所有這些都有一個共同點,那就是這些領導人——無論是公共部門還是私營部門——可能都不認為網路安全是他們在違規之前工作職責的核心。但是他們各自組織的共識是,網路安全是最高領導層的責任,他們被要求對安全方面的失敗負責。
領導者對此能做些什麼?
· 在您的組織中建立安全領導職位,並確保他們有權在必要時採取行動。這個領導者需要能夠有效地倡導組織的安全需求,特別是當安全需求與組織的功能需求發生衝突時。
· 對自己進行核心安全設計原則的培訓,以便在與指定的安全負責人互動時獲得更好的資訊。這最終會使您更有效地管理這個領域,而您最終對此負責。
2. 攻擊不僅是攻擊者能力的結果,也是開發人員錯誤的結果
隨著區塊鏈技術的出現,攻擊者已經顯示出部署新的和異國情調的攻擊技術的能力,這些技術僅與此上下文相關,例如“51%攻擊”——攻擊者獲得對一半以上區塊鏈的控制,從而實現各種惡意結果的技術。
頭條新聞會讓你相信,我們幾乎每天都在讀到的重大漏洞都是極為熟練的攻擊者利用外來的、以前未知的漏洞來追求其迂迴目標的結果。這在某種程度上可能是真的,但這只是整個挑戰的一小部分。
相反,領導者應該認識到,最常見的漏洞是由於未能理解並充分實施已知有效的安全措施。
例如,OWASP Top 10,一組“代表對Web應用程式最關鍵的安全風險的廣泛共識”的漏洞,包括常見的問題,如注入攻擊、損壞的身份驗證、安全配置錯誤等。
這些問題被很好地理解,有很好的檔案記錄,很多年來辯護者都知道這些問題。然而,這些問題仍然困擾著世界各地的組織,並構成當今領導人應該意識到和關注的大多數安全漏洞。
領導者對此能做些什麼?
· 培訓開發人員的安全性。他們不需要在年度安全會議上成為下一個名人,他們只需要瞭解安全的核心原則——特別是加密術,考慮到其在區塊鏈上的核心應用——以及如何在他們正在構建的解決方案中實施這些原則。
· 認識到安全要素的重要性。這就需要一個重要的領導思維轉變,因為與擔心未知不同,你對評估自己的技術有著巨大的控制力,在這種方法中,所有技能的攻擊者都可能試圖利用常見的開發人員錯誤。
3. 雖然攻擊者確實破壞了區塊鏈本身,但他們更常利用利用區塊鏈的技術配置
雖然攻擊者可能試圖破壞,而且在許多情況下,成功地破壞區塊鏈本身,但攻擊者通常試圖破壞區塊鏈的部署。
如前所述,攻擊者知道,人為錯誤常常會導致可利用的漏洞被不知情地注入到整個系統的設計和實現中。此外,攻擊者也像其他領導者一樣進行成本效益分析:他們考慮攻擊某物所需的努力和可能產生的潛在結果;然後他們追求那些能夠以最少的努力投資獲得最高潛在收益的活動型別。
考慮到這些因素的組合,由於開發人員很可能在部署過程中無意中犯了錯誤,攻擊者往往更關注於破壞實現。
考慮一下類似的情況:最近,我的一個朋友的儲存裝置被人闖入。他用一把又大又貴的掛鎖把它鎖牢了。這是一個很好的決定,因為就像區塊鏈有多好一樣,掛鎖也有多好。
然而,小偷們實際上並不在意這把鎖,也沒有被這把鎖的構造有多好嚇住。相反,他們只是簡單地從門上拆下安裝較差的插銷硬體。我的朋友選擇了一個健壯的鎖,並正確地安裝了它,但他的安全性受到了侵犯,因為圍繞它構建的系統是如何構建的。這就是為什麼區塊鏈部署的配置很重要。
領導者對此能做些什麼?
· 構建你的威脅模型,瞭解你的潛在對手是誰;為什麼他們對利用你的系統感興趣;他們擁有什麼樣的技能;以及他們擁有什麼樣的資源。
· 確保您的組織具備必要的安全人才。您需要合適的專家來幫助您完成安全任務。
· 與獨立的第三方安全專家合作。無論是不是,或者除了你自己的內部人才之外,你都需要有獨立的觀點,沒有任何政治偏見的專家站在你的一邊,他們花費所有的時間研究如何防禦對手。
從哪裡開始
有效的安全領導可能很困難,但也是可以實現的。作為領導者,如果您能夠將安全挑戰分解為其核心元件,那麼您就可以制定一個行動計劃來解決根本問題。區塊鏈技術在很多方面都是革命性的,但區塊鏈不同的簡單事實不需要一個全新的安全模式。
相反,如果你能理解其中的一小部分不同之處,並對繼續有效地解決核心基礎問題一直保持警惕,那麼你就可以帶領你的組織走向光明的未來:一個可以利用這些技術所帶來的諸多好處的未來,而不必要讓你的組織暴露在不適當的環境中。