网络安全
通过区块链重新思考网络安全
过去十年,网络安全支出呈指数级增长,丝毫没有放缓的迹象。根据一份行业报告,全球各组织计划在2017年至2021年期间拨款超过1万亿美元,以保护自己免受网络威胁。1
尽管有如此惊人的投资,犯罪黑客仍在利用公众已知和未知的漏洞,拦截设备、应用程序和网络通信。CB Insights计算出,2017年至2018年期间,约有60亿份机密文件被盗。其他行业研究显示,网络攻击的数量和代价都有所增加。
这些复杂的攻击通常源于传统的安全方法,包括身份验证,关键管理,加密和隐私挑战。由于冠状病毒大流行,漏洞的大量员工在家中,漏洞正在以新的方式增长。因此,而不是建立更强大的工具,许多企业正在重新思考首先创建这些漏洞的系统。
一种新的网络安全方法
区块链提供了一条通往更安全的不同道路,这条路很少有人走,对网络罪犯也不那么友好。这种方法减少了漏洞,提供了强大的加密,并更有效地验证数据的所有权和完整性。它甚至可以消除对某些密码的需要,而这些密码通常被认为是网络安全中最薄弱的环节。
区块链的主要优点是它使用了分布式分类帐。通过消除最明显的目标,分散的公钥基础设施模型降低了与集中存储的数据相关的许多风险。交易被记录在网络中的每个节点上,这使得攻击者很难窃取、破坏或篡改数据,除非在平台级别存在漏洞。
通过区块链的协同一致算法,消除了另一个传统的缺点。它可以监视恶意行为、异常和误报,而不需要中央权威机构。一双眼睛可以被骗,但不是所有的眼睛。这加强了身份验证和数据通信和记录管理的安全性。
尽管区块链包含许多非传统功能,但它确实利用了最重要的网络安全工具之一:加密。分布式账本可以利用公钥基础设施来保护通信、验证设备、验证配置更改,并发现物联网生态系统中的机密设备。通过加密和数字签名,区块链系统可以屏蔽连接的恒温器、智能门铃、安全摄像头和其他脆弱的边缘设备。帕洛阿尔托网络公司(Palo Alto Networks)最近的一份报告称,98%的物联网设备流量是未加密的,并将其描述为“攻击者唾手可得的果实”。2
此外,这种技术也可以成为对抗分布式拒绝服务(DDoS)攻击的武器。基于区块链的域名系统(DNS)——用于引导互联网流量的协议——可以删除使这些攻击成功的单点。2016年,由于针对一台DNS主机的服务器的DDoS攻击,互联网出现了很大一部分瘫痪。3.
区块链挑战
从跨国公司到政府的组织都在呼吁采用基于区块链的网络安全,将其视为下一个重大事件。但这并不像更新现有的工具包那么简单。
区块链和网络安全的这种交织仍然是一种不断发展的方式。并非所有关于数字身份、去中心化存储、保护边缘设备和智能合约的研究思路都符合业务需求。如果不仔细考虑,实现可能变得不切实际甚至不可能。以下是一些组织在考虑将区块链作为其网络安全战略的一部分时可能会遇到的障碍。
数据隐私
在公共区块链中,任何人都可以在事务中看到和检索数据。这对想要密切控制信息的企业来说是一个关注的人。
许可区块链可以帮助减轻许多隐私问题。Enterprise BlockChain平台可以创建一个权限的网络,该网络仅允许可信任的方参与或查看交易并对决策进行投票。
可伸缩性
在实现区块链时,可扩展性可能成为一个约束,主要是由于块大小和响应时间。在此技术中,每个节点存储,进程和维护块中的事务,以确保安全性和隐私。但随着交易数量的增加,中小型企业努力在块中满足越来越多的交易。这些增加也可以减缓验证过程。通过有限的计算和存储资源,可扩展性与权力下放有可能。
法规
各组织仍在努力了解区块链的结构和复杂性如何适应不断发展的数据隐私、遵从性和监管环境。欧洲的通用数据保护条例(GDPR)和类似的法律允许个人要求删除他们的数据;这些法律还在某些情况下创造了“被遗忘的权利”。由于区块链阻止各方修改或删除数据,因此该技术有违反政府规定的风险。
互操作性
某些区块链平台使用各种生态系统进行智能合同逻辑,交易计划和共识模型。弱互操作性限制可扩展性。从开发人员的角度来看,还可以从平台错误配置,通信不信任,在应用程序开发中的规范错误以及交叉链智能合同逻辑问题中创建障碍。
值得庆幸的是,开放协议、多链框架和算法正在区块链中扎根,缓解了这个问题。商业通信组织GS1已经发布了区块链互操作性的全球标准,并正在与微软和IBM合作,将这些标准合并到他们的企业区块链应用程序中。企业以太坊联盟也在开发业务标准。
技术风险
区块链有很多好处,比如效率、优化、降低成本和提高安全性。然而,如果不小心管理,该技术也会给系统带来新的风险。这些风险包括:
- 不正确的密钥管理和访问控制。与传统方法不同,终端用户完全负责管理他们的数字资产。私钥与用户所有权相映射,因此未经授权的访问或加密密钥的盗窃可能导致完全的、不可逆转的损失。
