dedicar la cantidad adecuada de tiempo y esfuerzo a la implementación correcta del sistema puede proteger contra ataques, especialmente cuando se trata de usar una plataforma descentralizada.
“Sin embargo, algunos mercados están tomando atajos y sacrificando la seguridad y la descentralización por un mayor control”, dice Brisacaro.
4. Fraude de identidad y fraude de criptomonedas
Las estafas de criptomonedas son comunes y una gran cantidad de personas pueden ser víctimas de ellas. “Los estafadores realizan un seguimiento regular de los próximos lanzamientos de NFT y, por lo general, tienen docenas de sitios falsos listos para promocionar junto con el lanzamiento oficial”, dice Stein.
Los clientes que son víctimas de estas estafas suelen ser algunos de sus clientes más leales, y esas malas experiencias pueden afectar la forma en que perciben una marca en particular.
Por lo tanto, protegerlos es crucial.
A menudo, los usuarios reciben correos electrónicos maliciosos de que se ha detectado un comportamiento sospechoso en una de sus cuentas. Para resolver este problema, deben proporcionar sus credenciales para la verificación de la cuenta.
Si el usuario cae en la trampa, sus credenciales están en riesgo. “Cualquier marca que intente ingresar al espacio NFT se beneficiaría al dedicar recursos para monitorear y mitigar este tipo de ataques de phishing”, dice Stein.
5. Los puentes de cadena de bloques son una amenaza creciente
Diferentes cadenas de bloques tienen diferentes monedas y están sujetas a diferentes reglas. Por ejemplo, si alguien posee Bitcoin pero quiere gastar Ethereum, necesita un enlace entre las dos cadenas de bloques que permita la transferencia de activos.
Un puente de cadena de bloques, a veces llamado puente de cadena cruzada, hace exactamente eso. “Por su propia naturaleza, no se implementa estrictamente mediante contratos inteligentes y se basa en componentes fuera de la cadena que inician una transacción en la segunda cadena cuando el usuario deposita activos en la cadena original”, dice Brisacaro.
Algunos de los hacks de criptomonedas más grandes incluyen puentes de cadenas múltiples como Ronin, Poly Network y Wormhole.
Por ejemplo, durante el hackeo de la cadena de bloques de Ronin Games a finales de marzo de 2022, los atacantes se apoderaron de Ethereum y USDC por valor de 625 millones de dólares.
También durante el ataque a Poly Network en agosto de 2021, el hacker transfirió más de $600 millones en tokens a múltiples billeteras de criptomonedas.
Afortunadamente, en este caso, el dinero fue devuelto después de 2 semanas.
6. El código debe ser probado y revisado a fondo.
Tener un buen código debe ser una prioridad desde el comienzo de cualquier proyecto. Los desarrolladores deben ser hábiles y estar dispuestos a prestar atención a los detalles, argumenta Brisacaro.
De lo contrario, aumenta el riesgo de ser víctima de un incidente de seguridad. Por ejemplo, en el ataque a Poly Network, el atacante aprovechó una brecha entre las llamadas de nodo.
Para prevenir un accidente, los equipos deben realizar pruebas exhaustivas. La organización también debe hacer que un tercero realice una auditoría de seguridad, aunque esto puede ser costoso y llevar mucho tiempo.
Las auditorías proporcionan una revisión sistemática del código que ayuda a identificar las vulnerabilidades más comunes.
Por supuesto, la verificación del código es necesaria, pero no es suficiente, y el hecho de que la empresa haya realizado una auditoría no garantiza que no vaya a tener problemas. “En una cadena de bloques, los contratos inteligentes tienden a ser muy complejos y, a menudo, interactúan con otros protocolos”, dice Brisacaro.
“Sin embargo, solo las organizaciones controlan su propio código, y la interacción con protocolos externos aumenta el riesgo”.
Tanto las personas como las empresas pueden explorar otra vía para la gestión de riesgos: los seguros que ayudan a las empresas a reducir el costo de los contratos inteligentes o los hacks de custodia.
7. Clave de gestión
“En el corazón de la criptomoneda está simplemente administrar la clave privada. A muchas empresas les parece simple, y los CIO pueden estar familiarizados con los problemas y las mejores prácticas”, dice Schwenk.
