譯者 | 劉濤

審校 | 孫淑娟

“元宇宙”掀起了前所未有的熱議。2021年10月28日，F(xiàn)acebook宣布，它將更名為Meta，并描繪其所追求的元宇宙版本：

下一個(gè)平臺(tái)將會(huì)更具沉浸感?—?一個(gè)具象化的互聯(lián)網(wǎng)，不僅能讓你看到它，還可以讓你沉浸其中體驗(yàn)，我們稱之為元宇宙，它將會(huì)涉及我們所生產(chǎn)的所有商品。

其他組織也已經(jīng)開始著手探索融入元宇宙的方法，包括納斯達(dá)克，該公司創(chuàng)建了一個(gè)虛擬世界，以此來(lái)敲響元宇宙的開場(chǎng)鐘。

提到元宇宙時(shí)，許多人都會(huì)想到區(qū)塊鏈、虛擬現(xiàn)實(shí)或增強(qiáng)現(xiàn)實(shí)技術(shù)，但是我認(rèn)為馬修·鮑爾（Matthew Ball）在他的文章《元宇宙框架》中給出了最佳定義：

“元宇宙是一個(gè)大規(guī)模的、可互操作的實(shí)時(shí)渲染3D虛擬世界網(wǎng)絡(luò)，可以由有效且無(wú)限數(shù)量的用戶以個(gè)人存在感和數(shù)據(jù)連續(xù)性（如身份、歷史、權(quán)利、對(duì)象、通信和支付）同步和持久的體驗(yàn)?！?/p>

雖然元宇宙的出現(xiàn)帶來(lái)了令人興奮的機(jī)會(huì)，徹底改變了我們與數(shù)字世界的互動(dòng)方式，但它要求我們對(duì)處理網(wǎng)絡(luò)安全的方式進(jìn)行根本性轉(zhuǎn)變。

1.在元宇宙中的身份保護(hù)  

身份和訪問管理（IAM）是一個(gè)成熟的網(wǎng)絡(luò)安全子集，應(yīng)用于解決人和機(jī)器身份驗(yàn)證、授權(quán)和記賬問題，也稱為AAA模型。

雖然諸如單點(diǎn)登錄（SSO）和零信任架構(gòu)等技術(shù)目前處于不斷變化的身份識(shí)別領(lǐng)域的前沿，但元宇宙的出現(xiàn)可能會(huì)推動(dòng)新的用戶身份模型產(chǎn)生。

為了使數(shù)字體驗(yàn)彼此間能夠互動(dòng)，需要采用一個(gè)通用的、分散的身份和訪問管理框架。而目前的身份認(rèn)證是在平臺(tái)環(huán)境下創(chuàng)建和管理的。

例如，F(xiàn)acebook帳戶允許用戶對(duì)Facebook平臺(tái)上的相關(guān)操作進(jìn)行身份驗(yàn)證，無(wú)論是用戶帖子還是經(jīng)典Farmville等游戲。

由于更接近元宇宙的去中心化身份模型，單點(diǎn)登錄允許應(yīng)用程序利用另一個(gè)合法身份權(quán)限者代表其對(duì)用戶進(jìn)行身份驗(yàn)證。

應(yīng)用程序可以為用戶提供“使用Facebook登錄”的操作，利用Facebook已經(jīng)認(rèn)證的身份進(jìn)行用戶授權(quán)。

為了實(shí)現(xiàn)元宇宙平臺(tái)上的真正互操作性，身份必須具有可移植性，而單一管理組織如Meta（正式Facebook）則不大可能擁有身份。相反的，我預(yù)測(cè)它會(huì)分散開來(lái)，歸個(gè)人所有。

很多Web3創(chuàng)業(yè)公司已經(jīng)開始追逐去中心化的身份，例如PhotoChromic，它將項(xiàng)目描述為通用數(shù)字身份，并利用不可替代令牌(NFT)將該身份存儲(chǔ)在區(qū)塊鏈上。

