譯者 | 劉濤

審校 | 孫淑娟

元宇宙是一種虛擬現(xiàn)實(shí)空間，用戶可以在計(jì)算機(jī)生成的環(huán)境中進(jìn)行互動(dòng)。元宇宙的應(yīng)用范圍很廣，比如房地產(chǎn)，醫(yī)療，教育，軍事，游戲等等。它提供了更具沉浸感的體驗(yàn)，更好地現(xiàn)實(shí)生活整合，以及與網(wǎng)絡(luò)空間的新式互動(dòng)。換句話說(shuō)，元宇宙把網(wǎng)絡(luò)空間的質(zhì)量和數(shù)量提升到了一個(gè)新的高度。相比于傳統(tǒng)的網(wǎng)絡(luò)空間，元宇宙與現(xiàn)實(shí)世界的聯(lián)系更加緊密。

元宇宙并不局限于游戲領(lǐng)域。它在貨幣化和資產(chǎn)所有權(quán)方面也扮演了重要角色。區(qū)塊鏈允許訪問(wèn)元宇宙。在元宇宙中，虛擬資產(chǎn)和不動(dòng)產(chǎn)的所有權(quán)通過(guò)非同質(zhì)化代幣（NFTs）實(shí)現(xiàn)。

網(wǎng)絡(luò)安全和元宇宙

隨著時(shí)間的流逝，元宇宙的安全工具將不斷進(jìn)步，但是企業(yè)和個(gè)人在使用元宇宙時(shí)需要考慮以下困難：

• 防止欺詐，確保虛擬商品和NFTs的數(shù)字所有權(quán)
• 個(gè)人信息保護(hù)
• 元宇宙軟件安全性的不足
• 個(gè)人密鑰、seed和登錄都受到保護(hù)
• 隱私不足
• 社會(huì)工程和網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)
• 區(qū)塊鏈安全的優(yōu)缺點(diǎn)
• 與加密資產(chǎn)相關(guān)的洗錢風(fēng)險(xiǎn)
• 元宇宙中的商業(yè)網(wǎng)絡(luò)安全

元宇宙網(wǎng)絡(luò)安全

元宇宙中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與大多數(shù)Web 3.0項(xiàng)目中的風(fēng)險(xiǎn)相當(dāng)，例如黑客、漏洞利用和欺詐。黑客主要目的是想獲取私鑰，以便竊取錢包里的所有資產(chǎn)。

由于元宇宙在現(xiàn)實(shí)世界和數(shù)字世界之間架起了一座橋梁，因此元宇宙在網(wǎng)絡(luò)安全方面帶來(lái)了新的風(fēng)險(xiǎn)。大多數(shù)Web3.0項(xiàng)目保護(hù)您的匿名性，有些元宇宙項(xiàng)目把你的真實(shí)生活與虛擬生活結(jié)合起來(lái)。因此，在披露任何敏感信息之前，人們應(yīng)該對(duì)元宇宙項(xiàng)目的安全性和可信度充滿信心。

因?yàn)樵钪娆F(xiàn)在非常流行，騙子們?yōu)榱俗屖芎φ哌B接到自己的數(shù)字錢包，會(huì)制作虛假的元宇宙項(xiàng)目和游戲。網(wǎng)絡(luò)釣魚鏈接在Discord、Telegram和Twitter上也是一種常見(jiàn)的詐騙行為。因此，有必要對(duì)消息源的可信度進(jìn)行核查。

首要安全要?jiǎng)?wù)

今天的威脅形勢(shì)比以往任何時(shí)候都更加危險(xiǎn)。攻擊者使用人工智能（AI）和機(jī)器學(xué)習(xí)等先進(jìn)技術(shù)。同時(shí)，新的攻擊者從更容易獲取和負(fù)擔(dān)得起的犯罪服務(wù)產(chǎn)品中獲益。

