Dark background with blue code overlay
Blog

Tendências de segurança para abordar agora, no nosso caminho para o metaverso

Jonathan Singer

Written by

Jonathan Singer

December 28, 2021

metaverse.png

O metaverso. É muito relevante. Até chegou ao ponto onde os principais canais de notícias escrevem sobre ele. Mas o que ele é? E por que um CSO deveria se importar?

O metaverso é basicamente a nova versão da internet. E, embora a imprensa tradicional possa dizer que ninguém sabe como ele será, isso é apenas parcialmente verdade. Existem muitas pessoas que sabem como algumas partes serão, porque estão construindo-as agora. E há várias outras com uma visão razoavelmente sólida sobre como ele tem que ser para funcionar.

Para entender um pouco, pense no programa Alter Ego, uma competição de talentos (como o “The Voice”) que permite que as pessoas que se sentem impedidas pela sua aparência física cantem “atrás” do seu avatar. E convenhamos: isso é bem legal. E nos dá uma ideia de como será a experiência no metaverso. Como Kevin Kelly, da Wired, escreveu em uma história sobre o assunto em 2019: “quando [o metaverso] estiver completo, nossa realidade física se fundirá com o universo digital.”

Matthew Ball é um investidor (uma simplificação excessiva, se é que eu já escrevi uma), e ele escreveu uma extensa base e estrutura sobre o metaverso. Vou citá-lo aqui:

“O metaverso é uma ampla rede de mundos 3D renderizados persistentes e em tempo real e simulações que suportam a continuidade de identidade, objetos, histórico, pagamentos e direitos, e pode ser experimentado de forma síncrona por um número efetivamente ilimitado de usuários, cada um com um senso de presença individual.”

Eu separei essa definição para montar alguns dos desafios que podemos esperar que o metaverso ofereça para as CSOs e suas equipes. 

Definição

Desafios

O metaverso é uma rede ampla

autenticação, políticas de acesso, malware, criptografia e tráfego seguro, segurança de DNS, ataques a apps da Web

de persistente,

atividades, ataques DDoS, picos de tráfego

tempo real

segurança versus compensações de desempenho, segurança de API, proteção de fluxo, antipirataria

renderizado mundos e simulações 3D

fraude, segurança física/de acesso, segurança de hardware/IoT, integridade do conteúdo

que dão suporte a continuidade de identidade,

registro seguro, provisionamento de credenciais, autorização

objetos,

criptografia, PII, prevenção contra fraudes, direitos de propriedade intelectual

história, 

PII, criptografia

pagamentos, 

PII, criptografia, prevenção contra fraudes, conformidade com PCI (Payment Card Industry), geração de tokens, risco de pagamento

e direitos,

criptografia, PII, prevenção contra fraudes, direitos de propriedade intelectual, segurança de pagamento

e pode ser experimentado de maneira síncrona por um número efetivamente ilimitado de usuários, cada um com um sentido individual de presença.”

picos de tráfego, MFA, segurança em escala

(Desculpas ao Matthew...)

Este exercício é um pouco cômico, é claro, mas o ponto é que o advento do metaverso vai expandir muito o cenário de ameaças. Então, imagine que o metaverso é mais do que um exercício criativo para a liderança em segurança. Ele é o futuro, um futuro para o qual você já precisa começar a se preparar.

A segurança dos jogos oferece insights do metaverso

Para se preparar para o metaverso e para tudo o que existe entre o passado e a atualidade, recomendamos que todos os CSOs, independentemente do setor, se familiarizem com o público e com os desafios de segurança do setor de jogos.

Os jogos já instauram e influenciam uma parcela significativa da tecnologia de base do metaverso. Além da tecnologia, seus modelos de negócios também estão sendo adaptados e aproveitados em todos os setores. Os setores de vídeo, música, esportes, fitness, medicina e treinamento industrial (entre outros) já estão adotando itens do setor de jogos, tornando-o um microcosmo útil do que está por vir no metaverso.

