译者 | 刘涛
审校 | 孙淑娟
“元宇宙”掀起了前所未有的热议。2021年10月28日,Facebook宣布,它将更名为Meta,并描绘其所追求的元宇宙版本:
下一个平台将会更具沉浸感?—?一个具象化的互联网,不仅能让你看到它,还可以让你沉浸其中体验,我们称之为元宇宙,它将会涉及我们所生产的所有商品。
其他组织也已经开始着手探索融入元宇宙的方法,包括纳斯达克,该公司创建了一个虚拟世界,以此来敲响元宇宙的开场钟。
提到元宇宙时,许多人都会想到区块链、虚拟现实或增强现实技术,但是我认为马修·鲍尔(Matthew Ball)在他的文章《元宇宙框架》中给出了最佳定义:
“元宇宙是一个大规模的、可互操作的实时渲染3D虚拟世界网络,可以由有效且无限数量的用户以个人存在感和数据连续性(如身份、历史、权利、对象、通信和支付)同步和持久的体验。”
虽然元宇宙的出现带来了令人兴奋的机会,彻底改变了我们与数字世界的互动方式,但它要求我们对处理网络安全的方式进行根本性转变。
1.在元宇宙中的身份保护
身份和访问管理(IAM)是一个成熟的网络安全子集,应用于解决人和机器身份验证、授权和记账问题,也称为AAA模型。
虽然诸如单点登录(SSO)和零信任架构等技术目前处于不断变化的身份识别领域的前沿,但元宇宙的出现可能会推动新的用户身份模型产生。
为了使数字体验彼此间能够互动,需要采用一个通用的、分散的身份和访问管理框架。而目前的身份认证是在平台环境下创建和管理的。
例如,Facebook帐户允许用户对Facebook平台上的相关操作进行身份验证,无论是用户帖子还是经典Farmville等游戏。
由于更接近元宇宙的去中心化身份模型,单点登录允许应用程序利用另一个合法身份权限者代表其对用户进行身份验证。
应用程序可以为用户提供“使用Facebook登录”的操作,利用Facebook已经认证的身份进行用户授权。
为了实现元宇宙平台上的真正互操作性,身份必须具有可移植性,而单一管理组织如Meta(正式Facebook)则不大可能拥有身份。相反的,我预测它会分散开来,归个人所有。
很多Web3创业公司已经开始追逐去中心化的身份,例如PhotoChromic,它将项目描述为通用数字身份,并利用不可替代令牌(NFT)将该身份存储在区块链上。
随着我们的数字生活和现实生活开始逐渐融合,对去中心化身份的保护将变得越来越重要。试想您的数字身份在元宇宙中被窃取,然后被心怀不轨的人取而代之,进入数字银行和出纳员进行交流,那是多么糟糕的一件事。
2.保护元宇宙攻击面
侧向攻击是一种用于安全行业的术语,用于描述恶意行为者扩展其访问其他设备和通过网络“移动”的行为。
虽然安全专业人员习惯于保护计算机网络,但这些同样的概念也需要扩展到数字体验网络的元宇宙中去。
在未来的元宇宙中,攻击面(Fortinet将其定义为“所有未经授权用户访问系统并提取数据的所有可能攻击点或攻击介质的数量”)不仅包括数字体验,还包括所有其他相关体验。
明天你就可能会听到恶意行为者从数字艺术博物馆获得权限后进行侧向攻击,便可以不费吹灰之力地进入私人会议室。
3.保护智能合约
我相信区块链技术会成为解决元宇宙难题的关键部分,实现数据的去中心化和个人所有权。智能合约正在实现所有权与区块链的交互。以太坊(Ethereum.org)将智能合同定义为:
“简单运行在以太坊区块链上的一个程序。它是代码(功能)和数据(状态)的集合,位于以太区块链上的特定地址。”
智能合约的兴起对安全专业人士提出了挑战。首先,智能合约是由新编程语言写的,其中最常见的是Solidity语言,它专门用于在以太坊区块链上开发智能合约。
传统的应用程序安全(APPSEC)专业人员在学习这些语言和它们的功能方面需要花费一些时间。目前这可能是一项艰巨的任务,因为区块链当前的发展状态是高度分散的,未来的市场份额赢家尚不清楚。这个GitHub由Chaincode Labs的研究人员Sergei Tikhomirov维护,截至本文撰写时已列出61种主动区块链编程语言。
为了支持这些智能合约审核,也需要开发新的工具。现有的应用程序开发安全程序利用静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)工具来自动化这部分过程。
虽然有些开发者正在尝试开发这些用于智能合约的工具,但这个领域仍有待开发和成熟。Pentestwiki.org列出了一些更成熟的工具,例如Slither。Chainlink还举办了一场精彩的网络研讨会,展示了智能合约安全审计的现状。
4.元宇宙的治理、风险和合规性
治理、风险与合规性(GRC)是安全行业的一个标准,专注于安全风险管理、组织战略以及遵守组织的内外部要求。合规审计、安全计划领导、政策和程序制定以及法律等活动都属于该标准。
随着未来元宇宙的出现,我预测新的安全和数据隐私法律法规将开始形成。企业将不得不投入巨资,以跟上当前和未来的监管形势,由于《通用数据保护条例》(GDPR)和《加利福尼亚消费者隐私法案》(CCPA)等数据保护法律的出现,许多组织已经在努力解决这个问题。
随着时间的流逝,这些规则会变得更加重要,因为元宇宙把数字与人类身份相互联系在一起,这是我们以前从未经历过的。
此外,我预测,某些实体的组织结构将会向分布式、以贡献为中心的模式转变,这将给问责制带来新的挑战。去中心化自治组织(DAO)是基于区块链技术的新兴概念,Investopedia将其定义为:
“一种新形式的法律结构。由于没有中央管理机构,DAO中的每个成员通常都有一个共同的目标,努力以实体的最佳利益为行动准则。通过加密货币爱好者和区块链技术的普及,DAO被用于以自下而上的管理方式进行决策。”
作为DAO运营的组织,由于缺乏中心权力机构,因此在执行安全和数据保护方面会面临新的挑战。取而代之的是,权力分配给了共同决定组织行为的成员(令牌持有者)。
5.结论
元宇宙为我们提供了一个令人兴奋的创新机遇,使我们能够更好地理解数字世界的演化。而重要的是,网络安全行业必须与创新步伐保持同步。
安全专业人员需要针对这些新兴的安全挑战进行针对性培训,并且在技术的开发过程中也要考虑到安全性。互联网安全行业将迎来一段疯狂而激动人心的旅程。
原文链接:https://hackernoon.com/securing-the-metaverse-how-digitally-immersive-experiences-will-change-the-future-of-cybersecurity
译者介绍
刘涛,51CTO社区编辑,某大型央企系统上线检测管控负责人,主要职责为严格审核系统上线验收所做的漏扫、渗透测试以及基线检查等多项检测工作,拥有多年网络安全管理经验,多年PHP及Web开发和防御经验,Linux使用及管理经验,拥有丰富的代码审计、网络安全测试和威胁挖掘经验。精通Kali下SQL审计、SQLMAP自动化探测、XSS审计、Metasploit审计、CSRF审计、webshell审计、maltego审计等技术。
