Dark background with blue code overlay
Blog

Nuove sfide di sicurezza da affrontare, sulla strada per il metaverse

Jonathan Singer

Written by

Jonathan Singer

December 28, 2021

metaverse.png

Il metaverse sta diventando una questione piuttosto importante. Talmente importante che se ne sente parlare sulle pagine delle principali testate giornalistiche. Ma di cosa si tratta? E perché dovrebbe interessare a un CSO?

Il metaverse è essenzialmente la prossima iterazione di Internet. E nonostante la stampa tradizionalista affermi che nessuno sa quale sarà la sua struttura, questa notizia è vera solo in parte. Sono molte le persone che lo conoscono, proprio perché lo stanno creando in questo momento. E ce ne sono molte altre che hanno una visione piuttosto chiara di come dovrà essere per poter funzionare.

Per farvi un'idea, pensate allo spettacolo Alter Ego, una competizione musicale (simile a "The Voice") che consente ai partecipanti, che non vogliono mostrare il proprio aspetto fisico, di cantare utilizzando un avatar. Ammettiamolo: è pazzesco, ma ci dà un assaggio di come sarà il metaverse. Come ha scritto Kevin Kelly di Wired in un articolo pubblicato nel 2019: "quando [il metaverse] sarà completo, la nostra realtà fisica si fonderà con l'universo digitale."

Matthew Ball è un investitore in capitali di rischio (in realtà molto più di questo) che ha scritto un manuale e un modello per il metaverse. Lo cito:

"Il metaverse è un'ampia rete di persistenti, accessibili in tempo reale e renderizzati mondi 3D e simulazioni, che supportano la continuità di identità, oggetti, cronologia, pagamenti e diritti, i quali possono essere sperimentati in modo sincrono da un numero effettivamente illimitato di utenti, ciascuno con un senso individuale di presenza."

Ho scomposto questa definizione per riunire alcune delle possibili sfide che il metaverse potrebbe presentare ai CSO e ai loro team. 

Definizione

Sfide

Il metaverse è un'ampia rete

autenticazione, policy di accesso, malware, traffico crittografato e sicuro, sicurezza DNS, attacchi alle app web

di persistenti,

tempo di attività, attacchi DDoS, sovraffollamento improvviso

accessibili in tempo reale

sicurezza e compromesso sulle prestazioni, sicurezza delle API, protezione dello streaming, antipirateria

e renderizzati mondi 3D e simulazioni,

frodi, sicurezza fisica/di accesso, sicurezza hardware/IoT, integrità dei contenuti

che supportano la continuità di identità,

registrazione sicura, provisioning di credenziali, autorizzazioni

oggetti,

crittografia, PII, prevenzione dalle frodi, diritti di proprietà intellettuale

cronologia, 

PII, crittografia

pagamenti, 

PII, crittografia, prevenzione delle frodi, conformità PCI, tokenizzazione, rischio di pagamenti

e diritti,

crittografia, PII, prevenzione dalle frodi, diritti di proprietà intellettuale, sicurezza nei pagamenti

i quali possono essere sperimentati in modo sincrono da un numero effettivamente illimitato di utenti, ciascuno con un senso individuale di presenza."

sovraffollamento improvviso, MFA, sicurezza su vasta scala

(Matthew perdonaci...)

Con questo esercizio volevamo fare dell'ironia, ovviamente, ma il punto è che l'avvento del metaverse espanderà notevolmente il panorama delle minacce. Quindi immaginare il metaverse è molto di più di un esercizio creativo per i responsabili della sicurezza. È il futuro, un futuro che idealmente dovete cominciare a pianificare da subito.

La sicurezza nel settore del gaming offre già informazioni sul metaverse

Per prepararsi al metaverse e a tutto ciò che avverrà nel frattempo, consigliamo a tutti i CSO, a prescindere dal settore di appartenenza, di acquisire familiarità con le sfide relative alla sicurezza e agli utenti del settore del gaming.

Il gaming sta già condizionando e apportando un contributo significativo alla tecnologia di base del metaverse. Oltre alla tecnologia, anche i suoi modelli aziendali vengono adattati e sfruttati analogamente in tutti i settori. Le aziende che operano nel settore video, musica, sport, fitness, medicinae formazione industriale, (tra gli altri) stanno già attingendo al gaming, trasformandolo in un microcosmo utile a immaginare cosa ci attende nel metaverse.

