Dark background with blue code overlay
博客

在迈向元宇宙的道路上,当下亟待应对的安全挑战

Jonathan Singer

Written by

Jonathan Singer

December 28, 2021

metaverse.png

元宇宙,可谓是当下的热门话题之一。它甚至引起了许多主流新闻媒体的争相报道。那么,到底什么是元宇宙 (Metaverse)?为什么企业的首席安全官需要关注它?

从本质上讲,元宇宙是下一个新的互联网时代。虽然主流媒体可能会说,没人知道它到底会是什么样,但他们只说对了一部分。事实上,有许多人对于元宇宙的概念已经窥见一斑,并且正在构建其中的某些部分。但还有相当一部分人坚持认为,只有窥见其全貌,才能令它发挥作用。

为了帮助用户了解元宇宙的概念,我们以虚拟真人秀节目 Alter Ego为例。这是一档类似《好声音》的选秀节目,让参赛选手可以不拘泥于外表,隐身在他们的虚拟形象后表演。坦白说,这实在是太酷了。它也让我们对元宇宙的概念有了些许了解。《连线》杂志的创始人凯文·凯利 (Kevin Kelly) 在 2019 年撰写的一篇关于元宇宙的文章中说道:“当元宇宙构建完成时,我们的现实世界与数字宇宙将会合二为一。”

马修·鲍尔 (Matthew Ball) 是一位风险投资家(如果我曾经提及过风险投资家,那我以往对他们的理解可能过于浅显了),他写过一本广受欢迎的 入门级读物《元宇宙的框架》 。我在这里引用他的一段话:

“元宇宙是一个庞大的网络,由持久、实时渲染的 3D 世界和模拟组成,支持身份、对象、历史数据、支付和授权的连续性,可以由数目不限的用户同步高效使用,并让每个用户都有自己的存在感。”

我对这一定义进行了分解,总结出企业的首席安全官及其团队可能面临的部分挑战。

定义

挑战

元宇宙是一个 庞大的网络,

身份验证、访问策略、恶意软件、加密和安全流量、DNS 安全性、Web 应用程序攻击

持久

正常运行时间、DDoS 攻击、突发的大量访问

实时

安全性与性能的权衡、API 安全性、流媒体保护、反盗版

渲染的 3D 世界和模拟组成,

欺诈、物理/访问安全性、硬件/物联网安全性、内容完整性

支持 身份

安全注册、凭据调配、授权

对象、

加密、PII、欺诈预防、知识产权

历史数据、

PII、加密

支付、

PII、加密、欺诈预防、PCI 合规性、标记化、支付风险

和授权的连续性,

加密、PII、欺诈预防、知识产权、支付安全性

可以由 数目不限的用户同步高效使用,并让每个用户都有自己的存在感。”

突发的大量访问、MFA、大规模安全性

(在此向马修致以歉意…)

这当然只是我个人的一点分析,但不可否认的是,元宇宙的出现正在极大地扩张整个威胁格局。可以想象,元宇宙对企业的安全领导层来说,已经不仅仅是创造力的发挥。它关乎到企业的理想未来,所以从现在开始就要进行规划。

透过游戏行业的安全性探索元宇宙

为了迎接元宇宙的到来,以及应对在此之前出现的各种挑战,我们建议各行业的所有首席安全官都来先熟悉一下游戏行业的受众群体和安全挑战。

元宇宙现有的基础技术很大一部分来自游戏行业,并且深受其影响。不仅是技术,游戏行业的业务模型也广泛应用于各行各业。 视频音乐体育健身医学行业培训 以及其他多个行业都曾借鉴游戏行业的发展经验,这使得游戏行业成为企业探秘元宇宙的一个有力载体。

游戏行业对自身安全问题的担忧主要涵盖以下四个方面:

1.帐户接管

2.知识产权窃取(数据渗透)

3.作弊

4.正常运行时间威胁(DDoS 攻击等)

本文将重点介绍帐户接管,因为它非常有力地阐明了从现在到进入元宇宙时代的这段时间的安全趋势。Akamai 对于游戏领域的问题知之甚深。我还写了一篇有关 犯罪分子针对游戏行业的攻击方式和原因的文章,我在 Akamai 的同事也撰写了两篇有关游戏安全的最新《互联网现状》报告: 《保障安全岂能单打独斗》《疫情下的游戏行业》。每一篇文章都从几个方面分析了,在攻击者接连不断的攻击下,应该如何保持系统在线和正常运行。《保障安全岂能单打独斗》报告中还介绍了 Akamai 与国际游戏会议组织 DreamHack(现称 ESL Gaming)针对硬核玩家合作开展的一项调查的结果,旨在更好地了解玩家对游戏安全性的感受,以及在涉及到保护自己的游戏帐户时他们认为个人应承担多大的责任。主要发现包括:

  • 犯罪分子发起攻击的目的是为了谋利(显而易见!),而且真正有价值的往往不是 PII,而是帐户本身。 这一点非常重要,在元宇宙中也不容忽视。在十年前,帐户的主要价值在于信用卡号,以及任何可能帮助犯罪分子入侵银行账户的信息。时至今日,帐户本身就是一笔财富,因为玩家在其中投入了游戏时间并积攒了游戏道具。这些投入了玩家大量时间和积攒了众多装备的帐户一旦被盗,即可让其购买者不费吹灰之力便能够在游戏中达到高段位水平。游戏道具也可以在第三方市场出售,换取真金白银。这种形式的虚拟价值已经反映在投资界,从人们购买 NFT 代币便可窥见一斑。随着整个世界和您的企业朝着元宇宙迈进,保护帐户和访问权限仍将是企业的首要任务。

  • 游戏等行业深受犯罪分子的关注,因为这些行业的用户社区具有可支配的收入,并且频繁进行交易。 因此,游戏行业饱受各种攻击的狂轰乱炸。在过去的一年中,游戏行业遭受的 Web 攻击数量增加 340%,凭据攻击数量增加 224%。这些撞库活动频频取得成功。根据我们与 DreamHack/ESL 针对 1,253 名硬核玩家(其中 81% 的玩家每天玩游戏)合作开展的调查,52% 的玩家曾经至少有一个帐户被黑客入侵,70% 的玩家遭遇过被黑客窃取的帐户在网上进行售卖的情况。有了游戏帐户的前车之鉴,企业未来在处理不同行业和服务的元宇宙帐户时必须慎而重之。

  • 客户需要您保驾护航。 透过与 DreamHack/ESL 合作开展的调查,我们还发现,有 76% 的受访者认为游戏公司应该对玩家的帐户安全负责。但这实际上是一道多选题:其中还有 67% 的受访者表示,游戏玩家本身也应该对自己的帐户负责。当所有公司都将业务运营迁移到元宇宙之后,公司与用户和员工围绕帐户安全开展合作将成为客户体验和品牌关系的重要组成部分,同时也将扩大安全性在企业中的作用。

随着我们过渡到元宇宙,企业的攻击面将会随着其规模增长。为了确保“另一个世界”(元宇宙)正常运转,各个行业需要更好地整合安全策略,同时竞争者们和他们的安全服务供应商也需要群策群力,高效保护用户帐户信息的安全。与此同时,安全领导者们需要深度分析其帐户安全实践的现状,并寻找新的途径与用户合作和培训用户,从而为应对未来可能面临的其他复杂挑战做好充分准备。

详细了解 Akamai 如何助力 游戏业发展。

 



Jonathan Singer

Written by

Jonathan Singer

December 28, 2021