人们总是喜欢谈论一些相同的东西,谈多了也就成了所谓的“热门”、“流行语”,当然,安全行业也不例外。说到现在的热门话题无非是云、勒索软件等等,而现在的流行语似乎是人工智能(AI)、比特币以及区块链等。
说到区块链有多热,这里有数据为证!根据瞻博网络(Juniper Research)提供的数据显示,每10家大公司之中就有6家公司要么正在积极考虑部署区块链技术,要么已经在行动当中。而在那些已经达到概念验证阶段的公司里,有三分之二(66%)预计到2018年年底时会把区块链整合到自家系统当中。
人们常常将区块链作为大多数问题的答案,原因之一就在于,我们很容易想象出区块链技术的高级用例。但是事实上,区块链并非适用于所有场景。
区块链并非适用于所有情况
所有建筑师、工匠或是业余爱好者应该都明白这样一个道理,选择合适的工具能够使困难的问题变得更加容易解决。同样的道理,没有哪一种工具能够解决所有的问题。我们不得不承认,区块链是一项伟大的数字发明,如果能够应用在正确的领域,将会对整个世界带来非凡改变。
但是,要记住的是,它并非适用于所有数字安全场景,没错,区块链可能会改善食源性疾病(通过摄食进入人体内的各种致病因子引起的、通常具有感染性质或中毒性质的一类疾病),但是其成本是多少呢?与每个提供商、分销商和相关人员建立一个国家系统所付出的努力和代价是否值得?可能并不值得,即便是人类的生命存在威胁。
在其基本组件中,区块链仅仅是一个交易分类帐本,每笔交易都与其他所有交易密切相关。这是一个关于完整性而不是加密的问题。定义和应用的加密算法使得以非易事的方式伪造交易变得十分困难。可以说,区块链是一个简单而又富有革命性的概念。
2017年初,《哈佛商业评论》认为区块链是一项基础技术,因此“有可能为我们的经济和社会系统创造新的基础”。 2017年1月的世界经济论坛报告预测,到2025年,全球GDP的10%将存储在区块链或区块链相关技术上。如果你不了解区块链,你可能需要开始了解它了。
但这并不意味着所有可以应用区块链技术的东西都应该应用它。研究显示,能够从区块链中受益最多的项目应该具备以下特点:对交易透明度和完整性有需求;当前依赖传统存储系统;需要传输大量信息。此外,应用区块链技术还需要考虑成本问题,确保特定保护方案的成本(包括价值、时间以及最佳资源利用)不会超出其所产生的收益。
区块链成本与收益
举例说明,2017年9月,外媒报道称,都乐,Driscolls,泰森食品、沃尔玛、联合利华、克罗格和雀巢正在与IBM合作开发能应用于食品供应系统的区块链技术以阻止食源性疾病的大规模爆发。
当污染事件发生,传统模式下是通过Excel台帐或者中心化的数据库来记录食品流转信息。如果中间环节出现问题,比如记录遗漏、参错,企业可能需要几天甚至几周的时间来追踪感染源,并召回相应的产品。
而利用区块链,供应链流程可以做到完全透明、可追溯,从食品链条的任一点都可以快速定位到源头。当然,拯救人命是值得耗费大量财力的,对吗?但是其实也许并非如此。在每一种保护场景中,我们习惯将价格标签置于人命之上,来衡量值不值得。
我们都知道驾驶汽车每年会造成数以万计的人员伤亡,但是我们还是不断地追求车辆行驶速度;我们都知道,如果将车辆限速在5英里每小时,然后用笨重的橡胶材料制造轮胎,那么伤亡人数就会减少很多。但是如果连人腿都跑不过,谁还需要驾车呢?所以,社会已经采取了一个折衷做法,用每年一定数量的意外死亡来换取更快地驾驶速度追求。我们一直期待让驾驶变得更加安全,不再有人因为驾驶汽车而死亡,但是如果代价是5英里每小时,以及糟糕至极的驾驶体验,我想这样根本不值得。
那么现在问题就变成,在一个特定场景中一条人命究竟值多少钱呢?如果现在我们将区块链技术应用于防止食源性疾病,我们将需要花费多少努力才能阻止更多的人因感染有毒食物而生病或死亡呢?据美国疾病控制中心估计,美国每年都有大约4800万人患有食源性疾病,造成128,000人住院,3000人死亡。这些数字可能比你所能想象的因食物而生病和死亡的人数要多。
现实是,每年都会有数百万人因食物而生病,数千人因食物而死亡。当然,我们每个人都愿意支付更多的东西来降低这种食源性疾病的感染率,但是您愿意支付的具体数额是多少呢?社会又是否愿意支付双倍的费用来降低这种患病的可能性?三倍呢?四倍呢?
