區塊鏈Block Chain功能

-

區塊鏈Block Chain定義

什麼是區塊鏈(Blockchain)?
區塊鏈(Blockchain)是一種利用網路達成的分散式、去中心化的資料運算、保存平台。以前在交易時需要第三方控管整個交易穩定,並且需要一個能夠大量儲存交易資料的地方,區塊鏈打破了這個運作方式,以去中心化的方式運作,區塊鏈把資料庫分別放在不同的電腦裡保存,並且互相監控數據,資料更動需要經過其餘電腦的共識同意。與以前單個資料庫一個不同的點是,區塊鏈裡的電腦會利用分散式運算加快交易、儲存資料速度,而在儲存資料的同時以加密的方式保護資料,在資料交易的過程中,也不需要額外經手第三方驗證。

區塊鏈目前總共有實名、匿名制兩種類型,非實名制則有近年來知名的比特幣作為代表,像鈔票一樣不強制記名,但也因為其匿名制度遭到詬病,有的比特幣交易所因此也會要求實名開戶。目前世界上大部分的區塊鏈產品都是屬於實名機制。

區塊鏈的應用非常廣泛,目前以金融科技界最盛,因為區塊鏈技術的 Trust Machine 將可以大幅度的降低銀行的後台成本與出錯可能。運作模式如下,當有一個交易產生後,每一台電腦都會同時開啟一個區塊放置其資料並且驗證,驗證最快的電腦將會將此資料放入它的區塊鏈當中,其餘電腦則會刪掉紀錄。若是在驗證過程中發現資料有誤,該交易則會自動失效。除了金融類的應用外,區塊鏈也可以用在產品履歷上。將區塊鏈套用在生產履歷後,每一個產品的來源、生產過程、中繼都會被記錄下來,整個生產鏈將會透明化而且可以做到上游的溯源。

區塊鏈的優點包括迅速、交易透明、並且能夠追查每一筆資金的來源、隱私保護措施良好等,但還是可能會有缺點包括,在公平原則下,有可能性能較好的電腦可以得到較多資料、再好的系統還是有可能遭到破解方面等議題,另外由於需要取得多方電腦的驗證,交易時間還是會比傳統如信用卡等支付方式長。

除了金融類的應用外,區塊鏈也可以用在產品履歷上。將區塊鏈套用在生產履歷後,每一個產品的來源、生產過程、中繼都會被記錄下來,整個生產鏈將會透明化而且可以做到上游的溯源。

區塊鏈的優點包括迅速、交易透明、並且能夠追查每一筆資金的來源、隱私保護措施良好等,但還是可能會有缺點包括,在公平原則下,有可能性能較好的電腦可以得到較多資料、再好的系統還是有可能遭到破解方面等議題,另外由於需要取得多方電腦的驗證,交易時間還是會比傳統如信用卡等支付方式長。


區塊鏈的創新,應注意的資安風險
 隨著區塊鏈技術持續創新,資安專業人士須採用全新的思考方式,並考量相關風險,整體而言,當前區塊鏈應用的風險,有如下幾項:

行銷週期
區塊鏈的定義及潛在應用,都是可變動的。除了比特幣以外,各種應用的功能各異,而且,許多規畫中的解決方案都尚未脫離概念階段。
而且,很可惜的是,目前圍繞著區塊鏈的宣導性行銷發展週期,其實,也偏離了實際有潛力的案例。
值得注意的是,區塊鏈如今已經接近期望膨脹期,新興技術發展週期報告,可做為開發新興科技組合時的參考,而在回顧2016年的報告中,我們可見到區塊鏈已經接近期望膨脹期,亦即技術快速發展的高峰期。

擴充性
隨著裝置、資料、交易與使用者身分的增加,相關人工因素的管理與儲存要求也越來越多。因此,企業資訊安全長需要一套安全且可擴充的方法,以確保未來幾年區塊鏈能夠成功。
儘管區塊鏈未來可能會受益於其擴充性,但目前其仍被視作一種風險,箱關的研究人員正在設法,使區塊鏈的運作方式,脫離傳統的分散式共識機制,朝向可擴充模式發展的各種選項。

網路攻擊/詐騙
最近,分布式自治組織所遭受到的攻擊,就是因為對方利用了智慧合約方面的弱點,相關安全因此亮起了紅燈。
相對而言,比特幣的漏洞較少,且其韌性為人稱道,但安全負擔已從網路轉移到為區塊鏈寫入內容的端點。一般而言,漏洞通常發生在作業系統、網路協定,以及部分安全相關的領域。

