地平线扫描：网络安全和元宇宙

作者：Matias Madou，Secure Code Warrior首席技术官兼联合创始人。

随着大家开始关注元宇宙平台，需要考虑相关的网络安全威胁。Matias Madou 研究了与元宇宙相关的网络安全问题并提供了一些建议……

McAfee 的研究发现，在新冠疫情大流行期间，81% 的全球组织经历了越来越多的网络威胁。由于大流行迫切需要虚拟工作，组织之间的网络安全态势得到了测试，并促使企业加强网络战略，例如代码级软件安全。

可衡量的安全意识和采取预防性思维方式的必要性现在至关重要，网络犯罪分子现在开始瞄准几个新兴技术领域。发展最快的一个是元宇宙，它正迅速成为网络犯罪分子瞄准的最新攻击面。

在网络安全方面，这是一个日益严重的大问题。一些世界上最大的组织（如 Meta）正在设计创建持久、共享和沉浸式的虚拟世界，人们在其中作为 3D 化身进行交互。随着大量新的基础设施和设备被纳入这些新的虚拟世界，与之相关的网络安全风险自然会增加。

扩大威胁

虽然像网络钓鱼诈骗这样的一般网络安全陷阱将是不可避免的（并且在每个人都在虚拟世界中站稳脚跟时可能很多），但还有一系列其他威胁可能会出现。

业内评论从一开始就关注集成到元宇宙平台的安全级别，以及这是否会决定它们在消费者中的成功程度。旨在利用 Web 服务的攻击可能会在虚拟世界中提出类似的挑战。作为零日攻击的一部分，不良行为者通常使用的跨站点脚本、SQL 注入和 Web Shell 技术也可能继续成为虚拟应用程序的主要障碍。

此外，使这个沉浸式虚拟世界成为可能的实际基础设施和设备需要确保安全。虚拟现实 (VR) 耳机是通往海量用户数据的新门户。随着使用量的增加，将需要复杂的嵌入式系统安全性来确保物联网 (IoT) 小工具的安全，主流 VR 和增强现实 (AR) 的勇敢新世界也不例外。

AR 和 VR 耳机可以作为数据泄露和恶意软件的入口点。毕竟，他们收集了大量的用户数据和情报，其中可能包括生物特征信息，这可能成为黑客的目标。此外，与 Log4Shell 漏洞利用一样，代码级别的简单错误可能会成为网络犯罪分子的后台通行证，并且在模拟现实中，每个动作都会产生可以被盗的数据。 

元宇宙的成功也将取决于加密货币的实际采用。不可替代的代币，称为 NFT，意味着我们现实生活中的财富、身份、数据和生计可能会向一个新的“狂野西部”开放，这可能会使人们处于危险之中。事实上，我们已经看到 NFT 诈骗的增加，包括出售假 NFT。在工程师开始为虚拟世界开发最新的史诗功能和增强功能之前。从头开始最小化这个新的、巨大的攻击面应该是一个优先事项。

需要将重点放在架构安全上

对元宇宙的威胁只是当今许多企业面临的更广泛的网络安全威胁之一，尽管是关键因素。还有许多其他攻击媒介。据报道，对 Log4j 日志记录工具的零日攻击是有记录以来最严重的攻击之一。这是一个教训，许多组织只是没有迅速采取行动来保护自己。保护虚拟世界的人也应该好好记住这一课。 

虽然在一些关键行业已经有了补丁管理授权和建议，但广泛的立法是另一回事。预防性软件安全永远是完全避免紧急安全补丁的最佳机会，但最佳实践表明补丁是不可协商的，应该是优先措施。

安全编码和安全最佳实践是开发元界及其他领域的关键——开发人员需要成为第一道防线。最近的开放 Web 应用程序安全项目 (OWASP) 前 10 名报告中包含了重要的补充内容。新增内容反映了开发人员在安全编码和安全最佳实践方面的新阶段，但不幸的是，由于缺乏适当的培训，大多数人仍然无法降低风险。

发现自己构建元界功能和基础设施的开发人员需要在安全方面完全熟练，才能与常见的代码安全漏洞作斗争。越来越多的企业正在通过开发人员驱动的预防来应对这一挑战。尽管如此，不安全的设计，或者表示为“缺失或无效的控制设计”，在 OWASP 前 10 名中，其特点是架构安全问题，而不是特定的安全漏洞。一旦掌握了基础知识，就需要鼓励开发人员超越基础知识。

尤其是元界开发人员了解威胁建模和安全团队也应该支持这一点至关重要，一旦开发人员在该领域熟练，这将有助于减轻他们的压力。然而，就目前而言，对于许多软件工程师来说，这仍然是一个知识鸿沟。组织的其他安全职能部门有责任帮助为开发人员向前发展创造积极的安全文化。