譯者 | 劉濤

審校 | 孫淑娟

元宇宙是一種虛擬現(xiàn)實空間，用戶可以在計算機(jī)生成的環(huán)境中進(jìn)行互動。元宇宙的應(yīng)用范圍很廣，比如房地產(chǎn)，醫(yī)療，教育，軍事，游戲等等。它提供了更具沉浸感的體驗，更好地現(xiàn)實生活整合，以及與網(wǎng)絡(luò)空間的新式互動。換句話說，元宇宙把網(wǎng)絡(luò)空間的質(zhì)量和數(shù)量提升到了一個新的高度。相比于傳統(tǒng)的網(wǎng)絡(luò)空間，元宇宙與現(xiàn)實世界的聯(lián)系更加緊密。

元宇宙并不局限于游戲領(lǐng)域。它在貨幣化和資產(chǎn)所有權(quán)方面也扮演了重要角色。區(qū)塊鏈允許訪問元宇宙。在元宇宙中，虛擬資產(chǎn)和不動產(chǎn)的所有權(quán)通過非同質(zhì)化代幣（NFTs）實現(xiàn)。

網(wǎng)絡(luò)安全和元宇宙

隨著時間的流逝，元宇宙的安全工具將不斷進(jìn)步，但是企業(yè)和個人在使用元宇宙時需要考慮以下困難：

• 防止欺詐，確保虛擬商品和NFTs的數(shù)字所有權(quán)
• 個人信息保護(hù)
• 元宇宙軟件安全性的不足
• 個人密鑰、seed和登錄都受到保護(hù)
• 隱私不足
• 社會工程和網(wǎng)絡(luò)攻擊風(fēng)險
• 區(qū)塊鏈安全的優(yōu)缺點
• 與加密資產(chǎn)相關(guān)的洗錢風(fēng)險
• 元宇宙中的商業(yè)網(wǎng)絡(luò)安全

元宇宙網(wǎng)絡(luò)安全

元宇宙中的網(wǎng)絡(luò)安全風(fēng)險與大多數(shù)Web 3.0項目中的風(fēng)險相當(dāng)，例如黑客、漏洞利用和欺詐。黑客主要目的是想獲取私鑰，以便竊取錢包里的所有資產(chǎn)。

由于元宇宙在現(xiàn)實世界和數(shù)字世界之間架起了一座橋梁，因此元宇宙在網(wǎng)絡(luò)安全方面帶來了新的風(fēng)險。大多數(shù)Web3.0項目保護(hù)您的匿名性，有些元宇宙項目把你的真實生活與虛擬生活結(jié)合起來。因此，在披露任何敏感信息之前，人們應(yīng)該對元宇宙項目的安全性和可信度充滿信心。

因為元宇宙現(xiàn)在非常流行，騙子們?yōu)榱俗屖芎φ哌B接到自己的數(shù)字錢包，會制作虛假的元宇宙項目和游戲。網(wǎng)絡(luò)釣魚鏈接在Discord、Telegram和Twitter上也是一種常見的詐騙行為。因此，有必要對消息源的可信度進(jìn)行核查。

首要安全要務(wù)

今天的威脅形勢比以往任何時候都更加危險。攻擊者使用人工智能（AI）和機(jī)器學(xué)習(xí)等先進(jìn)技術(shù)。同時，新的攻擊者從更容易獲取和負(fù)擔(dān)得起的犯罪服務(wù)產(chǎn)品中獲益。

隨著新技術(shù)的出現(xiàn)，與之相關(guān)的風(fēng)險接踵而至。除此之外，新冠疫情的流行，以及企業(yè)越來越多地采用遠(yuǎn)程工作，也造成網(wǎng)絡(luò)攻擊不斷地增加。如果攻擊者在元宇宙的初始階段對其造成破壞，那么人們可能會放棄元宇宙。

此外，在設(shè)計元宇宙時，必須牢記用戶的虛擬身份。雖然元宇宙被設(shè)計并應(yīng)用到軟件中，但用戶必須使用智能眼鏡和VR頭盔才能獲得全貌。這就要求采取強(qiáng)有力的網(wǎng)絡(luò)安全措施，以應(yīng)對日益增長的數(shù)字攻擊面和物理攻擊面。

應(yīng)對元宇宙網(wǎng)絡(luò)安全問題

為了發(fā)展，元宇宙必須采用一個零信任模型，該模型建立在“從不信任、始終驗證”的基礎(chǔ)上。零信任模型要求進(jìn)行嚴(yán)格的身份驗證。它也使用持續(xù)的身份驗證防止威脅或者限制訪問措施。由于大量的數(shù)據(jù)托管在元宇宙中，因此零信任是減少和消除敏感數(shù)據(jù)盜竊的最有效方法。

人工智能也會在很多方面幫助保護(hù)元宇宙。例如，由 AI驅(qū)動的網(wǎng)絡(luò)安全工具能夠分析整個網(wǎng)絡(luò)的用戶行為模式。