區塊鏈的風險評估更加困難
隨著區塊鏈相關服務範圍的擴大,為風險評估建構一個詳細的威脅模型,也變得越發困難。
因為,區塊鏈是複雜的技術系統,不像傳統系統具有監管透明度且可供審核。而區塊鏈缺乏通用的標準或規範,也讓問題變得更加複雜。
對此,Jonathan Care表示:「整體來說,人們並不瞭解區塊鏈這種新技術;它很複雜,所以,正確評估相關風險與揭露,已變成一大挑戰。也正由於目前尚無通用的標準或規範,也因此讓問題雪上加霜。」
而對於資訊安全長與IT安全主管而言,應確保資安團隊,將區塊鏈技術和管理與究責,分開處理。

導入區塊鏈應用的建議

首先,應仔細評估應用是否適合整合到特定的區塊鏈系統,以及子系統。

這包括:確實對所有層面的應用堆疊,進行嚴格的安全測試,舉凡作業系統(例如物聯網或嵌入式作業系統)、編碼查核、應用程式邏輯,以及實驗性系統的架構模型(例如,建構在區塊鏈技術基礎之上的智慧合約)。

此外,對於協助資訊安全長及資安團隊來說,漏洞管理方案是必要的,能提供可用的洞察及情報,來減輕各種威脅的傷害。這樣的漏洞管理方案,還應該包含區塊鏈應用與架構元件,讓管理變得透明化,同時進行審核控制,以藉此:
1)偵測技術與行政管理上的失誤;
2)遏止不法行為造成傷害;
3)讓消費者及利益相關者等門外漢,也能了解誠信管控。

最後,就是要持續監控主要廠商的功能創新、整合或競爭威脅能力。在某些情況下,應詢問現有及未來廠商在區塊鏈及其安全性的能力。


留言

張貼留言

這個網誌中的熱門文章

資訊安全管理國際標準ISO27001

-
圖片
ISO27001 信息技術 - 安全技術 - 信息安全管理體系要求 (Information technology-Security techniques-Informationsecurity management systems requirements) 。 隨著資訊科技日益普及,人們對於資訊系統的仰賴與日遽增,然而近年來不時發生各式病毒攻擊、駭客入侵、資料竊取等事件,在使得資訊安全的重要性逐漸成為各方關注的議題。 推動資訊安全工作,主要涵蓋的層面包括人員、作業流程和資訊技術,要如何將此三者串連起來,最好的方式就是建置一套適合組織的資訊安全管理制度。目前,實務上最好的參考指引就是國際資訊安全管理標準 ISO 27000 系列的規範,接下來的文章,將會說明如何協助組織導入符合標準要求的資訊安全管理制。 一談到資訊安全,大多數人的直覺反應就是在抵擋駭客入侵,但事實上,這只是其中的一小部分而已。過去,許多企業組織對於資訊安全的投入,主要都是著重在技術面的資安基礎建設,例如建置網路防火牆、防毒軟體和入侵偵測系統等,希望藉由安裝資安軟、硬體設備來加強網路安全,以抵擋來自企業外部的各種資訊安全威脅。 ISO 27001 要求組織應該要在整體業務活動與其所面臨的風險之下建立、實施、運作、監控、審查,並且維持和改進一個已經有文件化的管理制度,如果要確保它可長可久,就必須要運用 PDCA 。 圖 3-1 ISO27001 架構圖 ISO 27001 共有 11 個項目、 39 個控制項, 以及 133 個控制要點。 所謂的 11 個項目分別為 1. 資訊安全政策訂定與評估 2. 資訊安全組織 3. 資訊資產分類與管制 4. 人員安全管理與教育訓練 5. 實體與環境安全 6. 通訊與作業安全 7. 存取控制安全 8. 系統開發與維護之安全 9. 資訊安全事件之反應及處理 10. 業務永續運作管理 11. 相關法規與施行單位政策之符合性    這 11 個資訊安全範圍 39 個控制目標是 11 個項目下再細分 133 個控制要點則是   39 個控制項 目標下再去細分的
閱讀完整內容

