[观看] 网络安全:”这是一场建立者与破坏者之间无止息的战斗”

Maria Debrincat April 19, 2022

Share it :

[观看] 网络安全:”这是一场建立者与破坏者之间无止息的战斗”

Dustin Plantholt与在网络安全领域工作的专家小组成员一起在台上进行座谈,”他们帮助阻止了病毒破坏一切。”

在SiGMA / AGS迪拜会议期间的这次对话中,小组成员Goldilock的CISO Jason Gamage博士、Crown Sterling的总裁兼创始人Robert Grant和ConnectPay的合作总监Simas Simanauskas与我们的主持人Crypterns的创始人兼首席执行官Dustin Plantholt一起讨论网络安全和黑客。为什么一些世界上最大的公司的系统会被攻破?

Grant在讨论中首先表示,这可能是多因素的。他认为其中一个原因是,其已然成为这各世界上现在习惯的东西。我们每天都能看到出现另一个重大漏洞的故事,而且有很多方面。他倾向于关注密码学和加密等面向。他继续解释说,即使他们攻破了系统,你也应该考虑获得一个不依赖区块密码的良好系统,否则,一旦被解密,所有的文件都会丢失。

Grant解释道,我们需要一种新型的加密协议,不与所有这些文件捆绑在一起。一个值得关注的例子是Equifax数据泄露事件,多达4亿人的记录被丢失。主持人Dustin Plantholt接着将话锋转到另一个正在讨论的重要问题:数据是否重要。他继续问道:如果人们没有什么可隐藏的,或者没有什么有价值的东西,他们应该担心吗?

ConnectPay的合作关系总监Simas Simanauskas认为这一点是最重要的,因为数据安全对金融机构来说是至关重要的,就像声誉方面一样,根本没有折衷空间。

这是合规性的问题,失去数据安全就等于失去了合规性,这是非常重要且非常关键的。这就是为什么在ConnectPay,据Simanauskas说,他们非常认真地对待这个问题。ConnectPay通过了ISO 27001认证,并且有很多流程,比如PSI DSS认证也是如此。

金融机构或金融科技部门是世界上最被针对的领域之一。他继续解释说,这是一场真正的战斗,黑客只需要成功一次,而你需要百分之百的成功。

在这里观看完整专家小组座谈:

“区块链”这个词的详细解释:

Plantholt要求Robert Grant详细解释区块链这个术语。

Grant接着说,这很奇怪,因为如果你和外界的大多数人交谈,问他们区块链是什么,他们会觉得区块链具有加密功能。如果你做一个调查询问消费者,他们可能知道去中心化这个词,但他们并不真正知道它的含义。

在这里,人们知道它是一个分布式账本,围绕着该帐本存在完整的治理过程,这是独特且不同的。你无法改变历史记录,还有很多其他方面,比如说它是不可篡改变造的。

这些都是区块链产业令人兴奋的基本方面。但在消费者端,人们仍然不了解它。

我想这是我们必须克服的一个问题。在这个安全问题上,我们整个产业本身已经习惯于相信所有已经存在的标准结构,但问题是,标准结构无法跟上只需要黑客的创新步伐,而他们只需成功一次。

考虑国家标准技术研究所(NITS),他们在过去的五年里一直致力于解决量子计算机的量子问题。在此期间,有许多新的发展。

IBM公司将于今年晚些时候和明年上半年发布一个1000多量子位元的量子计算机,有了它,我们将能够破解目前至少99%的加密剖析协议,而这些协议已经发布于区块链上并且通过银行系统提供。

在Robert转往现职之前,他曾担任一个非常庞大组织的总裁,在那个位置上他看到周围的威胁持续不断。 “为什么你认为现在他有能力做出这种改变?” Dustin问道。

“我的历史观是这样发展的。我曾是多间大公司的CEO。我曾任博士伦外科的首席执行官,那是一家制药眼保健公司。我也曾是阿利根医疗公司的总裁,推出过肉毒杆菌和Juvederm等主要产品,然后该品牌成为家喻户晓的名字。

“所以,我做的营销推广就是这类型。我一直对数学非常感兴趣,也一直喜欢数学。2018年,当我发现了一个素数模式并将其发表时,它使我开始深入研究量子计算的问题,以及几何解决方案,而就在上周,我看到一篇文章发表在Ars Technica上,对其相当感兴趣,文章在探讨如何使用几何方法来破解自然界的加密,这让我感到有点欣慰,因为这是我过去几年里一直在说的其中一件事情。

而这是我所热衷的。”

区块链会被黑吗?