Hay varias soluciones de gestión de claves disponibles.
Una de ellas son las carteras de hardware como Trezor, Ledger o Lattice1. Estos son dispositivos USB que crean y almacenan material criptográfico en sus componentes seguros, evitando que los atacantes accedan a las claves privadas incluso cuando tienen acceso a la computadora, por ejemplo, a través de un virus/puerta trasera.
Otra línea de defensa son las múltiples formaciones que se pueden usar con carteras de hardware. “Multi-sig es una billetera de contrato inteligente que requiere que las transacciones sean confirmadas por múltiples propietarios”, dice Brisacaro.
“Por ejemplo, podría tener cinco propietarios y requerir que al menos tres personas firmen una transacción antes de enviarla. De esa manera, el atacante tendría que comprometer a más de una persona para comprometer la billetera”.
8. Usuario y educación del usuario
Las organizaciones que desean integrar las tecnologías Web3 deben capacitar a su personal porque se necesitan nuevas herramientas para realizar transacciones en diferentes cadenas de bloques.
dice Aaron Higbee, cofundador y director de tecnología de Cofense.
Aunque todas las empresas deben preocuparse por los ataques de phishing basados en correo electrónico, es más probable que los empleados que manejan activos digitales sean atacados.
El propósito de la capacitación es garantizar que todos los miembros del equipo utilicen las últimas prácticas y comprendan bien los principios de seguridad. Oded Vanunu, jefe de investigación de vulnerabilidades de productos en Check Point, dice que ha notado una gran brecha de conocimiento sobre las criptomonedas, lo que puede hacer que las cosas sean “un poco complicadas” para algunas empresas.
“Las organizaciones que desean integrar las tecnologías Web3 deben comprender que estos proyectos necesitan una visión general profunda de la seguridad y una comprensión de la seguridad, lo que significa que deben comprender los números y las implicaciones que pueden ocurrir”, dice.
Algunas organizaciones que no desean administrar claves privadas optan por utilizar un sistema centralizado, lo que las hace vulnerables a los problemas de seguridad de Web2.
“Hago un llamado para que la integración de Web3 con las tecnologías Web2 sea un proyecto en el que se implementen un análisis de seguridad en profundidad y las mejores prácticas de seguridad”, dice Vanunu.
9. Uso continuado de aplicaciones descentralizadas NFT y Web3
Muchas empresas abandonan productos que ya no satisfacen sus necesidades, pero este no suele ser el caso con los activos basados en blockchain si se implementan correctamente.
“Los NFT no deben verse como un esfuerzo de marketing único”, dice Stein.
“Si el NFT en sí mismo no está en la cadena, la empresa tiene la responsabilidad de mantenerlo en todo momento. Si el proyecto tiene mucho éxito, la empresa asume la seria tarea de apoyar a los recolectores de estos NFT en caso de percances, estafas”. , etc hasta entonces.
Uno de esos proyectos virales es uno lanzado por el gobierno ucraniano que vendió NFT basado en una línea de tiempo de guerra.
Un lugar donde se conserva la memoria de la guerra. Un lugar para celebrar la identidad y la libertad de Ucrania”, se lee en un tuit de Mykhailo Fedorov, viceprimer ministro y ministro de Transformación Digital de Ucrania.
Los entusiastas de NFT han respondido positivamente, diciendo que quieren comprar un pedazo de historia y apoyar a Ucrania. Sin embargo, esperan que el proyecto continúe.
10. Blockchain no siempre es la herramienta adecuada
Las nuevas tecnologías siempre son emocionantes, pero antes de presentarlas, las organizaciones deben preguntarse si ya han resuelto el problema y si es el momento adecuado para adoptarlas. Los proyectos basados en blockchain tienen el potencial de mejorar las empresas, pero también pueden consumir muchos recursos, al menos en la etapa inicial.
La evaluación de la relación riesgo-beneficio será una parte importante de la decisión, y es fundamental contar con una financiación adecuada para las actividades relacionadas con la seguridad, tanto en la etapa de implementación como durante su implementación.