隨著我們的數(shù)字生活和現(xiàn)實(shí)生活開始逐漸融合，對(duì)去中心化身份的保護(hù)將變得越來(lái)越重要。試想您的數(shù)字身份在元宇宙中被竊取，然后被心懷不軌的人取而代之，進(jìn)入數(shù)字銀行和出納員進(jìn)行交流，那是多么糟糕的一件事。

2.保護(hù)元宇宙攻擊面  

側(cè)向攻擊是一種用于安全行業(yè)的術(shù)語(yǔ)，用于描述惡意行為者擴(kuò)展其訪問其他設(shè)備和通過網(wǎng)絡(luò)“移動(dòng)”的行為。

雖然安全專業(yè)人員習(xí)慣于保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)，但這些同樣的概念也需要擴(kuò)展到數(shù)字體驗(yàn)網(wǎng)絡(luò)的元宇宙中去。

在未來(lái)的元宇宙中，攻擊面（Fortinet將其定義為“所有未經(jīng)授權(quán)用戶訪問系統(tǒng)并提取數(shù)據(jù)的所有可能攻擊點(diǎn)或攻擊介質(zhì)的數(shù)量”）不僅包括數(shù)字體驗(yàn)，還包括所有其他相關(guān)體驗(yàn)。

明天你就可能會(huì)聽到惡意行為者從數(shù)字藝術(shù)博物館獲得權(quán)限后進(jìn)行側(cè)向攻擊，便可以不費(fèi)吹灰之力地進(jìn)入私人會(huì)議室。

3.保護(hù)智能合約  

我相信區(qū)塊鏈技術(shù)會(huì)成為解決元宇宙難題的關(guān)鍵部分，實(shí)現(xiàn)數(shù)據(jù)的去中心化和個(gè)人所有權(quán)。智能合約正在實(shí)現(xiàn)所有權(quán)與區(qū)塊鏈的交互。以太坊(Ethereum.org)將智能合同定義為：

“簡(jiǎn)單運(yùn)行在以太坊區(qū)塊鏈上的一個(gè)程序。它是代碼（功能）和數(shù)據(jù)（狀態(tài)）的集合，位于以太區(qū)塊鏈上的特定地址?！?/p>

智能合約的興起對(duì)安全專業(yè)人士提出了挑戰(zhàn)。首先，智能合約是由新編程語(yǔ)言寫的，其中最常見的是Solidity語(yǔ)言，它專門用于在以太坊區(qū)塊鏈上開發(fā)智能合約。

傳統(tǒng)的應(yīng)用程序安全（APPSEC）專業(yè)人員在學(xué)習(xí)這些語(yǔ)言和它們的功能方面需要花費(fèi)一些時(shí)間。目前這可能是一項(xiàng)艱巨的任務(wù)，因?yàn)閰^(qū)塊鏈當(dāng)前的發(fā)展?fàn)顟B(tài)是高度分散的，未來(lái)的市場(chǎng)份額贏家尚不清楚。這個(gè)GitHub由Chaincode Labs的研究人員Sergei Tikhomirov維護(hù)，截至本文撰寫時(shí)已列出61種主動(dòng)區(qū)塊鏈編程語(yǔ)言。

為了支持這些智能合約審核，也需要開發(fā)新的工具。現(xiàn)有的應(yīng)用程序開發(fā)安全程序利用靜態(tài)應(yīng)用程序安全測(cè)試（SAST）和動(dòng)態(tài)應(yīng)用程序安全測(cè)試（DAST）工具來(lái)自動(dòng)化這部分過程。

雖然有些開發(fā)者正在嘗試開發(fā)這些用于智能合約的工具，但這個(gè)領(lǐng)域仍有待開發(fā)和成熟。Pentestwiki.org列出了一些更成熟的工具，例如Slither。Chainlink還舉辦了一場(chǎng)精彩的網(wǎng)絡(luò)研討會(huì)，展示了智能合約安全審計(jì)的現(xiàn)狀。