隨著新技術(shù)的出現(xiàn)，與之相關(guān)的風(fēng)險(xiǎn)接踵而至。除此之外，新冠疫情的流行，以及企業(yè)越來(lái)越多地采用遠(yuǎn)程工作，也造成網(wǎng)絡(luò)攻擊不斷地增加。如果攻擊者在元宇宙的初始階段對(duì)其造成破壞，那么人們可能會(huì)放棄元宇宙。

此外，在設(shè)計(jì)元宇宙時(shí)，必須牢記用戶的虛擬身份。雖然元宇宙被設(shè)計(jì)并應(yīng)用到軟件中，但用戶必須使用智能眼鏡和VR頭盔才能獲得全貌。這就要求采取強(qiáng)有力的網(wǎng)絡(luò)安全措施，以應(yīng)對(duì)日益增長(zhǎng)的數(shù)字攻擊面和物理攻擊面。

應(yīng)對(duì)元宇宙網(wǎng)絡(luò)安全問(wèn)題

為了發(fā)展，元宇宙必須采用一個(gè)零信任模型，該模型建立在“從不信任、始終驗(yàn)證”的基礎(chǔ)上。零信任模型要求進(jìn)行嚴(yán)格的身份驗(yàn)證。它也使用持續(xù)的身份驗(yàn)證防止威脅或者限制訪問(wèn)措施。由于大量的數(shù)據(jù)托管在元宇宙中，因此零信任是減少和消除敏感數(shù)據(jù)盜竊的最有效方法。

人工智能也會(huì)在很多方面幫助保護(hù)元宇宙。例如，由 AI驅(qū)動(dòng)的網(wǎng)絡(luò)安全工具能夠分析整個(gè)網(wǎng)絡(luò)的用戶行為模式。

去中心化技術(shù)可能是保護(hù)知識(shí)產(chǎn)權(quán)和用戶身份的一個(gè)可行途徑。去中心化是 Web3.0的主要支柱，它的目標(biāo)是將用戶身份、數(shù)據(jù)和財(cái)產(chǎn)返還給合法擁有者，從而恢復(fù)用戶的權(quán)力。

元宇宙中的身份保護(hù)

AAA模型也稱為身份和訪問(wèn)管理(Identity and access management，IAM)，是處理機(jī)器和人類身份驗(yàn)證、授權(quán)和會(huì)計(jì)的網(wǎng)絡(luò)安全子集。

元宇宙的出現(xiàn)可能催生出新的用戶身份認(rèn)證模型，即使現(xiàn)在零信任架構(gòu)和 SSO目前仍是不斷發(fā)展的身份認(rèn)證前沿技術(shù)。

為了使數(shù)字體驗(yàn)具有互操作性，必須建立一個(gè)通用的、去中心化的標(biāo)識(shí)和存取管理框架，使身份創(chuàng)建和管理在當(dāng)前平臺(tái)環(huán)境中發(fā)揮作用。

Facebook帳戶允許用戶認(rèn)證臉書網(wǎng)站和平臺(tái)的相關(guān)經(jīng)歷，例如用戶發(fā)布的帖子和經(jīng)典的法姆維爾游戲。

與元宇宙的去中心化標(biāo)識(shí)模型更加接近，單一登錄允許應(yīng)用程序使用其他身份認(rèn)證提供程序代表它們對(duì)用戶進(jìn)行身份確認(rèn)。

大量的Web3創(chuàng)業(yè)公司已經(jīng)開(kāi)始競(jìng)爭(zhēng)去中心化的身份認(rèn)證模式。PhotoChromic就是這樣一個(gè)初創(chuàng)公司，它將該項(xiàng)目描述為一種通用數(shù)字標(biāo)識(shí)，使用不可替換令牌（NFTs）來(lái)存儲(chǔ)區(qū)塊鏈中的身份信息。隨著現(xiàn)實(shí)世界與虛擬世界的融合，確保去中心化身份認(rèn)證將變得更加重要。