Evaluar la relación riesgo-beneficio de estas nuevas amenazas puede no ser una competencia central (todavía), y es fácil quedar atrapado en la exageración que a menudo se asocia con las criptomonedas”, concluye Schwenk.
CISO’ların yüzleşmesi gereken 10 NFT ve kripto para güvenlik tehdidi
Merkezi olmayan teknolojiler, CISO’lar için endişe düzeyini artırabilir, ancak güvenlik risklerinden kaçınmanın yolları vardır.
Romanovski / Getty Images
Kripto para ödemelerini kabul eden şirketlerin listesi, müşterilerin neredeyse istedikleri her şeyi satın alabilmeleri sayesinde sürekli büyüyor: elektronik, diploma, kapuçino.
Aynı zamanda, Snoop Dogg, Martha Stewart ve Grimes gibi daha yerleşik isimlerin trendden faydalanmasıyla, yeni ortaya çıkan sanatçılar milyonerler haline geldikçe, ticarete konu olmayan token ( NFT ) piyasası patlama yaşıyor.
Kripto para birimleri ve NFT’ler, Web3’ün sonuçlarını ve getirdiği fırsatları tartışırken birçok kuruluşun gündeminde.
İnternetin evrimindeki bu yeni büyük değişim, kullanıcılara daha fazla kontrol ve daha şeffaf bir bilgi akışı sağlayarak dijital dünyamızı merkezileştirmeyi vaat ediyor.
Ayrıca şunları kontrol edin:
Çeşitli sektörlerden şirketler yeni paradigmaya uyum sağlamak için ellerinden geleni yapıyor.
Bununla birlikte, CISO endişelerinin listesi uzundur ve siber güvenlik ve kimlik dolandırıcılığından pazar güvenliğine, anahtar yönetimine, veri ve gizlilik tehditlerine kadar uzanır.
NFT dahil herhangi bir biçimdeki kripto para birimi, çoğu işletmenin aşina olmayabileceği bir takım riskler ve güvenlik sorunları taşır.
Digital Asset Research CEO’su Doug Schwenk, “Bir dizi yeni işletim prosedürü gerektiriyor, sizi yeni bir dizi sisteme (genel blokajlar) maruz bırakıyor ve birçok şirketin farkında olmadığı riskler taşıyor” diyor.
CISO’ların bu konulardaki düşünceleri, kullanıcıları ve iş ortaklarını etkileyebilir.
Confiant’ın baş güvenlik mühendisi Ilya Stein, “Anlaşmanın şirket, kullanıcıları ve/veya NFT toplayıcıları için acil mali sonuçları var” diyor.
İşte kripto para birimleri ve NFT’nin CISO’lar için oluşturduğu ilk on güvenlik tehdidi.
1. Blockchain protokollerinin entegrasyonu karmaşık olabilir
Blockchain nispeten yeni bir teknolojidir. Bu nedenle, blockchain protokollerini projeye entegre etmek biraz zorlaşıyor.
Deloitte bir raporda, “Blockchain ile ilgili temel zorluk, özellikle bankacılık dışındaki sektörlerde teknolojinin farkındalığının olmaması ve nasıl çalıştığına dair yaygın anlayış eksikliğidir” dedi.
“Bu, yatırım yapmayı ve fikirleri keşfetmeyi zorlaştırıyor.”
Şirketler, desteklenen her zinciri olgunluk ve uygunluk açısından dikkatlice değerlendirmelidir.
Schwenk, “Erken aşama [blockchain] protokolünün benimsenmesi, kesinti süresine ve güvenlik risklerine yol açabilirken, sonraki aşama protokollerinin şu anda daha yüksek işlem ücretleri var” diyor.
“İstenen kullanım (ödeme gibi) için bir protokol seçildikten sonra, sponsor herhangi bir destek sağlayamayabilir. Bu, daha çok, değeri tam olarak gerçekleştirmek için belirli hizmet sağlayıcıların gerekli olabileceği açık kaynak benimsemeye benzer.”
