Muchos proyectos blockchain se encuentran en una fase temprana de desarrollo dentro de las divisiones de innovación interna de las empresas, y su seguridad ni siquiera está en la agenda de muchos de los directores de seguridad de la información. De hecho, una encuesta de Kaspersky a los CISOs reveló que sólo el 15% de ellos considera la tecnología blockchain como la de mayor impacto en las TI. Sin embargo, en algún momento, estas aplicaciones, que funcionan con datos sensibles, se integrarán con otros sistemas críticos para la empresa. Y, en ese momento, el jefe de un equipo interno de innovación tendrá que realizar comprobaciones y aprobaciones de seguridad, lo que podría afectar a los plazos o poner en peligro la puesta en marcha del proyecto.
Kaspersky Enterprise Blockchain Security consiste en una gama de servicios como Smart Contract / Chain Code Audit y Application Security Assessment. El servicio garantiza la correcta configuración de la lógica de negocio de los contratos inteligentes y las operaciones seguras de las aplicaciones blockchain.
El servicio Smart Contract / Chain Code Audit detecta el incumplimiento del comportamiento documentado/registrado y posibles vulnerabilidades, así como los errores en la lógica del negocio. Esto último puede impedir el cumplimiento de la operación (por ejemplo, si el código de la cadena utiliza datos incorrectos desde blockchain) o dar resultados incorrectos debido a un error del desarrollador o a intenciones maliciosas. Gracias a esta auditoría del código de la cadena, las compañías pueden estar seguras de que los contratos inteligentes funcionan de forma consistente y como se indica en la documentación, y de que los datos no se desviarán.
Por su parte, el servicio Application Security Assessment se ha diseñado para descubrir vulnerabilidades dentro de las aplicaciones que funcionan con la infraestructura blockchain, para garantizar que no afecten a la integridad de la cadena de bloques. Este proceso integral utiliza una combinación de pruebas white-box (basadas en el análisis del código fuente), grey-testing (emulación del trabajo interno a través de usuarios legítimos) y black-box (emulación de un atacante externo experimentado) para garantizar que no se pasen por alto los posibles riesgos o vulnerabilidades. Los resultados de la evaluación se presentan en un informe en el que se detallan las conclusiones técnicas de las vulnerabilidades identificadas y las recomendaciones asociadas para su corrección. Esto permite a las empresas abordar los problemas de seguridad antes de que causen daños.
“Las empresas han estado desarrollando aplicaciones blockchain durante un par de años y ahora estas innovaciones están preparadas para implementarse en la infraestructura corporativa. Sin embargo, los equipos responsables de la innovación y de estas tecnologías pueden enfrentarse a barreras adicionales en términos de gestión de riesgos y seguridad de TI. Sus temores no son infundados: a medida que se generalizan las aplicaciones blockchain a nivel corporativo, es probable que los ataques contra ellas se produzcan con mayor frecuencia. Existe una creciente demanda de evaluación de la ciberseguridad por parte de los equipos de desarrollo blockchain, que desean mantener el proyecto en marcha. Nuestra nueva oferta está dirigida a satisfacer esta necesidad”, explica Vitaly Mzokov, director del Centro de Innovación de Kaspersky.