Seamos realistas, ha habido un gran despliegue publicitario sobre blockchain en los últimos años sin revisar ciertas técnicas para saber si el Blockchain es útil en una empresa.
Sin embargo, hoy en día, hay indicios de que podemos estar en la cúspide de pasar del segmento «blockchain resolverá todos sus problemas» del ciclo de exageración al segmento «blockchain puede ser útil para algunas aplicaciones específicas».
Contenidos de esta página
¿Cómo validar el Blockchain en tu empresa?
Encontrar o usar una fórmula secreta es imposible, ya que aún no existe.
Sí, el Darwinismo basado en servicios públicos está en funcionamiento, donde estamos empezando a ver cómo desaparecen las aplicaciones de cadena de bloques empresariales más extrañas e improbables, y solo aquellos lugares donde realmente agrega valor continúan prosperando.
El cambio llevará tiempo, por supuesto, pero en última instancia, el uso de la cadena de bloques en la empresa continuará madurando.
Sin embargo, como cuestión práctica, hay un subconjunto de profesionales de seguridad que tienen un problema muy específico mientras tanto: a saber, ¿cómo validan el modelo de seguridad de una aplicación de cadena de bloques empresarial para su entorno? Esto puede ser todo un reto.
Después de todo, una comprensión detallada de la mecánica de la operación de la cadena de bloques requiere la comprensión de conceptos con los que los profesionales pueden no estar familiarizados. Mientras que un análisis de amenazas potenciales requiere la comprensión de nuevos ataques y amenazas fuera de lo que normalmente encuentran los profesionales.
Del mismo modo, los impactos más amplios del negocio requieren una comprensión profunda del negocio en sí para ver cómo blockchain cambiará las operaciones.
Sin validación estándar
Para ver a qué me refiero, considere algo como un ataque del 51 por ciento. Para una aplicación de cadena de bloques como una criptomoneda, esto se refiere a una situación en la que los adversarios pueden controlar temporal o permanentemente la mayoría de la potencia de cálculo. Ya que, por lo tanto, manipular los datos almacenados en la cadena de bloques cuando lo consideren oportuno. (Los titulares de Ethereum Classic se están familiarizando con esta situación).
A menos que el equipo de seguridad de su organización tenga personal que esté familiarizado con las criptomonedas, a través del interés personal o debido a especulaciones fuera de horario, este tipo de ataque probablemente no sea familiar para el equipo de seguridad. Dicho esto, dependiendo de las características específicas del uso, esto puede ser algo en lo que su equipo de implementación deba pensar.
La respuesta para esto, por supuesto, es la estandarización. Sin embargo, a pesar de que no faltan metodologías patentadas para ayudar a las organizaciones a obtener garantías sobre las implementaciones de blockchain, el uso empresarial aún es lo suficientemente temprano como para que no haya una evaluación de facto o un estándar de validación.
Mientras tanto, por lo tanto, corresponde a los profesionales desarrollar estrategias para evaluar implementaciones de blockchain. Ya sea para complementar los métodos empleados por los especialistas a los que pueden recurrir o para estar solo si no cuentan con los recursos suficientes para contratar a dichos especialistas.
El blockchain para adaptarte a las circunstancias, aquí 4 técnicas
Teniendo en cuenta esas necesidades, las siguientes son algunas de las técnicas que se pueden adaptar para evaluar y validar los modelos de seguridad en uso para las implementaciones de la cadena de bloques empresarial. No hace falta decir que los detalles de cómo aplicar estas técnicas a su situación específica variarán de acuerdo con el tipo de uso planificado, los requisitos de seguridad, dónde y cómo empleará blockchain, etc.
Dicho esto, las siguientes técnicas casi siempre agregarán valor genéricamente, independientemente de las circunstancias específicas.
Y son lo suficientemente flexibles como para permitir la adaptación a su implementación específica.
Técnica 1: Modelado de amenazas de aplicación
La primera técnica de este tipo que discutiremos es el modelado de amenazas de aplicación. Para aquellos que no están familiarizados con él, el modelado de amenazas de aplicaciones es el proceso de deconstruir sistemáticamente una aplicación en sus componentes para ver esos componentes desde el punto de vista de un atacante.