2. Varlık sahipliği kriterlerinin değiştirilmesi
Birisi bir NFT satın aldığında, aslında bir görüntü satın almıyor çünkü boyutları nedeniyle görüntüleri blok zincirinde depolamak pratik değil.
Bunun yerine, kullanıcılar, görüntüye giden yolu gösteren bir tür makbuz alırlar.
Blok zincirinde yalnızca bir karma veya bir URL olabilen görüntü tanımlaması saklanır. HTTP sıklıkla kullanılır, ancak merkezi olmayan bir alternatif Gezegenler Arası Dosya Sistemidir (IPFS).
IPFS’yi seçen kuruluşlar, IPFS düğümünün NFT’yi satan şirket tarafından yönetileceğini ve bu şirket mağazayı kapatmaya karar verirse, kullanıcıların NFT’nin işaret ettiği görüntüye erişimini kaybedebileceğini bilmelidir.
Bağımsız güvenlik araştırmacısı Anatole Brisacaro, “Bir dosyayı IPFS’ye yeniden yüklemek teknik olarak mümkün olsa da, süreç karmaşık olduğu için ortalama bir kullanıcının bunu yapması pek olası değildir” diyor.
“Ancak, iyi yanı, merkezi olmayan ve savunmasız doğası nedeniyle, bunu sadece proje geliştiricileri değil, herkes yapabilir.”
3. Piyasa güvenliği riskleri
NFT’ler blockchain teknolojisine dayansa da, bunlarla ilişkili görüntüler veya videolar merkezi veya merkezi olmayan bir platformda saklanabilir.
Kullanıcıların dijital varlıklarla etkileşimini kolaylaştırdığı için genellikle kolaylık sağlamak için merkezi bir model seçilir. Bu yaklaşımın dezavantajı, NFT pazarlarının Web2 güvenlik açıklarını devralabilmesidir.
Ayrıca, geleneksel bankacılık işlemleri tersine çevrilebilirken, blok zincirindeki işlemler geri alınamaz.
Brisacaro, “Saldırıya uğramış bir sunucu, kullanıcıya yanıltıcı bilgiler sağlayabilir ve cüzdanlarını tüketecek işlemler yapmaları için onları kandırabilir” diyor.
Ancak, sistemin doğru şekilde uygulanması için doğru miktarda zaman ve çaba harcanması, özellikle merkezi olmayan bir platform kullanılması söz konusu olduğunda, saldırılara karşı koruma sağlayabilir.
Brisacaro, “Ancak, bazı pazarlar daha fazla kontrol için köşeleri kestiriyor ve güvenliği ve ademi merkeziyetçiliği feda ediyor” diyor.
4. Kimlik dolandırıcılığı ve kripto para dolandırıcılığı
Kripto para dolandırıcılığı yaygındır ve çok sayıda insan bunlara kurban gidebilir. Stein, “Dolandırıcılar, yaklaşan NFT lansmanlarını düzenli olarak takip ediyor ve genellikle resmi lansmanla birlikte tanıtım yapmaya hazır düzinelerce dolandırıcılık darphane sitesine sahipler” diyor.
Bu dolandırıcılıkların kurbanı olan müşteriler genellikle en sadık müşterilerinden bazılarıdır ve bu tür kötü deneyimler, belirli bir markayı nasıl algıladıklarını etkileyebilir.
Bu nedenle, onları korumak çok önemlidir.
Kullanıcılar genellikle, hesaplarından birinde şüpheli davranışın fark edildiğine dair kötü amaçlı e-postalar alır. Bu sorunu çözmek için, hesap doğrulaması için kimlik bilgilerini sağlamaları gerekir.
Kullanıcı buna kanarsa, kimlik bilgileri risk altındadır. Stein, “NFT alanına girmeye çalışan herhangi bir marka, kaynakları bu tür kimlik avı saldırılarını izlemeye ve hafifletmeye ayırmanın yararına olacaktır” diyor.
5. Blockchain köprüleri büyüyen bir tehdit
Farklı blok zincirlerinin farklı para birimleri vardır ve farklı kurallara tabidir. Örneğin, birisi Bitcoin’e sahipse ancak Ethereum’u harcamak istiyorsa, varlıkların transferini sağlayan iki blok zinciri arasında bir bağlantıya ihtiyacı vardır.