O setor de jogos tende a se preocupar com quatro grandes grupos de problemas de segurança:

1. Controle da conta

2. Roubo de propriedade intelectual (exfiltração de dados)

3. Trapaça

4. Ameaças de tempo de atividade (DDoS, etc.)

Aqui, nos concentraremos na apropriação indevida de contas, pois ela fornece uma ilustração útil das tendências de segurança a serem observadas entre o agora e o metaverso. Na Akamai, temos uma forte visibilidade dos problemas no espaço de jogos. Eu escrevi um artigo sobre como e por que os criminosos atacam o setor de jogos, e meus colegas da Akamai criaram dois relatórios “State of the Internet” recentes sobre segurança de jogos: Segurança não é um jogo solo e O setor de jogos na pandemia. Cada um desses itens examina vários aspectos do que é necessário para manter os sistemas online e funcionando, apesar dos esforços incansáveis dos invasores. O relatório “Segurança não é um jogo solo” também apresenta os resultados de uma pesquisa de jogadores linha dura, que a Akamai realizou em parceria com a organização internacional de conferências de jogos DreamHack (agora ESL Gaming) para entender melhor como os jogadores se sentem sobre a segurança de seus jogos e quanto de responsabilidade pessoal eles acreditam ser garantida quando se trata de proteger suas próprias contas de jogos. As principais descobertas incluem:

  • Os criminosos estão em busca de dinheiro (óbvio!), e o valor muitas vezes não está em PII, e sim na própria conta. Essa é uma questão particularmente relevante e que também será importante no metaverso. Há dez anos, o valor principal de qualquer conta era em números de cartão de crédito e qualquer informação que pudesse ajudar um criminoso a entrar em uma conta bancária. Agora, as contas em si têm valor na forma de tempo do jogador e de seus itens no jogo. As contas às quais os jogadores dedicaram tempo jogando e que acumularam equipamentos podem permitir que os compradores de contas roubadas joguem em um alto nível sem precisarem se esforçar. Os produtos no jogo também podem ser vendidos em mercados de terceiros por quantias em dinheiro. Essa forma de valor virtual já está sendo refletida na comunidade de investimentos com pessoas comprando NFTS. À medida que o mundo e sua empresa avançam em direção à operação no metaverso, a proteção de contas e de acesso continuará sendo uma prioridade máxima.

  • Os criminosos estão altamente focados em setores como o de jogos, onde a comunidade de usuários tem renda disponível e realiza transações com frequência. O setor de jogos está sob ataque constante. No ano passado, observamos um aumento de 340% nos ataques à Web e um aumento de 224% nos ataques de credenciais. As campanhas de credential stuffing são frequentemente bem-sucedidas. Aprendemos com nossa pesquisa DreamHack/ESL com 1.253 jogadores ávidos (81% joga todos os dias) que 52% tiveram pelo menos uma de suas contas hackeadas, e 70% já viram contas hackeadas sendo vendidas online. Considere o estado das contas de jogos aqui como um termômetro para o tratamento de futuras contas do metaverso, em uma variedade de setores e serviços.

  • Os clientes querem sua ajuda. Nossa pesquisa com a DreamHack/ESL também revelou que 76% dos entrevistados acham que as empresas de jogos são responsáveis pela segurança da conta. No entanto, foi uma pergunta de múltipla escolha: 67% dos mesmos entrevistados indicaram que eles, os jogadores, também devem ser responsáveis. À medida que cada empresa se move para fazer negócios no metaverso, a parceria com seus usuários e funcionários em torno da segurança da conta se tornará uma parte maior da experiência do cliente e do relacionamento com a marca, expandindo o papel da segurança na empresa. 

À medida que nos movemos em direção ao metaverso, a superfície de ataque de sua organização crescerá por níveis de magnitude. Para manter esse “outro mundo” em funcionamento, as estratégias de segurança precisarão ser melhor alinhadas entre os setores, e os concorrentes e seus fornecedores de segurança podem precisar fazer parcerias para manter as informações de conta dos usuários seguras. Enquanto isso, os líderes de segurança que examinam detalhadamente o estado atual de suas práticas de segurança de conta e consideram novas maneiras de se fazer parcerias e treinar seus usuários estarão mais bem preparados para gerenciar as outras complexidades que ainda estão por vir. 

Leia mais sobre o que a Akamai ajuda a tornar possível no setor de jogos.

 



Jonathan Singer

Written by

Jonathan Singer

December 28, 2021