In tema di sicurezza, il settore del gaming è attento a quattro punti principali:

1. Controllo degli account

2. Furto di proprietà intellettuale (esfiltrazione di dati)

3. Alterazioni

4. Minacce durante il tempo di attività (DDoS, ecc.)

Per il momento ci soffermeremo sul controllo degli account, poiché fornisce una panoramica delle sfide di sicurezza che si presenteranno sulla strada per il metaverse. Noi di Akamai abbiamo una forte visibilità sui problemi che affliggono il settore del gaming. Ho scritto un articolo su come e perché i criminali attaccano il settore del gaming, mentre i miei colleghi di Akamai hanno stilato due rapporti sullo "stato di Internet" relativi alla sicurezza nel gaming: La sicurezza è un gioco di squadra e Gaming e pandemia. Ciascuno di questi esamina i diversi aspetti da considerare per mantenere i sistemi operativi nonostante gli implacabili attacchi dei malintenzionati. La sicurezza è un gioco di squadra presenta anche i risultati di un sondaggio condotto su giocatori hardcore, che Akamai ha realizzato in collaborazione con DreamHack, una società che organizza competizioni di gaming a livello internazionale (ora ESL Gaming) per comprendere meglio cosa pensano i giocatori sulla sicurezza dei loro giochi e quanta responsabilità personale ritengono entri in gioco quando si tratta di proteggere i loro account. Ecco alcune riflessioni interessanti:

  • I criminali lo fanno per i soldi (ovviamente!) e il valore non è dato dal PII, ma dall'account stesso. Questo è un punto fondamentale anche per il metaverse. Dieci anni fa, il valore primario di un account era dato dai numeri della carta di credito e da qualsiasi informazione utile al criminale per accedere al conto bancario. Oggi, sono gli stessi account ad avere valore poiché contengono ciò che il giocatore ha accumulato nel tempo. Gli account, che testimoniano il tempo speso dal giocatore e le sue conquiste, consentono a chi acquista gli account rubati di giocare ad alti livelli senza impiegare il minimo sforzo. Inoltre, le merci all'interno del gioco possono essere vendute a mercati di terze parti in cambio di denaro vero. Questa forma di valore virtuale si sta già riversando sulle comunità di investimento, attraverso l'acquisto di NFT. E dal momento che il mondo e le vostre aziende si stanno muovendo in direzione del metaverse, la sicurezza degli account e degli accessi continuerà a essere una priorità assoluta.

  • I malintenzionati prendono di mira i settori come quello del gaming perché la comunità di utenti tende a effettuare spesso transazioni di denaro. Per questa ragione il gaming è soggetto a continui attacchi. Lo scorso anno gli attacchi web sono aumentati del 340%, mentre quelli alle credenziali hanno registrato un incremento del 224%. Queste campagne di credential stuffing spesso hanno avuto successo. Dal nostro sondaggio DreamHack/ESL abbiamo appreso che dei 1.253 giocatori hardcore (l'81% gioca ogni giorno) il 52% ha subito attacchi da parte di hacker e il 70% ha dichiarato che il proprio account è stato venduto online. Considerate queste informazioni sullo stato degli account del gaming come un campanello d'allarme che vi preparerà a gestire gli account futuri del metaverse in vari settori e servizi.

  • I clienti hanno bisogno del vostro aiuto. Il nostro sondaggio con DreamHack/ESL ha inoltre rivelato che il 76% degli intervistati ha attribuito la responsabilità della sicurezza del proprio account alle società di gaming. Si trattava, però, di una domanda a risposta multipla: il 67% degli stessi intervistati ha dichiarato che anche i giocatori sono responsabili. Considerando che ogni società si sta attrezzando per operare nel metaverse, la partnership con i vostri utenti e dipendenti per affinare la sicurezza degli account diventerà una parte essenziale della customer experience e delle relazioni con il brand. 

Man mano che ci avviciniamo al metaverse, la superficie di attacco della vostra organizzazione crescerà a dismisura. Per mantenere questo "altro mondo" in movimento, le strategie di sicurezza dovranno allinearsi meglio tra i settori, attraverso uno sforzo congiunto con la concorrenza e i vari fornitori di servizi di sicurezza. Nel frattempo, i responsabili della sicurezza dovranno esaminare attentamente lo stato attuale delle loro pratiche di protezione degli account e valutare nuovi modi per collaborare con i loro utenti, per essere preparati a gestire le molteplici complessità in arrivo. 

Leggi ulteriori informazioni su come Akamai può aiutare il settore del gaming.

 



Jonathan Singer

Written by

Jonathan Singer

December 28, 2021