Bazen zincirler arası köprü olarak adlandırılan bir blockchain köprüsü tam da bunu yapar. Brisacaro, “Doğası gereği, akıllı sözleşmeler kullanılarak sıkı bir şekilde uygulanmaz ve kullanıcı varlıkları orijinal zincire yatırdığında ikinci zincirde bir işlem başlatan zincir dışı bileşenlere dayanır” diyor.
En büyük kripto para birimi saldırılarından bazıları Ronin, Poly Network ve Wormhole gibi çok zincirli köprüleri içerir.
Örneğin, Mart 2022’nin sonlarında Ronin Games blok zinciri hack’i sırasında, saldırganlar 625 milyon dolar değerinde Ethereum ve USDC ele geçirdi.
Ayrıca Ağustos 2021’de Poly Network’e yapılan saldırı sırasında, bilgisayar korsanı birden fazla kripto para birimi cüzdanına 600 milyon dolardan fazla token aktardı.
Neyse ki bu durumda para 2 hafta sonra iade edildi.
6. Kod kapsamlı bir şekilde test edilmeli ve revize edilmelidir
İyi bir koda sahip olmak, herhangi bir projenin başlangıcından itibaren bir öncelik olmalıdır. Brisacaro, geliştiricilerin yetenekli ve ayrıntılara dikkat etmeye istekli olması gerektiğini savunuyor.
Aksi takdirde, bir güvenlik olayının kurbanı olma riski artar. Örneğin Poly Network’e yapılan saldırıda saldırgan, düğüm çağrıları arasındaki boşluktan yararlanmıştır.
Bir kazayı önlemek için ekiplerin kapsamlı testler yapması gerekir. Maliyetli ve zaman alıcı olabilse de, kuruluş ayrıca bir üçüncü tarafa bir güvenlik denetimi yaptırmalıdır.
Denetimler, en yaygın güvenlik açıklarının belirlenmesine yardımcı olan sistematik bir kod incelemesi sağlar.
Elbette kod doğrulaması gereklidir ancak yeterli değildir ve şirketin denetim yapmış olması sorun yaşamayacağını garanti etmez. Brisacaro, “Bir blok zincirinde, akıllı sözleşmeler çok karmaşık olma eğilimindedir ve genellikle diğer protokollerle etkileşime girer” diyor.
“Ancak, yalnızca kuruluşlar kendi kodlarını kontrol eder ve harici protokollerle etkileşim riski artırır.”
Hem bireyler hem de şirketler, risk yönetimi için başka bir yol keşfedebilir: şirketlerin akıllı sözleşmelerin veya saklama saldırılarının maliyetini azaltmasına yardımcı olan sigorta.
7. Yönetim anahtarı
Schwenk , “Kripto para biriminin merkezinde özel anahtarı yönetmek yatıyor. Bu, birçok şirket için basit görünüyor ve CIO’lar sorunlara ve en iyi uygulamalara aşina olabilir” diyor.
Birkaç anahtar yönetimi çözümü mevcuttur.
Bunlardan biri Trezor, Ledger veya Lattice1 gibi donanım cüzdanlarıdır. Bunlar, kriptografik materyal oluşturan ve güvenli bileşenlerinde depolayan, saldırganların örneğin bir virüs/arka kapı yoluyla bilgisayara erişimleri olsa bile özel anahtarlara erişmelerini önleyen USB aygıtlarıdır.
Diğer bir savunma hattı, donanım cüzdanlarıyla kullanılabilen çoklu oluşumlardır. Brisacaro, “Multi-sig, işlemlerin birden çok sahip tarafından onaylanmasını gerektiren akıllı bir sözleşme cüzdanıdır” diyor.
“Örneğin, beş sahibiniz olabilir ve bir işlemi göndermeden önce en az üç kişinin imzalamasını zorunlu tutabilirsiniz. Bu şekilde, saldırganın cüzdanı ele geçirmek için birden fazla kişiden ödün vermesi gerekir.”
