“元宇宙”掀起了前所未有的熱議。2021年10月28日，F(xiàn)acebook宣布，它將更名為Meta，并描繪其所追求的元宇宙版本：

　　下一個平臺將會更具沉浸感?—?一個具象化的互聯(lián)網(wǎng)，不僅能讓你看到它，還可以讓你沉浸其中體驗，我們稱之為元宇宙，它將會涉及我們所生產(chǎn)的所有商品。

　　其他組織也已經(jīng)開始著手探索融入元宇宙的方法，包括納斯達克，該公司創(chuàng)建了一個虛擬世界，以此來敲響元宇宙的開場鐘。

　　提到元宇宙時，許多人都會想到區(qū)塊鏈、虛擬現(xiàn)實或增強現(xiàn)實技術(shù)，但是我認為馬修·鮑爾(Matthew Ball)在他的文章《元宇宙框架》中給出了最佳定義：

　　“元宇宙是一個大規(guī)模的、可互操作的實時渲染3D虛擬世界網(wǎng)絡，可以由有效且無限數(shù)量的用戶以個人存在感和數(shù)據(jù)連續(xù)性(如身份、歷史、權(quán)利、對象、通信和支付)同步和持久的體驗。”

　　雖然元宇宙的出現(xiàn)帶來了令人興奮的機會，徹底改變了我們與數(shù)字世界的互動方式，但它要求我們對處理網(wǎng)絡安全的方式進行根本性轉(zhuǎn)變。

　　1.在元宇宙中的身份保護

　　身份和訪問管理(IAM)是一個成熟的網(wǎng)絡安全子集，應用于解決人和機器身份驗證、授權(quán)和記賬問題，也稱為AAA模型。

　　雖然諸如單點登錄(SSO)和零信任架構(gòu)等技術(shù)目前處于不斷變化的身份識別領域的前沿，但元宇宙的出現(xiàn)可能會推動新的用戶身份模型產(chǎn)生。

　　為了使數(shù)字體驗彼此間能夠互動，需要采用一個通用的、分散的身份和訪問管理框架。而目前的身份認證是在平臺環(huán)境下創(chuàng)建和管理的。

　　例如，F(xiàn)acebook帳戶允許用戶對Facebook平臺上的相關操作進行身份驗證，無論是用戶帖子還是經(jīng)典Farmville等游戲。

　　由于更接近元宇宙的去中心化身份模型，單點登錄允許應用程序利用另一個合法身份權(quán)限者代表其對用戶進行身份驗證。

　　應用程序可以為用戶提供“使用Facebook登錄”的操作，利用Facebook已經(jīng)認證的身份進行用戶授權(quán)。

　　為了實現(xiàn)元宇宙平臺上的真正互操作性，身份必須具有可移植性，而單一管理組織如Meta(正式Facebook)則不大可能擁有身份。相反的，我預測它會分散開來，歸個人所有。

　　很多Web3創(chuàng)業(yè)公司已經(jīng)開始追逐去中心化的身份，例如PhotoChromic，它將項目描述為通用數(shù)字身份，并利用不可替代令牌(NFT)將該身份存儲在區(qū)塊鏈上。

　　隨著我們的數(shù)字生活和現(xiàn)實生活開始逐漸融合，對去中心化身份的保護將變得越來越重要。試想您的數(shù)字身份在元宇宙中被竊取，然后被心懷不軌的人取而代之，進入數(shù)字銀行和出納員進行交流，那是多么糟糕的一件事。

　　2.保護元宇宙攻擊面

　　側(cè)向攻擊是一種用于安全行業(yè)的術(shù)語，用于描述惡意行為者擴展其訪問其他設備和通過網(wǎng)絡“移動”的行為。

　　雖然安全專業(yè)人員習慣于保護計算機網(wǎng)絡，但這些同樣的概念也需要擴展到數(shù)字體驗網(wǎng)絡的元宇宙中去。

　　在未來的元宇宙中，攻擊面(Fortinet將其定義為“所有未經(jīng)授權(quán)用戶訪問系統(tǒng)并提取數(shù)據(jù)的所有可能攻擊點或攻擊介質(zhì)的數(shù)量”)不僅包括數(shù)字體驗，還包括所有其他相關體驗。

　　明天你就可能會聽到惡意行為者從數(shù)字藝術(shù)博物館獲得權(quán)限后進行側(cè)向攻擊，便可以不費吹灰之力地進入私人會議室。

　　3.保護智能合約

　　我相信區(qū)塊鏈技術(shù)會成為解決元宇宙難題的關鍵部分，實現(xiàn)數(shù)據(jù)的去中心化和個人所有權(quán)。智能合約正在實現(xiàn)所有權(quán)與區(qū)塊鏈的交互。以太坊(Ethereum.org)將智能合同定義為：

