保护元宇宙:数字沉浸式体验将如何改变网络安全的未来2021年10月28日,Facebook宣布将更名为Meta,并描述其追求的元宇宙版本:下一个平台将更身临其境?——一个具体的互联网,它不仅可以让你看到,还可以让你沉浸在体验中,我们称之为元宇宙,它会涉及到我们生产的所有商品。其他组织也开始探索融入元宇宙的方法,包括纳斯达克,它创建了一个虚拟世界作为敲响元宇宙开市钟的一种方式。提到元界,很多人会想到区块链、虚拟现实或增强现实,但我认为MatthewBall在他的文章《元宇宙框架》中给出了最好的定义:“MetaverseCosmosisalarge-scale,interoperablenetworkofreal--时间渲染的3D虚拟世界可以同步和持久体验。”虽然Metaverse的出现为我们与数字世界互动方式的革命提供了令人兴奋的机会,但它需要我们处理网络安全的方式发生根本性转变。1.元界身份保护IAM(IdentityandAccessManagement)是网络安全的一个成熟子集,用于解决人机认证、授权、计费等问题,又称AAA模型。虽然单点登录(SSO)和零信任架构等技术目前处于不断变化的身份格局的最前沿,但元宇宙的出现可能会推动新的用户身份模型。为了使数字体验相互交互,需要一个通用的、去中心化的身份和访问管理框架。目前的身份认证是在平台环境中创建和管理的。例如,Facebook帐户允许用户验证Facebook平台上的相关操作,无论是用户帖子还是经典Farmville之类的游戏。与元界的去中心化身份模型更接近的是,单点登录允许应用程序代表用户使用另一个合法权限对用户进行身份验证。应用程序可以为用户提供“使用Facebook登录”的操作,并使用Facebook认证后的身份对用户进行授权。为了在Metaverse平台上实现真正的互操作性,身份必须是可移植的,并且像Meta(前身为Facebook)这样的单一管理组织不太可能拥有身份。相反,我预测它将去中心化并由个人拥有。许多Web3初创公司已经在追逐去中心化身份,例如PhotoChromic,它将项目描述为一种通用数字身份,使用不可替代令牌(NFT)将该身份存储在区块链上。随着我们的数字生活和物理生活开始融合,去中心化身份的保护将变得越来越重要。想象一下,如果你的数字身份在元宇宙中被盗,然后被一个恶意的人取代,进入数字银行并与出纳员通信,那会有多糟糕。2.保护元界攻击面侧向攻击是安全行业中的一个术语,用于描述恶意行为者将其访问权限扩展到其他设备并在网络中“移动”的行为。虽然安全专业人员习惯于保护计算机网络,但这些相同的概念也需要扩展到数字体验网络的虚拟世界。在未来的元宇宙中,攻击面(Fortinet将其定义为“所有可能的攻击点或攻击向量的数量,任何未经授权的用户都可以通过这些攻击点或攻击向量访问系统并提取数据”)不仅包括数字体验,还包括所有其他相关经历。明天你可能会听说恶意行为者在获得数字艺术博物馆的访问权限后进行侧面攻击,允许他们毫不费力地进入私人会议室。3.保护智能合约我相信区块链技术将成为解决元宇宙难题的关键一环,实现数据的去中心化和个人所有权。智能合约正在实现所有权和区块链的交互。以太坊(Ethereum.org)将智能合约定义为:“一个简单地运行在以太坊区块链上的程序。它是位于以太坊区块链上特定地址的代码(功能)和数据(状态)的集合。”智能合约的兴起对安全专业人士提出了挑战,首先,智能合约是用新的编程语言编写的,其中最常见的是Solidity语言,专门用于在以太坊区块链上开发智能合约。传统应用程序安全(APPSEC)专业人员学习这些语言及其功能。目前这可能是一项艰巨的任务,因为区块链开发的当前状态高度分散,未来的市场份额赢家尚不清楚。这个GitHub,维护由ChaincodeLabs研究员SergeiTikhomirov编写,截至撰写本文时列出了61种活跃的区块链编程语言。为了支持这些智能合约审计,还需要开发新的工具。现有的应用程序开发安全程序利用静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)工具来自动化这部分过程。虽然一些开发人员尽管我们正在尝试为智能合约开发这些工具,但该领域仍不发达且成熟。Pentestwiki.org列出了一些比较成熟的工具,例如Slither。Chainlink还举办了一场精彩的网络研讨会,展示了智能合约安全审计的现状。4.Metaverse中的治理、风险和合规GRC(Governance,Risk,andCompliance)是安全行业的标准,主要关注安全风险管理、组织战略以及组织内部和外部要求的合规性。合规性审计、安全计划领导、政策和程序开发以及法律等活动都属于此标准。随着未来元界的出现,我预计新的安全和数据隐私法律法规将开始形成。企业将不得不投入大量资金来跟上当前和未来的监管环境,由于数据保护法,例如《通用数据保护条例》(GDPR)和《加利福尼亚消费者隐私法案》(CCPA),许多组织已经在努力应对这一问题。随着时间的推移,这些规则将变得更加重要,因为Metaverse以我们以前从未体验过的方式将数字和人类身份相互联系起来。此外,我预测一些实体的组织结构将转向分布式、以贡献为中心的模式,这将对问责制带来新的挑战。去中心化自治组织(DAO)是一个基于区块链技术的新兴概念。Investopedia将其定义为:“一种新的法律结构形式。由于没有中央管理机构,DAO中的每个成员通常都有一个共同的目标,即努力为实体的最大利益行事。通过加密货币的普及爱好者和区块链技术,DAO用于以自下而上的管理方式进行决策。”作为一个作为DAO运作的组织,由于缺乏中央权威,在实施安全和数据保护方面提出了新的挑战。相反,权力被分配给共同决定组织行为的成员(代币持有者)。5.结论Metaverse为创新提供了一个激动人心的机会,可以更好地理解数字世界的演变。重要的是,网络安全行业必须跟上创新的步伐。安全专业人员需要针对这些新出现的安全挑战进行有针对性的培训,并且在开发技术时要牢记安全性。对于互联网安全行业来说,这是一段狂野而激动人心的旅程。原文链接:https://hackernoon.com/securing-the-metaverse-how-digitally-immersive-experiences-will-change-the-future-of-cybersecurity译者介绍刘涛,社区编辑,大中环在线检测企业系统管控负责人,主要职责是严格审查系统上线验收的漏扫、渗透测试、基线检查,多年网络安全管理经验,多年PHP、Web开发和防御经验,Linux使用和管理经验,在代码审计、网络安全测试和威胁挖掘方面有丰富的经验。精通KaliSQL审计、SQLMAP自动检测、XSS审计、Metasploit审计、CSRF审计、webshel??l审计、maltego审计等技术。