Es una técnica muy utilizada en los círculos de seguridad de aplicaciones y software. Le otorga un gran valor a la validación del diseño de la aplicación, y la selección de las medidas adecuadas para reforzar los puntos en los que la aplicación puede ser menos resistente al ataque. Puede proporcionar valor a las aplicaciones de blockchain de la misma manera que puede proporcionar valor a las aplicaciones de forma más genérica.
Una descripción completa de cómo realizar un modelo de amenaza para una aplicación determinada sería demasiado larga para incluirla aquí. Pero hay muchos recursos disponibles de forma gratuita (como la página OWASP Threat Modeling y la herramienta gratuita de Microsoft Threat Modeling Tool) que pueden resumir los conceptos básicos.
Sin embargo, la parte importante que debe recordar al hacerlo es tener en cuenta las técnicas de ataque y los métodos de operación que son específicos de las implementaciones de blockchain: por ejemplo, requisitos de prueba de trabajo, escenarios de ataque del 51 por ciento, duplicación de entradas en el libro mayor (análogo a una situación de «doble gasto» en un contexto de criptomoneda), condiciones de denegación de servicio que podrían afectar las operaciones (análogo a las consideraciones de liquidez para una moneda), etc.
Técnica 2: Pruebas de seguridad de software
En una línea similar, tenga en cuenta que el software que soporta una implementación de blockchain es solo eso: software. Muchos de los problemas que han interrumpido adversamente las implementaciones de criptomonedas son fundamentalmente problemas con el software.
Por ejemplo, el ataque que derribó el Ethereum DAO (Operación Autónoma Descentralizada – una organización que opera completamente con contratos inteligentes) fue fundamentalmente un error de software (es decir, un código defectuoso) en lugar de atacar la propia cadena de bloques subyacente.
Los impactos de los errores de software, entonces, son tan críticos para las aplicaciones de blockchain como para cualquier otra aplicación. Por lo tanto, al igual que usted podría considerar emplear pruebas de seguridad de aplicaciones estáticas o dinámicas para cualquier otra aplicación de producción. También debería considerar hacerlo para aplicaciones de cadena de bloques, en particular para software escrito internamente o muy personalizado (por ejemplo, desde implementaciones de código abierto).
Técnica 3: Pruebas ambientales.
Además de evaluar la aplicación y la implementación de la cadena de bloques, es importante validar el entorno que soporta la cadena de bloques. Esto significa probar los sistemas y la tecnología de soporte en la que se ejecutarán los elementos de blockchain.
Esto puede incluir la exploración de vulnerabilidades y la revisión de los propios sistemas en el caso de los componentes en el sitio. Esto así como la verificación del proveedor si se utiliza una plataforma Blockchain como servicio, o si se utilizan otros componentes de la nube como parte del sustrato de implementación.
Técnica 4: Monitoreo de resultados
Por último, como con cualquier cosa, el monitoreo de los resultados obviamente es importante para una validación exitosa. A diferencia de las técnicas anteriores, obviamente solo se puede hacer un seguimiento antes de que la implementación esté activa.
Sin embargo, el uso juicioso del monitoreo puede ayudar a descubrir negocios, tecnología u otros impactos que podrían ser de naturaleza emergente. Es decir, solo salen a la luz a escala una vez que las transacciones comienzan a registrarse en el libro de contabilidad.
Estas no son las únicas técnicas que pueden usarse para ayudar a validar una implementación de blockchain, por supuesto. Dicho esto, cada uno de estos elementos puede proporcionar valor independientemente de la implementación específica o el caso de uso comercial para la implementación de la cadena de bloques en cuestión.
Cada uno de estos enfoques proporciona valor independientemente de sus objetivos comerciales específicos. De igual forma, sus requisitos de seguridad particulares o los detalles de implementación de la propia implementación de la cadena de bloques.
Fuente: technewsworld.com