8. Kullanıcı ve kullanıcı eğitimi
Web3 teknolojilerini entegre etmek isteyen kuruluşların, farklı blok zincirlerinde işlem gerçekleştirmek için yeni araçlara ihtiyaç duyulduğu için personelini eğitmesi gerekir.
Cofense’nin kurucu ortağı ve baş teknoloji sorumlusu Aaron Higbee diyor.
Her şirketin e-posta tabanlı kimlik avı saldırıları konusunda endişelenmesi gerekse de, dijital varlıklarla ilgilenen çalışanların hedef alınması daha olası olabilir.
Eğitimin amacı, ekipteki herkesin en son uygulamaları kullanmasını ve güvenlik ilkelerini iyi anlamasını sağlamaktır. Check Point Ürün Güvenlik Açıkları Araştırma Başkanı Oded Vanunu, kripto para birimleri hakkında bazı şirketler için işleri “biraz karışık” hale getirebilecek büyük bir bilgi eksikliği fark ettiğini söylüyor.
“Web3 teknolojilerini entegre etmek isteyen kuruluşların, bu projelerin derin bir güvenlik genel bakışına ve güvenlik anlayışına ihtiyaç duyduğunu anlamaları gerekiyor, bu da sayıları ve meydana gelebilecek sonuçları anlamaları gerektiği anlamına geliyor” diyor.
Özel anahtarları yönetmek istemeyen bazı kuruluşlar, onları Web2 güvenlik sorunlarına açık hale getiren merkezi bir sistem kullanmayı tercih eder.
Vanunu, “Derinlemesine güvenlik analizinin ve en iyi güvenlik uygulamalarının uygulandığı bir proje olması için Web3’ü Web2 teknolojileriyle entegre etmeye çağırıyorum” diyor.
9. NFT ve Web3 merkezi olmayan uygulamaların sürekli kullanımı
Pek çok şirket, artık ihtiyaçlarına hizmet etmeyen ürünleri terk ediyor, ancak doğru bir şekilde uygulandığı takdirde, blok zinciri tabanlı varlıklar için durum genellikle böyle değil.
Stein, “NFT’ler tek seferlik bir pazarlama çabası olarak görülmemelidir” diyor.
“NFT’nin kendisi zincirleme değilse, bunu sürdürme sorumluluğu her zaman şirkettedir. Proje çok başarılı olursa, şirket bu NFT’leri toplayanları aksilikler ve dolandırıcılık durumlarında desteklemek gibi ciddi bir görev üstlenir.” , vb. o zamana kadar.
Böyle bir viral proje, bir savaş zaman çizelgesine dayalı olarak NFT satan Ukrayna hükümeti tarafından başlatılan bir projedir.
Savaşın hatırasının korunduğu bir yer. Ukrayna kimliğini ve özgürlüğünü kutlamak için bir yer, ”diye yazıyor Ukrayna Başbakan Yardımcısı ve Dijital Dönüşüm Bakanı Mykhailo Fedorov’un tweet’i .
NFT meraklıları, tarihten bir parça satın almak ve Ukrayna’yı desteklemek istediklerini söyleyerek olumlu yanıt verdiler. Ancak projenin devam etmesini bekliyorlar.
10. Blockchain her zaman doğru araç değildir
Yeni teknolojiler her zaman heyecan vericidir, ancak kuruluşlar bunları uygulamaya koymadan önce sorunu çözüp çözmediklerini ve bunları benimsemek için doğru zaman olup olmadığını kendilerine sormalıdır. Blockchain tabanlı projeler, şirketleri daha iyiye doğru değiştirme potansiyeline sahiptir, ancak en azından ilk aşamada kaynak yoğun da olabilirler.
Risk-fayda oranının değerlendirilmesi, kararın önemli bir parçası olacaktır ve hem uygulama aşamasında hem de bunların uygulanması sırasında güvenlikle ilgili faaliyetler için yeterli finansman kritik öneme sahiptir.
Schwenk, bu yeni tehditlerin risk-fayda oranını değerlendirmek (henüz) temel bir yetkinlik olmayabilir ve genellikle kripto para birimleriyle ilişkilendirilen aldatmacaya kapılmak kolaydır, “diye bitiriyor Schwenk.