　　“簡單運行在以太坊區(qū)塊鏈上的一個程序。它是代碼(功能)和數(shù)據(jù)(狀態(tài))的集合，位于以太區(qū)塊鏈上的特定地址。”

　　智能合約的興起對安全專業(yè)人士提出了挑戰(zhàn)。首先，智能合約是由新編程語言寫的，其中最常見的是Solidity語言，它專門用于在以太坊區(qū)塊鏈上開發(fā)智能合約。

　　傳統(tǒng)的應用程序安全(APPSEC)專業(yè)人員在學習這些語言和它們的功能方面需要花費一些時間。目前這可能是一項艱巨的任務，因為區(qū)塊鏈當前的發(fā)展狀態(tài)是高度分散的，未來的市場份額贏家尚不清楚。這個GitHub由Chaincode Labs的研究人員Sergei Tikhomirov維護，截至本文撰寫時已列出61種主動區(qū)塊鏈編程語言。

　　為了支持這些智能合約審核，也需要開發(fā)新的工具。現(xiàn)有的應用程序開發(fā)安全程序利用靜態(tài)應用程序安全測試(SAST)和動態(tài)應用程序安全測試(DAST)工具來自動化這部分過程。

　　雖然有些開發(fā)者正在嘗試開發(fā)這些用于智能合約的工具，但這個領域仍有待開發(fā)和成熟。Pentestwiki.org列出了一些更成熟的工具，例如Slither。Chainlink還舉辦了一場精彩的網(wǎng)絡研討會，展示了智能合約安全審計的現(xiàn)狀。

　　4.元宇宙的治理、風險和合規(guī)性

　　治理、風險與合規(guī)性(GRC)是安全行業(yè)的一個標準，專注于安全風險管理、組織戰(zhàn)略以及遵守組織的內(nèi)外部要求。合規(guī)審計、安全計劃領導、政策和程序制定以及法律等活動都屬于該標準。

　　隨著未來元宇宙的出現(xiàn)，我預測新的安全和數(shù)據(jù)隱私法律法規(guī)將開始形成。企業(yè)將不得不投入巨資，以跟上當前和未來的監(jiān)管形勢，由于《通用數(shù)據(jù)保護條例》(GDPR)和《加利福尼亞消費者隱私法案》(CCPA)等數(shù)據(jù)保護法律的出現(xiàn)，許多組織已經(jīng)在努力解決這個問題。

　　隨著時間的流逝，這些規(guī)則會變得更加重要，因為元宇宙把數(shù)字與人類身份相互聯(lián)系在一起，這是我們以前從未經(jīng)歷過的。

　　此外，我預測，某些實體的組織結(jié)構(gòu)將會向分布式、以貢獻為中心的模式轉(zhuǎn)變，這將給問責制帶來新的挑戰(zhàn)。去中心化自治組織(DAO)是基于區(qū)塊鏈技術(shù)的新興概念，Investopedia將其定義為：

　　“一種新形式的法律結(jié)構(gòu)。由于沒有中央管理機構(gòu)，DAO中的每個成員通常都有一個共同的目標，努力以實體的最佳利益為行動準則。通過加密貨幣愛好者和區(qū)塊鏈技術(shù)的普及，DAO被用于以自下而上的管理方式進行決策。”

　　作為DAO運營的組織，由于缺乏中心權(quán)力機構(gòu)，因此在執(zhí)行安全和數(shù)據(jù)保護方面會面臨新的挑戰(zhàn)。取而代之的是，權(quán)力分配給了共同決定組織行為的成員(令牌持有者)。

　　5.結(jié)論

　　元宇宙為我們提供了一個令人興奮的創(chuàng)新機遇，使我們能夠更好地理解數(shù)字世界的演化。而重要的是，網(wǎng)絡安全行業(yè)必須與創(chuàng)新步伐保持同步。

　　安全專業(yè)人員需要針對這些新興的安全挑戰(zhàn)進行針對性培訓，并且在技術(shù)的開發(fā)過程中也要考慮到安全性。互聯(lián)網(wǎng)安全行業(yè)將迎來一段瘋狂而激動人心的旅程。

　　原文鏈接：https://hackernoon.com/securing-the-metaverse-how-digitally-immersive-experiences-will-change-the-future-of-cybersecurity

　　譯者介紹

　　劉濤，51CTO社區(qū)編輯，某大型央企系統(tǒng)上線檢測管控負責人，主要職責為嚴格審核系統(tǒng)上線驗收所做的漏掃、滲透測試以及基線檢查等多項檢測工作，擁有多年網(wǎng)絡安全管理經(jīng)驗，多年PHP及Web開發(fā)和防御經(jīng)驗，Linux使用及管理經(jīng)驗，擁有豐富的代碼審計、網(wǎng)絡安全測試和威脅挖掘經(jīng)驗。精通Kali下SQL審計、SQLMAP自動化探測、XSS審計、Metasploit審計、CSRF審計、webshell審計、maltego審計等技術(shù)。