Simas继续说道,虽然他不是区块链技术方面的技术专家,但他认为一切都可能被黑,所以这是一场建立者与破坏者之间无止息的战斗。

随后,Goldilock的首席信息安全官Jason Gamage博士加入了谈话。Gamage已经在安全领域工作了32年。他继续解释说,加密可以被破解。漏洞可以悄悄进入代码或在存在在代码中,并导致入侵。

典型的错误已然发生,而培训编码的人安全地进行编码的方法是新的。在Gamage职业生涯中,他把大部分时间花在应用安全团队上,在该团队中培养一个安全专家,在需要的时刻成为英雄。

“我一直试图改变我们看待设置安全的模式。我们持有敏感的信息,类似区块链——我们真的有需要让它保持在线吗?它是否真的需要在互联网上?” 他提出问题。

第二个问题是:它是否需要一直在互联网上?如果答案是否定的,那为什么要把它放在云中?人们所做的是专注于访问控制以及进行加密后把它放在那里。这些东西可以被攻破;它们可以被规避。SolarWinds是一个很好的例子,说明民族国家可以规避端口控制,这使你得以进入网闸。这些通常出现在手动断开互联网连接的地方。

这是自过去连同现在,许多工业控制系统中使用技术,但通常不涉及敏感信息。今天,一切都以访问控制为基础,这就意味着不好控制。拥有糟糕的控制意味着它可以被规避,就像SolarWinds的例子。

Ganage的公司提出的想法是创建一个解决方案,将信息从互联网上断开,并有不同的方式连接该信息。

从区块链的角度来看,Ganage解释说,如果你有一个钱包,你可能希望能够将你的分片存储在几个不同的地方,以便保护它们。其中一个地方应该是像Goldilock这样的地方。

作为Goldilock的首席执行官,他解释说,他们有一个解决方案,你可以把其中一个分片完全从互联网上断开连接。这么做使你成为唯一一个有办法回去解锁的人,你必须通过打一个电话或发一个短信才能激活它。

要访问你的钱包,你需要进行其他的带外通信,这是不以任何方式连接到互联网的,除非你这么做,否则它将保持断开连接。

这这主意无法被量子计算入侵。其没有连接到互联网,因而不能被攻破;也因为一旦你使用完毕就断开了它的连接。

回到Plantholt提出的问题,区块链是否可以被攻破?Robert Grant在这个问题上做了相当多的研究,他解释说,状态转换函数有加密功能,并且有两个方面的加密功能。即使是从事区块链工作的人,也不一定完全了解加密的工作原理。

网络安全中加密的两个方面:

加密的两个方面是对称密钥和非对称密钥。对称密钥也可称为AES或SHA-256高级加密标准,使用截断为256位元的块状密码。

另一方面,非对称密钥使用公钥加密法向另一方发送信息。这种非对称密钥是量子计算真正能形成风险之处。对于标准计算机、甚至是超级计算机来说,将一个非常大的数字分解成因子并不容易。

但如果一台量子计算机或攻击者用公钥拦截,他们能够非常迅速地找到两个因子或椭圆曲线的指数化,借此进行破解并将资金转给自己。

量子计算机应该能够在多项式时间内破解密码,这比指数时间快很多倍。Grant继续说,在一篇关于这个主题的文章中提到,确实,你可以拦截信息或进入一个采用标准公钥密码而未进行量子加密的钱包。

他解释说,公钥地址使用起来非常简单。它不能抵御量子攻击。Gamage表示这相当昂贵,但你选择加密的原因之一,是相对于典型黑客的投资回报。如果投资太高,投资回报率也会太高。

在结束讨论时,Gamage说,未来还没到来,但明天也是未来。我们需要开始为当前的未来做准备,而不是等待长期的未来进行追赶。安全性是关键。

加入SiGMA美洲?– 多伦多:?

多伦多是SiGMA在北美发展的完美枢纽,使其成为该地区实体、iGaming、体育投注等方面的交流和业务发展的中心。多伦多是一个庞大的iGaming产业的所在地,这座城市将成为SiGMA集团的活动地,将该大陆的产业先驱们联系在一起,进行为期三天的交流、研讨会和颁奖典礼。欲了解更多赞助和演讲机会相关信息,或咨询参加该活动的事宜,请联系Sophie:[email protected]

为您推荐