X-Force Red Blockchain Testing es el servicio de prueba de Blockchain de X-Force Red, el equipo de expertos en seguridad ofensiva de IBM.
Su objetivo es ayudar a identificar las debilidades y fortalecer la seguridad de una amplia gama de soluciones que incorpora esta tecnología de rápido crecimiento.
El servicio X-Force Red Blockchain Testing evalúa toda la implementación, incluido el código de cadena, la infraestructura de clave pública y los hipertrabajadores.
X-Force Red Blockchain Testing también prueba los procesos de back-end, las aplicaciones y el hardware físico utilizado para controlar el acceso y administrar las redes de Blockchain.
Este servicio valora todo el entorno de contabilidad real, aprovechando la amplia experiencia en seguridad y desarrollo de los probadores de penetración X-Force Red.
“Dado que se prevé que el gasto mundial en soluciones de Blockchain alcance los 9.7 mil millones de dólares para 2021, es probable que la cantidad de implementaciones de Blockchain crezca exponencialmente en todas las industrias”.
Sin embargo, desde IBM se ha informado que el beneficio del efecto de red inherente a las redes de Blockchain significa que incluyen amplios ecosistemas de organizaciones descentralizadas y diferentes vectores de ataque.
Así, se crearían oportunidades para los ciberdelincuentes que buscan manipular o monetizar los datos que se comparten en mediante esta tecnología.
En IBM X-Force Red han visto que el 70 % de las soluciones que incorporan Blockchain se basan en tecnologías tradicionales para procesos de back-end, como la autenticación, el procesamiento de datos y las interfaces de programación de aplicaciones (API).
A juicio de Charles Henderson, director global de IBM X-Force Red, si bien Blockchain es un gran avance para proteger la integridad de los datos, eso no significa que las soluciones que lo aprovechan sean inmunes a los atacantes.
Es por eso que las pruebas de seguridad son esenciales durante el desarrollo y después de la implementación.
“Si analizamos las aplicaciones móviles, la computación en la nube e incluso las computadoras personales, todas estas innovaciones son necesarias para adoptar políticas y técnicas de seguridad después de que hayan crecido en popularidad. Blockchain brinda a las empresas la oportunidad de romper esa tendencia”.
Blockchain y X-Force Red
X-Force Red ha cambiado la entrega de las pruebas de seguridad debido a las brechas percibidas en la seguridad de tecnologías emergentes como IoT (Internet de las Cosas), autos conectados y ahora Blockchain.
Las pruebas de seguridad programáticas, escalables y continuas, a lo largo de todo el ciclo de vida de los productos, se están convirtiendo en la mejor manera de encontrar vulnerabilidades de manera proactiva.
Ahora, los usuarios de Blockchain pueden aprovechar la experiencia de seguridad, desarrollador y mentalidad de atacante de X-Force Red para ayudar en todo el desarrollo y la implementación.
“X-Force Red está compuesto por piratas informáticos que pueden penetrar en las redes de Blockchain utilizando las mismas herramientas, técnicas, prácticas y mentalidades que utilizarían los delincuentes”.
Y es que, a través de las evaluaciones de vulnerabilidad, programas de administración de vulnerabilidad, ejercicios de simulación de adversarios y pruebas de penetración manual, X-Force Red puede ayudar a las organizaciones a identificar y corregir debilidades antes de que los delincuentes las encuentren.
Evaluación X-Force Red Blockchain Testing
Durante un compromiso típico de prueba Blockchain, X-Force Red evalúa la identidad y acceso, teniendo en cuenta que el acceso puede ser la clave de la cadena de bloques.
X-Force Red valora cómo se administran los permisos para acceder o agregar información a la cadena de bloques, incluidas las políticas de contraseña, la susceptibilidad a los ataques de fuerza bruta y la implementación de la autenticación de dos factores.
También tiene especial énfasis en la infraestructura de clave pública (PKI), ya que la creación, administración y distribución seguras de certificados y claves digitales asociados con una red de Blockchain es crucial para garantizar la integridad de los datos.
Las fallas de contratos inteligentes es otra de las fases de evaluación, puesto que estos, también conocidos como “código de cadena”, permiten la ejecución sin confianza de los acuerdos de las partes en la cadena de bloques, pero las pruebas de penetración adecuadas pueden encontrar fallas explotables en estos acuerdos.
Otro factor importante a valorar son los ataques de la cadena de suministro de software. Las bibliotecas comunes y la piratería de componentes pueden probarse durante el diseño y la implementación para así garantizar firmas de dependencia seguras y un canal de creación de confianza.