“元宇宙”掀起了前所未有的熱議。2021年10月28日,F(xiàn)acebook宣布,它將更名為Meta,并描繪其所追求的元宇宙版本:
下一個(gè)平臺(tái)將會(huì)更具沉浸感?—?一個(gè)具象化的互聯(lián)網(wǎng),不僅能讓你看到它,還可以讓你沉浸其中體驗(yàn),我們稱之為元宇宙,它將會(huì)涉及我們所生產(chǎn)的所有商品。
其他組織也已經(jīng)開始著手探索融入元宇宙的方法,包括納斯達(dá)克,該公司創(chuàng)建了一個(gè)虛擬世界,以此來(lái)敲響元宇宙的開場(chǎng)鐘。
提到元宇宙時(shí),許多人都會(huì)想到區(qū)塊鏈、虛擬現(xiàn)實(shí)或增強(qiáng)現(xiàn)實(shí)技術(shù),但是我認(rèn)為馬修·鮑爾(Matthew Ball)在他的文章《元宇宙框架》中給出了最佳定義:
“元宇宙是一個(gè)大規(guī)模的、可互操作的實(shí)時(shí)渲染3D虛擬世界網(wǎng)絡(luò),可以由有效且無(wú)限數(shù)量的用戶以個(gè)人存在感和數(shù)據(jù)連續(xù)性(如身份、歷史、權(quán)利、對(duì)象、通信和支付)同步和持久的體驗(yàn)。”
雖然元宇宙的出現(xiàn)帶來(lái)了令人興奮的機(jī)會(huì),徹底改變了我們與數(shù)字世界的互動(dòng)方式,但它要求我們對(duì)處理網(wǎng)絡(luò)安全的方式進(jìn)行根本性轉(zhuǎn)變。
1.在元宇宙中的身份保護(hù)
身份和訪問(wèn)管理(IAM)是一個(gè)成熟的網(wǎng)絡(luò)安全子集,應(yīng)用于解決人和機(jī)器身份驗(yàn)證、授權(quán)和記賬問(wèn)題,也稱為AAA模型。
雖然諸如單點(diǎn)登錄(SSO)和零信任架構(gòu)等技術(shù)目前處于不斷變化的身份識(shí)別領(lǐng)域的前沿,但元宇宙的出現(xiàn)可能會(huì)推動(dòng)新的用戶身份模型產(chǎn)生。
為了使數(shù)字體驗(yàn)彼此間能夠互動(dòng),需要采用一個(gè)通用的、分散的身份和訪問(wèn)管理框架。而目前的身份認(rèn)證是在平臺(tái)環(huán)境下創(chuàng)建和管理的。
例如,F(xiàn)acebook帳戶允許用戶對(duì)Facebook平臺(tái)上的相關(guān)操作進(jìn)行身份驗(yàn)證,無(wú)論是用戶帖子還是經(jīng)典Farmville等游戲。
由于更接近元宇宙的去中心化身份模型,單點(diǎn)登錄允許應(yīng)用程序利用另一個(gè)合法身份權(quán)限者代表其對(duì)用戶進(jìn)行身份驗(yàn)證。
應(yīng)用程序可以為用戶提供“使用Facebook登錄”的操作,利用Facebook已經(jīng)認(rèn)證的身份進(jìn)行用戶授權(quán)。
為了實(shí)現(xiàn)元宇宙平臺(tái)上的真正互操作性,身份必須具有可移植性,而單一管理組織如Meta(正式Facebook)則不大可能擁有身份。相反的,我預(yù)測(cè)它會(huì)分散開來(lái),歸個(gè)人所有。
很多Web3創(chuàng)業(yè)公司已經(jīng)開始追逐去中心化的身份,例如PhotoChromic,它將項(xiàng)目描述為通用數(shù)字身份,并利用不可替代令牌(NFT)將該身份存儲(chǔ)在區(qū)塊鏈上。
隨著我們的數(shù)字生活和現(xiàn)實(shí)生活開始逐漸融合,對(duì)去中心化身份的保護(hù)將變得越來(lái)越重要。試想您的數(shù)字身份在元宇宙中被竊取,然后被心懷不軌的人取而代之,進(jìn)入數(shù)字銀行和出納員進(jìn)行交流,那是多么糟糕的一件事。
2.保護(hù)元宇宙攻擊面
側(cè)向攻擊是一種用于安全行業(yè)的術(shù)語(yǔ),用于描述惡意行為者擴(kuò)展其訪問(wèn)其他設(shè)備和通過(guò)網(wǎng)絡(luò)“移動(dòng)”的行為。