4.元宇宙的治理、風(fēng)險(xiǎn)和合規(guī)性  

治理、風(fēng)險(xiǎn)與合規(guī)性（GRC）是安全行業(yè)的一個(gè)標(biāo)準(zhǔn)，專注于安全風(fēng)險(xiǎn)管理、組織戰(zhàn)略以及遵守組織的內(nèi)外部要求。合規(guī)審計(jì)、安全計(jì)劃領(lǐng)導(dǎo)、政策和程序制定以及法律等活動(dòng)都屬于該標(biāo)準(zhǔn)。

隨著未來(lái)元宇宙的出現(xiàn)，我預(yù)測(cè)新的安全和數(shù)據(jù)隱私法律法規(guī)將開始形成。企業(yè)將不得不投入巨資，以跟上當(dāng)前和未來(lái)的監(jiān)管形勢(shì)，由于《通用數(shù)據(jù)保護(hù)條例》（GDPR）和《加利福尼亞消費(fèi)者隱私法案》（CCPA）等數(shù)據(jù)保護(hù)法律的出現(xiàn)，許多組織已經(jīng)在努力解決這個(gè)問題。

隨著時(shí)間的流逝，這些規(guī)則會(huì)變得更加重要，因?yàn)樵钪姘褦?shù)字與人類身份相互聯(lián)系在一起，這是我們以前從未經(jīng)歷過的。

此外，我預(yù)測(cè)，某些實(shí)體的組織結(jié)構(gòu)將會(huì)向分布式、以貢獻(xiàn)為中心的模式轉(zhuǎn)變，這將給問責(zé)制帶來(lái)新的挑戰(zhàn)。去中心化自治組織（DAO）是基于區(qū)塊鏈技術(shù)的新興概念，Investopedia將其定義為：

“一種新形式的法律結(jié)構(gòu)。由于沒有中央管理機(jī)構(gòu)，DAO中的每個(gè)成員通常都有一個(gè)共同的目標(biāo)，努力以實(shí)體的最佳利益為行動(dòng)準(zhǔn)則。通過加密貨幣愛好者和區(qū)塊鏈技術(shù)的普及，DAO被用于以自下而上的管理方式進(jìn)行決策?！?/p>

作為DAO運(yùn)營(yíng)的組織，由于缺乏中心權(quán)力機(jī)構(gòu)，因此在執(zhí)行安全和數(shù)據(jù)保護(hù)方面會(huì)面臨新的挑戰(zhàn)。取而代之的是，權(quán)力分配給了共同決定組織行為的成員（令牌持有者）。

5.結(jié)論  

元宇宙為我們提供了一個(gè)令人興奮的創(chuàng)新機(jī)遇，使我們能夠更好地理解數(shù)字世界的演化。而重要的是，網(wǎng)絡(luò)安全行業(yè)必須與創(chuàng)新步伐保持同步。

安全專業(yè)人員需要針對(duì)這些新興的安全挑戰(zhàn)進(jìn)行針對(duì)性培訓(xùn)，并且在技術(shù)的開發(fā)過程中也要考慮到安全性?；ヂ?lián)網(wǎng)安全行業(yè)將迎來(lái)一段瘋狂而激動(dòng)人心的旅程。

原文鏈接：https://hackernoon.com/securing-the-metaverse-how-digitally-immersive-experiences-will-change-the-future-of-cybersecurity

譯者介紹

劉濤，51CTO社區(qū)編輯，某大型央企系統(tǒng)上線檢測(cè)管控負(fù)責(zé)人，主要職責(zé)為嚴(yán)格審核系統(tǒng)上線驗(yàn)收所做的漏掃、滲透測(cè)試以及基線檢查等多項(xiàng)檢測(cè)工作，擁有多年網(wǎng)絡(luò)安全管理經(jīng)驗(yàn)，多年P(guān)HP及Web開發(fā)和防御經(jīng)驗(yàn)，Linux使用及管理經(jīng)驗(yàn)，擁有豐富的代碼審計(jì)、網(wǎng)絡(luò)安全測(cè)試和威脅挖掘經(jīng)驗(yàn)。精通Kali下SQL審計(jì)、SQLMAP自動(dòng)化探測(cè)、XSS審計(jì)、Metasploit審計(jì)、CSRF審計(jì)、webshell審計(jì)、maltego審計(jì)等技術(shù)。