- 无意的分叉和链分裂攻击。在智能合同升级过程中,有可能有些节点可能不支持在共识阶段期间所做的更改。这可能导致从旧的新链条分裂,并引入特定于区块的风险,例如重播,双支度和51%的攻击。在这些情况下,未经授权的派对可以阻止,反向或重复交易。
- 不适当的加密方案选择和不安全的操作。使用加密算法传输或存储敏感数据不足以抵御中间人攻击。许多因素都可能使区块链容易受到这种类型的入侵,包括不适当的加密、弱或不正确的密钥、密钥管理错误、不正确的密码实现或数字签名或证书的不正确验证。
- 应用程序编程接口(API)集成。第三方是API集成所必需的,无论是私人还是公共区块链。这导致信任问题和敏感数据的无意泄漏。
区间福利
即使有潜在的障碍,区块链和网络安全的组合也有兴趣的高管和技术专家。在2019年Infosys Research Reports报告中,三分之一的受访者引用了SloctChain在开发安全解决方案中作为顶级网络安全趋势。4.它在所有话题中并列第三,排名甚至高于网络安全职位的需求增长。
以下是区块链有希望的一些因素,以及应该如何管理区块链:
- 数据保护和隐私。该技术提供了对分布式账本中的事务和信息的选择性访问,且只需要极少的管理。此外,区块链没有给网络攻击者提供传统的数据保护目标,也没有能力削弱隐私挑战。总的来说,这使得在区块链生态系统中获取或修改信息变得更加困难。
- 智能安全合同。BlockChain组件如智能合同,应用程序,API,数字资产和钱包必须进行访问控制,身份验证,数据安全性和业务逻辑验证。这在许可链中的参与者之间提供了更大的信心。
- 公钥基础设施管理。非对称加密密钥和数字签名是区块链安全的核心方面。在其实现中,公钥定义了节点参与者的数字身份。但是,私钥授权操作,包括安全加密、签名和验证事务。区块链中的非对称密码学提供了与传统加密交易类似的好处。
即使有了这些优势,公司也应该继续遵循安全最佳实践,比如速率限制、加密敏感配置文件,以及在开发过程中清除漏洞。2019年世界经济论坛(World Economic Forum)一篇相关论文的作者对区块链的炒作及其“夸大的安全预期”提出了警告。5.
“许多人认为它的密码基础是安全的终极答案,”该报称。“结果,他们未能实施对区块链的信任所必需的安全控制。”作者写道,人们认为这项技术要么天生不安全,要么无法破解,而“真相介于两者之间。”
虽然区块链的使用仍然有限,但这种区块链和网络安全的交织并不仅仅发生在边缘地带。在安全最为重要的地方,它已经被视为一种重要的工具。
美国政府的防御高级研究项目代理正在尝试使用区块链来创建更安全的传输消息和处理事务平台。这是该机构为美国国防部(国防部)创造不打包代码的努力的一部分。该技术立即标志试图用数据篡改,甚至为攻击者提供智能。
国防部2019年数字现代化战略报告将区块链描述为一种“不仅减少妥协可能性,而且让对手为实现它付出更大代价”的方式。通过与基于区块链的数据平台提供商Fluree签订合同,美国军方已经在朝着这个方向前进。6.
印度政府官员去年宣布,他们正在制定一项国家计划,将区块链用于包括网络安全在内的多种用途。据CB Insights称,沙特阿拉伯政府和GE Ventures已经投资了初创公司Xage,该公司正在利用区块链提高工业物联网设备的网络安全。
使用区块链来增强网络安全在全球范围内获得牵引力。然而,近期由Covid-19大流行引起的经济和物流中断为企业提供了新的激励,寻找创新的解决方案。7.
现在,企业正在从网络和供应链中寻求更大的知名度和安全性,即使经济朝向经济衰退。8.在更困难和不可预测的世界中,数字化和恢复力是必不可少的。公司希望将安全性和可见性与隐私和良好的治理结合起来。对于许多公司来说,答案将在区块链中找到。
12017 - 2017年的全球网络安全支出预计超过1万亿美元,史蒂夫·摩根,2019年6月10日,网络犯罪杂志。
2物联网威胁报告,帕洛阿尔托网络。
3.大规模网络中断可能预示着事情即将发生,Jamie Condliffe, 2016年10月21日,《麻省理工技术评论》。
4.确保数字信任-印孚瑟斯,2019,印raybet雷竞app下载孚瑟斯知识研究所。
5.区块链供应链的包容性部署第5部分-区块链网络安全框架-世界经济论坛,阿德里安Ogée,古屋聪一和纳迪亚·休伊特,2019年12月,世界经济论坛。
6.空军选择Fluree的数据管理平台,以支持防御部的安全,分布式全球通信,2月6日,2020年,Fluree,Afwerx。
7.供应链已上长。这是如何让他们更具弹性,廖丽、范子阳,2020年4月6日,世界经济论坛。
8.Covid-19将不确定性注入一个摇摇欲坠的世界经济,Samad Masood和Isaac Labauve,3月20日,Infosys Insights。