雖然安全專業(yè)人員習(xí)慣于保護(hù)計(jì)算機(jī)網(wǎng)絡(luò),但這些同樣的概念也需要擴(kuò)展到數(shù)字體驗(yàn)網(wǎng)絡(luò)的元宇宙中去。
在未來(lái)的元宇宙中,攻擊面(Fortinet將其定義為“所有未經(jīng)授權(quán)用戶訪問(wèn)系統(tǒng)并提取數(shù)據(jù)的所有可能攻擊點(diǎn)或攻擊介質(zhì)的數(shù)量”)不僅包括數(shù)字體驗(yàn),還包括所有其他相關(guān)體驗(yàn)。
明天你就可能會(huì)聽到惡意行為者從數(shù)字藝術(shù)博物館獲得權(quán)限后進(jìn)行側(cè)向攻擊,便可以不費(fèi)吹灰之力地進(jìn)入私人會(huì)議室。
3.保護(hù)智能合約
我相信區(qū)塊鏈技術(shù)會(huì)成為解決元宇宙難題的關(guān)鍵部分,實(shí)現(xiàn)數(shù)據(jù)的去中心化和個(gè)人所有權(quán)。智能合約正在實(shí)現(xiàn)所有權(quán)與區(qū)塊鏈的交互。以太坊(Ethereum.org)將智能合同定義為:
“簡(jiǎn)單運(yùn)行在以太坊區(qū)塊鏈上的一個(gè)程序。它是代碼(功能)和數(shù)據(jù)(狀態(tài))的集合,位于以太區(qū)塊鏈上的特定地址。”
智能合約的興起對(duì)安全專業(yè)人士提出了挑戰(zhàn)。首先,智能合約是由新編程語(yǔ)言寫的,其中最常見的是Solidity語(yǔ)言,它專門用于在以太坊區(qū)塊鏈上開發(fā)智能合約。
傳統(tǒng)的應(yīng)用程序安全(APPSEC)專業(yè)人員在學(xué)習(xí)這些語(yǔ)言和它們的功能方面需要花費(fèi)一些時(shí)間。目前這可能是一項(xiàng)艱巨的任務(wù),因?yàn)閰^(qū)塊鏈當(dāng)前的發(fā)展?fàn)顟B(tài)是高度分散的,未來(lái)的市場(chǎng)份額贏家尚不清楚。這個(gè)GitHub由Chaincode Labs的研究人員Sergei Tikhomirov維護(hù),截至本文撰寫時(shí)已列出61種主動(dòng)區(qū)塊鏈編程語(yǔ)言。
為了支持這些智能合約審核,也需要開發(fā)新的工具,F(xiàn)有的應(yīng)用程序開發(fā)安全程序利用靜態(tài)應(yīng)用程序安全測(cè)試(SAST)和動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)工具來(lái)自動(dòng)化這部分過(guò)程。
雖然有些開發(fā)者正在嘗試開發(fā)這些用于智能合約的工具,但這個(gè)領(lǐng)域仍有待開發(fā)和成熟。Pentestwiki.org列出了一些更成熟的工具,例如Slither。Chainlink還舉辦了一場(chǎng)精彩的網(wǎng)絡(luò)研討會(huì),展示了智能合約安全審計(jì)的現(xiàn)狀。
4.元宇宙的治理、風(fēng)險(xiǎn)和合規(guī)性
治理、風(fēng)險(xiǎn)與合規(guī)性(GRC)是安全行業(yè)的一個(gè)標(biāo)準(zhǔn),專注于安全風(fēng)險(xiǎn)管理、組織戰(zhàn)略以及遵守組織的內(nèi)外部要求。合規(guī)審計(jì)、安全計(jì)劃領(lǐng)導(dǎo)、政策和程序制定以及法律等活動(dòng)都屬于該標(biāo)準(zhǔn)。
隨著未來(lái)元宇宙的出現(xiàn),我預(yù)測(cè)新的安全和數(shù)據(jù)隱私法律法規(guī)將開始形成。企業(yè)將不得不投入巨資,以跟上當(dāng)前和未來(lái)的監(jiān)管形勢(shì),由于《通用數(shù)據(jù)保護(hù)條例》(GDPR)和《加利福尼亞消費(fèi)者隱私法案》(CCPA)等數(shù)據(jù)保護(hù)法律的出現(xiàn),許多組織已經(jīng)在努力解決這個(gè)問(wèn)題。
隨著時(shí)間的流逝,這些規(guī)則會(huì)變得更加重要,因?yàn)樵钪姘褦?shù)字與人類身份相互聯(lián)系在一起,這是我們以前從未經(jīng)歷過(guò)的。