去中心化技術(shù)可能是保護(hù)知識產(chǎn)權(quán)和用戶身份的一個可行途徑。去中心化是 Web3.0的主要支柱，它的目標(biāo)是將用戶身份、數(shù)據(jù)和財產(chǎn)返還給合法擁有者，從而恢復(fù)用戶的權(quán)力。

元宇宙中的身份保護(hù)

AAA模型也稱為身份和訪問管理(Identity and access management，IAM)，是處理機(jī)器和人類身份驗證、授權(quán)和會計的網(wǎng)絡(luò)安全子集。

元宇宙的出現(xiàn)可能催生出新的用戶身份認(rèn)證模型，即使現(xiàn)在零信任架構(gòu)和 SSO目前仍是不斷發(fā)展的身份認(rèn)證前沿技術(shù)。

為了使數(shù)字體驗具有互操作性，必須建立一個通用的、去中心化的標(biāo)識和存取管理框架，使身份創(chuàng)建和管理在當(dāng)前平臺環(huán)境中發(fā)揮作用。

Facebook帳戶允許用戶認(rèn)證臉書網(wǎng)站和平臺的相關(guān)經(jīng)歷，例如用戶發(fā)布的帖子和經(jīng)典的法姆維爾游戲。

與元宇宙的去中心化標(biāo)識模型更加接近，單一登錄允許應(yīng)用程序使用其他身份認(rèn)證提供程序代表它們對用戶進(jìn)行身份確認(rèn)。

大量的Web3創(chuàng)業(yè)公司已經(jīng)開始競爭去中心化的身份認(rèn)證模式。PhotoChromic就是這樣一個初創(chuàng)公司，它將該項目描述為一種通用數(shù)字標(biāo)識，使用不可替換令牌（NFTs）來存儲區(qū)塊鏈中的身份信息。隨著現(xiàn)實世界與虛擬世界的融合，確保去中心化身份認(rèn)證將變得更加重要。

保障智能合約

智能合約是一種計算機(jī)程序，它在滿足預(yù)定的條件下自動執(zhí)行交易。它使用區(qū)塊鏈在相關(guān)各方之間執(zhí)行交易協(xié)議。由于其廣泛應(yīng)用于醫(yī)療、供應(yīng)鏈、金融等行業(yè)，有效驗證技術(shù)的需求越來越大。區(qū)塊鏈將成為元宇宙的關(guān)鍵，它可以實現(xiàn)數(shù)據(jù)中心化和個人所有權(quán)。

智能合約的出現(xiàn)給安全專家?guī)砹艘恍├щy。首先，智能合約的創(chuàng)建使用了許多新型的編程語言，其中 Solidity是其中最流行的語言之一，尤其用來創(chuàng)建以太坊區(qū)塊鏈的智能合約。

此外，必須創(chuàng)建新的工具來幫助審核這些智能合同?，F(xiàn)有的應(yīng)用開發(fā)安全項目使用靜態(tài)應(yīng)用程序安全測試（SAST）和動態(tài)應(yīng)用程序安全性測試（DAST）工具，以使部分審核過程自動化。

元宇宙中的治理、風(fēng)險和合規(guī)性

安全部門的一個子集稱為“治理、風(fēng)險和合規(guī)”（GRC），它涉及管理安全風(fēng)險、組織戰(zhàn)略以及對組織內(nèi)外要求的合規(guī)性，包括合規(guī)審計、安全計劃管理、政策和程序開發(fā)以及法律等任務(wù)。

隨著元宇宙的未來出現(xiàn)，新的安全和數(shù)據(jù)隱私法律法規(guī)將會出現(xiàn)。組織需要大量投資以跟上當(dāng)前和未來的監(jiān)管形勢，由于像《加利福尼亞消費者隱私法》和《一般數(shù)據(jù)保護(hù)條例》等數(shù)據(jù)保護(hù)法的出臺，許多組織已經(jīng)努力開始應(yīng)對這一形勢。

此外，一些實體的組織結(jié)構(gòu)也將向去中心化的、以貢獻(xiàn)為中心的模式轉(zhuǎn)變，這給問責(zé)制提出了新的挑戰(zhàn)。去中心化自治組織（DAO）是一種基于區(qū)塊鏈的新概念。由于沒有中央機(jī)構(gòu)，作為 DAO運營的組織在執(zhí)行安全和數(shù)據(jù)保護(hù)法律方面會遇到新的困難，例如安全違規(guī)通知要求。取而代之的是成員（代幣持有者）分享權(quán)力，共同決定組織的行為方式。

元宇宙為理解數(shù)字世界打開了一個令人興奮的新機(jī)會。然而，網(wǎng)絡(luò)安全行業(yè)必須跟上創(chuàng)新的快速步伐。為了應(yīng)對這些新的安全挑戰(zhàn)，安全專業(yè)人員需要接受專門的培訓(xùn)，并且需要在創(chuàng)造技術(shù)時考慮到安全性。

譯者介紹

劉濤，51CTO社區(qū)編輯，某大型央企系統(tǒng)上線檢測管控負(fù)責(zé)人。

原文標(biāo)題：??Cybersecurity and the Metaverse: Guardians of the New Digital World??，作者：Udayan lahiri