保障智能合約

智能合約是一種計(jì)算機(jī)程序，它在滿足預(yù)定的條件下自動(dòng)執(zhí)行交易。它使用區(qū)塊鏈在相關(guān)各方之間執(zhí)行交易協(xié)議。由于其廣泛應(yīng)用于醫(yī)療、供應(yīng)鏈、金融等行業(yè)，有效驗(yàn)證技術(shù)的需求越來(lái)越大。區(qū)塊鏈將成為元宇宙的關(guān)鍵，它可以實(shí)現(xiàn)數(shù)據(jù)中心化和個(gè)人所有權(quán)。

智能合約的出現(xiàn)給安全專家?guī)?lái)了一些困難。首先，智能合約的創(chuàng)建使用了許多新型的編程語(yǔ)言，其中 Solidity是其中最流行的語(yǔ)言之一，尤其用來(lái)創(chuàng)建以太坊區(qū)塊鏈的智能合約。

此外，必須創(chuàng)建新的工具來(lái)幫助審核這些智能合同。現(xiàn)有的應(yīng)用開(kāi)發(fā)安全項(xiàng)目使用靜態(tài)應(yīng)用程序安全測(cè)試（SAST）和動(dòng)態(tài)應(yīng)用程序安全性測(cè)試（DAST）工具，以使部分審核過(guò)程自動(dòng)化。

元宇宙中的治理、風(fēng)險(xiǎn)和合規(guī)性

安全部門的一個(gè)子集稱為“治理、風(fēng)險(xiǎn)和合規(guī)”（GRC），它涉及管理安全風(fēng)險(xiǎn)、組織戰(zhàn)略以及對(duì)組織內(nèi)外要求的合規(guī)性，包括合規(guī)審計(jì)、安全計(jì)劃管理、政策和程序開(kāi)發(fā)以及法律等任務(wù)。

隨著元宇宙的未來(lái)出現(xiàn)，新的安全和數(shù)據(jù)隱私法律法規(guī)將會(huì)出現(xiàn)。組織需要大量投資以跟上當(dāng)前和未來(lái)的監(jiān)管形勢(shì)，由于像《加利福尼亞消費(fèi)者隱私法》和《一般數(shù)據(jù)保護(hù)條例》等數(shù)據(jù)保護(hù)法的出臺(tái)，許多組織已經(jīng)努力開(kāi)始應(yīng)對(duì)這一形勢(shì)。

此外，一些實(shí)體的組織結(jié)構(gòu)也將向去中心化的、以貢獻(xiàn)為中心的模式轉(zhuǎn)變，這給問(wèn)責(zé)制提出了新的挑戰(zhàn)。去中心化自治組織（DAO）是一種基于區(qū)塊鏈的新概念。由于沒(méi)有中央機(jī)構(gòu)，作為 DAO運(yùn)營(yíng)的組織在執(zhí)行安全和數(shù)據(jù)保護(hù)法律方面會(huì)遇到新的困難，例如安全違規(guī)通知要求。取而代之的是成員（代幣持有者）分享權(quán)力，共同決定組織的行為方式。

元宇宙為理解數(shù)字世界打開(kāi)了一個(gè)令人興奮的新機(jī)會(huì)。然而，網(wǎng)絡(luò)安全行業(yè)必須跟上創(chuàng)新的快速步伐。為了應(yīng)對(duì)這些新的安全挑戰(zhàn)，安全專業(yè)人員需要接受專門的培訓(xùn)，并且需要在創(chuàng)造技術(shù)時(shí)考慮到安全性。

譯者介紹

劉濤，51CTO社區(qū)編輯，某大型央企系統(tǒng)上線檢測(cè)管控負(fù)責(zé)人。

原文標(biāo)題：??Cybersecurity and the Metaverse: Guardians of the New Digital World??，作者：Udayan lahiri