СЕО Hacken: лучше потратить $15 000 на оценку кибербезопасности, чем потерять проект
В 2017 году большинство криптовалютных стартапов, особенно из стран СНГ и Азии, не уделяли должного внимания вопросам безопасности из-за желания поскорее вывести продукт на рынок. Состояние «Дикого Запада» и релизы проектов без систем защиты инвесторских средств спровоцировали спад на рынке. В преддверии международного IT-форума в Киеве СЕО Hacken и HackIT 4.0 Дмитрий Будорин рассказал ForkLog, почему киберзащита в индустрии играет не последнюю роль.
Распространенные виды атак
К наиболее распространенным видам киберугроз относятся: получение доступа к ПК пользователя или распространение вредоносного ПО, позволяющего произвести атаку типа Man-in-the-Browser.
Согласно отчету Ernst & Young, в прошлом году с помощью фишинговых атак на ICO-проекты ежемесячно хакеры похищали до $1,5 млн. Исследование также показало, что кибермошенники воруют у ICO десятую часть собранных средств и около $2 млн у криптовалютных бирж ежемесячно.
В исследовании Skybox Security говорится, что в 2018 году количество вирусов-майнеров криптовалют превысило число ранее популярных троянов-вымогателей. За шесть месяцев 32% всех кибератак составили криптомайнеры, в то время как злоумышленники использовали вирусы-вымогатели в 8% случаев.
По словам Дмитрия Будорина, чтобы не попасть в ловушку таких вирусов достаточно использовать плагины для отключения скриптов на интернет-страницах и игнорировать сомнительные программы на торрентах.
Оценка безопасности: из чего она состоит
Чтобы оценить безопасность систем компаний, специалисты создают модель угрозы. Далее с помощью ручного и автоматического анализа эксперты выявляют и эксплуатируют уязвимости, чтобы понять, как злоумышленники могут их использовать. В итоговом отчете описываются действия на каждом этапе оценки, а также рекомендации по устранению найденных уязвимостей.
Если речь идет о децентрализованном платежном приложении, аудиторы проводят валидацию исходного кода контракта и подтверждают его сертификацию. Другие стандарты, касающиеся приложений и инфраструктуры, мигрируют из индустрии и являются своего рода миксом стандартов NIST, PCI DSS и ISO.
По мнению Дмитрия Будорина, сейчас многие компании готовы потратить не менее $15 000 на оценку безопасности и внедрение компенсационных мер, чтобы не потерять репутацию или даже бизнес. Речь идет о пентесте приложений и инфраструктуры, социально-техническом тестировании команды разработчиков и использовании программы Bug Bounty.
«Этой точки зрения придерживаются руководители многих криптовалютных проектов, занимающиеся своей безопасностью в долгосрочной перспективе. Такой проект уже можно считать наполовину валидным», — считает СЕО Hacken.
В рамках форума HackIT 4.0 пройдут дискуссии о стандартах безопасности с представителями криптовалютных площадок, а также участники осуществлят контролируемый взлом их систем.
«Хакеры уже украли миллионы, сейчас настало время менять эту статистику», – сказал Дмитрий Будорин.
Больше о программе форума – на сайте hackit.ua.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!