物聯網(IoT ,Internet of Thing)已與主要網路攻擊產生關聯,通常涉及濫用易受攻擊的連網裝置 (例如監視攝影機),以協助進行惡意活動。當然,各界已對物聯網是否能確保連線至龐大網際網路的數十億部裝置的安全感到疑慮,並要求提供可行的解決方案以填補此安全缺口。此時登場的是區塊鏈,它是相對較新的技術,可望降低透過中央機構入侵物聯網裝置的風險,同時提升物聯網實作的擴充性。原則上,它可透過多種方式保護物聯網網路,例如針對異常網路行為形成群體共識,以及隔離未依規定運作的任何節點。
兩個關鍵促成要素合二為一:當物聯網遇上區塊鏈
在數十年之間,物聯網已大幅擴展並連接各種裝置與網路,包括住家、工作場所、運輸系統,甚至整座城市。另一方面,已問世十年的區塊鏈將透過其加密及分散式分類帳 (以建立可防止竄改的即時記錄),為商業模式帶來革命。透過物聯網與區塊鏈的協同運作,預期後者可為前者的裝置與程序提供可驗證且安全的記錄方式。
區塊鏈以分散式分類帳運作,將會記錄資料的每個刪除或修改動作,隨著更多資料 (區塊) 的加入,將建立更長的事件鏈。進行的每筆交易皆附帶數位簽章,而且永遠無法變更或刪除。由於區塊鏈去中心化的特性,理論上可防止易受攻擊的裝置推送假資訊及破壞網路環境,無論是智慧家庭或智慧工廠。
在一件最近發生且值得注意的物聯網安全事件中,區塊鏈可降低分散式阻斷服務 (DDoS) 攻擊的風險,這些攻擊會同時影響多台裝置:一台裝置中斷不應影響其他裝置。我們在保護智慧城市安全中注意到這個問題,此種權宜措施對於維持服務中的連線與功能而言非常重要,特別是關鍵系統。
使用區塊鏈,每個裝置都將具備強大的加密功能,進一步確保與其他裝置通訊的安全,並可在最重視隱私的物聯網使用案例中提供匿名性。採用者將可更妥善地追蹤裝置及發佈安全更新,協助強化潛在易受攻擊的裝置。
圖 1:物聯網中的區塊鏈:潛在利益
區塊鏈與物聯網的結合預期也能解決監管問題。例如,企業中由多個來源進行的交易,可透過不變且透明的記錄進行管理,在整體供應鏈中追蹤資料與實體商品。萬一發生錯誤決策或系統過載,區塊鏈記錄應能識別出問題點 (例如裝置或感測器),企業就能立即採取行動。區塊鏈亦有助於降低營運成本,因為它無需中介或中間人。
物聯網的區塊鏈實作與使用案例
區塊鏈不僅是做為加密貨幣 (最值得注意的是比特幣) 基礎的分散式分類帳。事實上,它已用於不同產業,包括零售業,以簡化及確保產品在供應鏈中移動的安全性,而在製藥業則用於確保合約、臨床試驗及藥物本身的完整性。藉由將區塊鏈整合至上述及其他產業,即可密切監控產品與服務的品質水準。
在物聯網領域中,區塊鏈也越來越受到歡迎。有家公司已開始提供用於工業物聯網 (IIoT) 的區塊鏈保護安全平台。此解決方案被譽為第一且唯一的解決方案,其目標是讓更多參與者來控制共識,並提高系統的備援能力,以解決物聯網廣大的攻擊面。以區塊鏈為焦點的研究中心也已成型,以促進此技術的發展與商業化,以及革新物聯網生態系統的能力。
將區塊鏈整合至物聯網的挑戰
物聯網中的區塊鏈確實正在快速發展,但並非沒有障礙。首先,區塊鏈的關鍵概念是一系列已完成的交易,以及它們形成鏈的方式。此鏈是保留過去交易的參考資料而建立的,然後形成區塊。但是,建立區塊需要大量運算,需要多個處理器與大量時間才能產生。由於要產生一個區塊是很困難的,要竄改它也同樣困難:竄改者必須竄改前一個區塊,並遵循已建立的鏈,才能徹底變更它。
這種機制似乎是保護物聯網安全的理想選擇。但是,必須注意的是物聯網裝置的運算能力相對不足,而底層區塊鏈通訊協定將帶來開銷流量,並產生可能帶來延遲的區塊。上述情況對於資源有限且頻寬受限的裝置,以及需要即時更新或快速回應的運作而言,都不是一個好兆頭。
在安全風險方面,研究人員已將與可存取性、匿名性以及身分驗證與存取控制相關的威脅進行分類。惡意行為者可能會透過阻斷服務 (DoS) 攻擊和雲端儲存入侵等手段,導致使用者無法存取資料或服務,對可存取性造成威脅。此外,他們也能搜尋使用者的匿名交易與其他公開資訊之間的連結,嘗試識別特定的使用者。他們也會嘗試以合法使用者身分來獲取資料,但系統可以偵測到身分驗證與存取控制的威脅,因為所有交易都會由區塊鏈中的使用者記錄及驗證。
另外,我們在今年的安全預測中,預測區塊鏈將被威脅行動者用來擴展其逃逸技術。推測物聯網感測器與裝置可能會因為向區塊鏈傳送錯誤資訊而受到威脅,也不無可能。透過此技術,如果一筆資料通過認證,就會被記錄在區塊鏈中。因此,採用者需確保感測器與裝置在遭到入侵時,做好覆蓋的準備,並且僅將存取權限授予負責控制的使用者。
安全建議
在正常運行時,區塊鏈可藉由降低成本與提高效率,為物聯網系統帶來極大好處。即使如此,此技術在物聯網環境中的滲透程度距離最佳狀態仍有一段不小的距離。例如,預期至 2020 年,最多只有 10% 的生產區塊鏈分類帳會整合至物聯網感測器。而且,在大多數物聯網系統的運算能力足以應付龐大的區塊鏈實作之前,還有很長的路要走。
雖然尚未實現消除單點故障,但保護物聯網安全的重點仍在於所有連網裝置持續進行安全部署。除了及時更新軟體以防止停機之外,採用物聯網的個人與組織皆應關注的是完整的多層次安全防護,從閘道到端點,皆能防止任何潛在的網路入侵與破壞。這需要:
- 變更預設的憑證。原廠預設憑證導致物聯網惡名昭彰地成為殭屍網路並入侵連網裝置。因此,建議使用者啟用密碼保護,並使用唯一且複雜的密碼,以降低裝置遭駭的風險。
- 強化路由器安全性。易受攻擊的路由器導致易受攻擊的網路。透過完整的安全解決方案保護路由器安全,可讓使用者掌握所有連網裝置,同時維持隱私與生產力。
- 設定裝置以確保安全。裝置的預設設定應加以檢查,並依照使用者的需求進行修改。建議自訂功能並停用不必要的功能,以提高安全性。
- 監控網路流量。積極掃描網路中的異常行為,協助使用者防範任何惡意企圖。透過安全解決方案提供的即時掃描,亦可實施自動且高效率的惡意軟體偵測。
- 實作附加安全措施。建議使用者啟用防火牆並使用 Wi-Fi Protected Access II (WPA2) 安全通訊協定以增加保護。採用網頁信譽評等與應用程式控制的解決方案,亦可為網路提供更好的可見度。
來源: Blockchain: The Missing Link Between Security and the IoT?