答案是人们连25%的价格上涨都接受不了,一位农名表示,即便是粮食价格上涨一点,世界都可能会陷入疯狂。而实施区块链技术需要花费多少成本呢?即便是用不了一万亿美元,也至少需要数十亿美元。
为了充分跟踪食品动态,需要在中心化区块链系统中与每个食品采集设备、农场、加工商、运输商以及商店买家建立联系,他们每个环节都需要配置新的计算机系统和软件。事实上,很多农场工人根本不会使用计算机,更别说突然引入区块链技术了。
接下来又会引发一系列问题:是否真的有必要部署区块链来提供足够的保护水平?当然,食品链能够从中获益,但是它真的需要区块链这样强大而又相对昂贵的技术来提供防护吗?或者一个普通国家的数据库是不是就已经足够了呢?
如今的食品供应跟踪问题并不是我们的食品跟踪数据没有足够的完整性,而是我们没有在整个系统中进行基本食物追踪所需的系统,而且我们没有足够的调查人员来追究违法者。即使您将区块链完美地引入食品系统,它可能也不会降低食源性疾病的感染率,至少在您解决资金问题之前不会。
而且,在实际的商业推广过程中,区块链食品溯源进程的推广也存在不少的掣肘。首先是区块链可以处理的信息量是有限的,目前来看底层协议性能处理普遍还不佳,如以太坊每秒25个左右的交易量也让人诟病。其次是对于上链信息的真实性问题,有一部分完美主义者持不同意见。另外,不同平台间的溯源技术和标准不同可能会导致商品溯源普及进展缓慢等等。
将区块链应用于其他安全机制
为了表达上述观点,我参考过很多有关预防食源性疾病的言论,但是我的目的不是为了否定而否定,我希望在确认任何一项安全解决方案时,首先要弄清楚该解决方案能否真正地解决问题(因为大多数解决方案不具备广告宣传中的功效),然后,第二个最为关键的问题是即便该方法真的有效,但是你有部署它的必要吗?实际部署又要花费多少成本?
现在就把我的这种想法应用于RFID阻挡((RFID blocking))钱包中进行验证。我们都知道,现在银行卡都是RFID卡比较多,通过设备可以读取并破解,为了防止通过设备读取钱包里面的卡的信息,这种钱包便应运而生。提供RFID保护技术的供应商会说服你,你需要保护,不然可能会受到侵害。
但是,如果你回顾我的第一条要求——即弄清楚该解决方案能否真正地解决问题——会发现,到目为止,从未有过一起记录在案的RFID犯罪活动被RFID阻挡钱包成功阻止的案例。对于这种根本不起效用的投入,都是不明智的投资。
另一个例子:社会工程手段是造成大多数企业数据泄露的最主要原因。根据2018年《Verizon数据泄露调查报告》显示,93%的数据泄露涉及社会工程。社会工程不是广告软件,也不是会在桌面上弹出的恶意软件程序,能够在执行某些操作之前就被杀毒软件查杀。这种威胁造成的数据泄露可能会为企业带来不可估量的经济和名誉损失,所以,无论你采取何种措施来降低这种威胁都是合理的。你只需要决定需要在哪些方面投入多少资金即可(例如,网关过滤器、数据泄露防御、员工培训以及其他安全工具等)。
最后一个例子:你应该要使用传统防火墙吗?防火墙允许网络或主机阻止预定义或未经授权的网络尝试。几十年来,它们已经证明了自己的耐力和价值。如今,传统防火墙能够阻止的攻击只占非常非常小的一部分。
如今,传统防火墙仅用于防止未修补或配置错误的系统。如果你没有这些问题,那么你可能就不需要传统的防火墙。据我所知,一些非常大型且拥有大规模入站互联网流量的组织都已经不再使用防火墙。因为防火墙会过度放缓整体流量,且根本无法提供足够的价值。
总而言之,更够让你更安全的安全机制并不一定是正确的,且适合你的工具。这可能是因为实施该工具的成本可能过于昂贵,超出你的承受能力,或是有其他更便宜且能够提供相同防护水平的产品代替;亦或者它面临的威胁确实不存在(至少目前还没有)。人生就是一系列安全评估,就食物传播疾病或快车致命而言,我们常常会选择为了一些利益而忍受非常严重的潜在后果,因为我们不喜欢完全安全所要付出的代价。
*参考来源:csoonline,米雪儿编译整理,转载请注明来自 FreeBuf.COM。
来源:freebuf.com 2018-05-07 13:00:40 by: 米雪儿
请登录后发表评论
注册