資訊安全管理國際標準ISO27015

-
ISO27015 資訊技術 - 安全技術 - 對金融服務的資訊安全管理指南 介紹 這是在幫助指導金融服務機構(銀行,保險公司,信用卡公司等)使用 ISO27k 標準實施 ISMS 。 儘管金融服務行業的風險和安全標準廣闊下已經提供勞務 (如 ISO TR 13569 “銀行業信息安全指南”, SOX 和 Basel II / III ),通過 SC 27 制定的資訊安全管理體系實施指南體現了 ISO 27001 和 27002 與各種通用安全標準,如 COBIT 和 PCI-DSS 要求一起。 範圍和目的 ISO27015 放大和擴展一些在建議 ISO27002 的金融服務機構例如,建議安全意識的活動應涵蓋客戶,而不僅僅是員工。它給種認識的消息說,認為銀行奉勸廣播到員工的例子如關於身份竊賊使用鍵盤記錄木馬、網絡釣魚和社會工程,以竊取客戶的登錄憑證制度。總體來看,在 ISO 27015 的額外的指導可能不是革命性的,但它是一個有用的提示,遠遠超出了基本的 ISO 27002 在少數地區建議。 該標準的現狀是發表在 2012 年 11 月。 這是一個技術報告,而不是一個國際標準,通常是說:“這是專業發展的領域,我們是不是完全滿意”的 ISO 的辦法。 該標準是由於進行修訂,以反映 2013 年發行 27001 和 27002 。只有三個變化是由一個國家機構提出的,這意味著在保持這個標準可以忽略不計利息。 一些金融業的聯絡機構和 SC 27 名專家的提議撤銷它,而不是 - 一個明顯的跡象,表明他們並不重視它,而實際上它可能適得其反(在已經受到嚴格監管的行業徵收又一遵守障礙) .. 。這樣的修訂項目已被取消,並在適當時候 ISO27015 將被撤銷。
閱讀完整內容

一銀盜領案

-
圖片
調查局發現,一銀倫敦分行是駭客入侵的端點之一 找出了惡意程式,確認ATM遭駭,但是這些惡意程式從哪來是下一個要解決的問題,再加上這些木馬都不具備遠端連線功能,無法透過駭客常用的C&C跳板伺服器來遙控,駭客勢必得遠端手動操控才能執行。 調查局轉而聚焦於清查一銀內網的各種異常連線記錄,終於找到了在7月9日時大量來自海外一銀倫敦分行連線到臺灣ATM的記錄,發動大量連線的系統是倫敦分行的電話錄音伺服器。但是,一銀這家倫敦分行沒有ATM業務,不需連線回臺灣ATM,不應出現任何連線記錄,而對位於臺灣的ATM設備,也不應該出現對外的異常連線。調查局因此而能推斷,一銀倫敦分行就是造成這次事件的駭客入侵端點之一,駭客入侵了這臺伺服器做為跳板,再進一步攻入總行的ATM。 調查局連夜請一銀倫敦分行的主管趕回臺灣,同時帶回3顆硬碟,包括了遭駭伺服器內的2顆硬碟,和遭入侵PC的硬碟。 不過,調查局調查工作還未結束,還有其他可能受駭的主機正在鑑識中,調查局資安科科長周台維一再強調,一銀倫敦分行的受駭主機,只是可能受駭的主機之一,還有其他可能性,調查局不排除,除了一銀倫敦分行之外,駭客還從其他可能的受駭主機端點入侵。 調查局目前雖然仍不願意排除內鬼接應的可能性,但是從APT(進階持續性威脅)攻擊的角度分析,也有可能是透過魚叉式釣魚郵件(Spear Phishing)的方式,先入侵倫敦分行行員的個人電腦後,再藉由內部橫向移動的方式,進一步掌控倫敦分行內網主機以及電話錄音系統。 ForceShield技術長林育民早在十年前就曾示範用ATM漏洞,遠端控制Wincor牌ATM,成功遙控吐鈔。他表示,ATM安全弱點可分為3大類,一是內鬼所為,如內部人員及維護廠商動手腳,其次是駭客直接從外部入侵,第三則是利用軟硬體漏洞取得ATM的控制權限。 林育民認為,從目前調查局釋出的資料看來,一銀ATM盜領事件像是駭客直接從外部入侵造成的資安事件。 調查局新北市調查處在18日晚上10點,揭露了最新的數位鑑識結果,以及所拼湊出來的一銀遭駭流程,我們彙整近2周所揭露的各項調查資訊,以及資安專家的看法,進一步畫出了更詳細的第一銀行ATM盜領事件遭駭流程圖,也向調查局再次查證,確認新的流程幾乎和目前案情100%相似。 駭客集團6階段入侵ATM 根據調查局所揭露的資料,可以
閱讀完整內容