5 декабря IBM объявила о запуске IBM Hyper Protect Offline Signing Orchestrator (OSO) – решения для холодного хранения цифровых активов, работающего в режиме полной изоляции от сети (” data-html=”true” data-original-title=”Air Gap” >Air Gap).
IBM совместно с управляющим цифровыми активами Metaco – партнёром IBM и дочерней компанией Ripple, а также с банками первого уровня, разработали сервис сквозного шифрования активов, чтобы устранить распространенные уязвимости типичных решений холодного хранения.
В пресс-релизе говорится, что, когда речь идет о холодном хранении вне сети или физической изоляции, есть ограничения, включая доступ администраторов с привилегиями, операционные расходы, ошибки и невозможность масштабирования. Все эти ограничения связаны с одним основным фактором – человеческим вмешательством.
IBM разработала OSO, чтобы устранить такие уязвимости, исключив ручные функции инициации и проведения транзакций. OSO можно настроить так, чтобы он отправлял транзакции из холодного хранения в блокчейн и обратно только в определенное время или только после авторизации по многосторонней системе управления.
Технология предотвращает наиболее распространенные формы инсайдерских атак, включая физический доступ и административное манипулирование. Если злоумышленник каким-то образом получит доступ к системе, он сможет инициировать транзакцию только в утвержденное время и должен будет подождать ее одобрения для выполнения, чтобы получить или украсть активы.
Для обеспечения устойчивости OSO к атакам цифровые активы можно поместить в air-gap контейнеры хранения. Хранение считается изолированным, когда оно не подключено к Интернету или любому устройству, способному подключаться к Интернету. Это гарантирует, что киберпреступники не смогут получить удаленный доступ к активам во время их хранения.
Управляющие решениями холодного хранения обычно должны вручную переносить физические накопители, такие как ноутбуки или USB-накопители, на офлайн-оборудование для подписи транзакций. Ручной процесс вносит человеческую ошибку – форму атаки, которая может быть такой же дорогостоящей, как и умышленный эксплойт.
OSO использует движок политик, который может обеспечивать связь между двумя разными приложениями, не подключаясь одновременно к обоим. Так как он работает через виртуальный, разделенный сервер, в рамках службы конфиденциальных вычислений IBM, у OSO также нет прямого внешнего сетевого подключения, что предотвращает человеческую ошибку из-за ручных процессов, а также удаленный доступ (взлом) – даже во время транзакций.