IBM安全團隊將推出一個新的區(qū)塊鏈安全測試服務(wù)

IBM安全團隊X-Force Red宣布將推出一個新的區(qū)塊鏈安全測試服務(wù)，以幫助企業(yè)識別包含區(qū)塊鏈技術(shù)的解決方案中的弱點。新的服務(wù)被稱為X-Force Red區(qū)塊鏈測試，評估用于管理區(qū)塊鏈網(wǎng)絡(luò)的后端流程和實際的分類環(huán)境，以識別整個執(zhí)行過程中可利用的漏洞。

根據(jù)國際數(shù)據(jù)公司最近的一份報告顯示，到2021年，全世界在區(qū)塊鏈解決方案上的支出預(yù)計將達到97億美元，這表明區(qū)塊鏈的實現(xiàn)在未來幾年里可能會呈指數(shù)增長。根據(jù)IBM的說法，要使企業(yè)廣泛采用區(qū)塊鏈，建立嚴格的行業(yè)標準將是下一個階段的工作重點。

IBM X-Force Red全球負責(zé)人Charles Henderson說：“雖然區(qū)塊鏈是保護數(shù)據(jù)完整性的一個突破，但這并不意味著利用數(shù)據(jù)不受攻擊者攻擊的解決方案，這就是為什么安全測試在開發(fā)期間和部署后都非常重要”。

在典型的區(qū)塊鏈測試活動中，由黑客組成的X-Force Red團隊將使用與犯罪分子使用的相同的工具、技術(shù)、實踐和思維模式闖入?yún)^(qū)塊鏈，并對其進行評估：

· 身份和訪問：X-Force Red將評估對區(qū)塊鏈的訪問/添加信息的權(quán)限是如何管理的，包括加密策略、對暴力攻擊的敏感性，以及2-因素認證身份驗證；

· 公鑰基礎(chǔ)設(shè)施（PKI）：確保與區(qū)塊鏈網(wǎng)絡(luò)相關(guān)的數(shù)字證書和密鑰的安全創(chuàng)建、管理和分發(fā)；

· 智能契約的缺點：進行滲透測試，以確智能契約沒有可利用的缺陷；

· 軟件供應(yīng)鏈攻擊：公共庫和組件依賴黑客可以在設(shè)計和實現(xiàn)過程中進行測試，以確保安全的依賴簽名和信任構(gòu)建管道。

假設(shè)即使區(qū)塊鏈的基本概念，是非常抵抗攻擊，但它不是無懈可擊的。許多安全專家警告稱，區(qū)塊鏈的實現(xiàn)帶來了一系列的危險，企業(yè)需要意識到這一點。

到目前為止，還沒有關(guān)于對企業(yè)區(qū)塊鏈進行網(wǎng)絡(luò)攻擊的報道，部分原因是該技術(shù)仍處于發(fā)展或試點階段。但是，對公共區(qū)塊鏈項目和加密貨幣交易所的攻擊是常見的。

今年1月，以太坊網(wǎng)絡(luò)的最初版本“以太經(jīng)典”（Ethereum Classic）受到了攻擊。一名身份不明的行為人實質(zhì)上是回滾并改變了網(wǎng)絡(luò)上的交易，在所謂的51%攻擊中竊取了價值約110萬美元的加密貨幣。

自2017年年初以來，黑客總共竊取了價值近20億美元的加密貨幣，其中大部分來自交易所。

Carbon Black的安全策略師（Rick McElroy說：“網(wǎng)絡(luò)犯罪的發(fā)展推動了能夠編寫惡意代碼的個人數(shù)量的增加，而黑暗網(wǎng)絡(luò)為他們提供了完美的銷售市場”。他補充說，犯罪分子從這些攻擊中獲得的專業(yè)知識，以及地下活動中激增的工具，都可以用來對付企業(yè)項目。

從2018年開始，攻擊者發(fā)起51%的攻擊，目標包括Verge、Monacoin和Bitcoin Gold等較小的硬幣，估計總共盜取了2000萬美元。

基于區(qū)塊鏈的文件存儲平臺Sia的聯(lián)合創(chuàng)始人David Vorick預(yù)計，551%的攻擊將在頻率和嚴重程度上繼續(xù)增長。