此外,我預(yù)測(cè),某些實(shí)體的組織結(jié)構(gòu)將會(huì)向分布式、以貢獻(xiàn)為中心的模式轉(zhuǎn)變,這將給問(wèn)責(zé)制帶來(lái)新的挑戰(zhàn)。去中心化自治組織(DAO)是基于區(qū)塊鏈技術(shù)的新興概念,Investopedia將其定義為:
“一種新形式的法律結(jié)構(gòu)。由于沒有中央管理機(jī)構(gòu),DAO中的每個(gè)成員通常都有一個(gè)共同的目標(biāo),努力以實(shí)體的最佳利益為行動(dòng)準(zhǔn)則。通過(guò)加密貨幣愛好者和區(qū)塊鏈技術(shù)的普及,DAO被用于以自下而上的管理方式進(jìn)行決策。”
作為DAO運(yùn)營(yíng)的組織,由于缺乏中心權(quán)力機(jī)構(gòu),因此在執(zhí)行安全和數(shù)據(jù)保護(hù)方面會(huì)面臨新的挑戰(zhàn)。取而代之的是,權(quán)力分配給了共同決定組織行為的成員(令牌持有者)。
5.結(jié)論
元宇宙為我們提供了一個(gè)令人興奮的創(chuàng)新機(jī)遇,使我們能夠更好地理解數(shù)字世界的演化。而重要的是,網(wǎng)絡(luò)安全行業(yè)必須與創(chuàng)新步伐保持同步。
安全專業(yè)人員需要針對(duì)這些新興的安全挑戰(zhàn)進(jìn)行針對(duì)性培訓(xùn),并且在技術(shù)的開發(fā)過(guò)程中也要考慮到安全性;ヂ(lián)網(wǎng)安全行業(yè)將迎來(lái)一段瘋狂而激動(dòng)人心的旅程。
原文鏈接:https://hackernoon.com/securing-the-metaverse-how-digitally-immersive-experiences-will-change-the-future-of-cybersecurity
譯者介紹
劉濤,51CTO社區(qū)編輯,某大型央企系統(tǒng)上線檢測(cè)管控負(fù)責(zé)人,主要職責(zé)為嚴(yán)格審核系統(tǒng)上線驗(yàn)收所做的漏掃、滲透測(cè)試以及基線檢查等多項(xiàng)檢測(cè)工作,擁有多年網(wǎng)絡(luò)安全管理經(jīng)驗(yàn),多年P(guān)HP及Web開發(fā)和防御經(jīng)驗(yàn),Linux使用及管理經(jīng)驗(yàn),擁有豐富的代碼審計(jì)、網(wǎng)絡(luò)安全測(cè)試和威脅挖掘經(jīng)驗(yàn)。精通Kali下SQL審計(jì)、SQLMAP自動(dòng)化探測(cè)、XSS審計(jì)、Metasploit審計(jì)、CSRF審計(jì)、webshell審計(jì)、maltego審計(jì)等技術(shù)。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。
2024年的Adobe MAX 2024發(fā)布會(huì)上,Adobe推出了最新版本的Adobe Creative Cloud。
奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。
“以前都要去窗口辦,一套流程下來(lái)都要半個(gè)月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。
華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準(zhǔn)的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來(lái)實(shí)質(zhì)性的幫助,雙十一期間低至2799元,性價(jià)比很高,簡(jiǎn)直是創(chuàng)作者們的首選。
9月14日,2024全球工業(yè)互聯(lián)網(wǎng)大會(huì)——工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析專題論壇在沈陽(yáng)成功舉辦。