本文来自嘶吼专业版微信公众号,作者/布加迪。
虽然网络安全专业人员正在充分利用沉浸式技术来加强防御,但黑客们也在利用它达到恶意目的。这就让人们对这项技术对网络安全的发展到底有利还是有弊产生了担忧。
沉浸式技术的定义
沉浸式技术通过使用360度创造现实的幻觉,弥合了数字环境和物理环境之间的差距。
沉浸式技术有三个部分组成:视觉、听觉和感觉。它让你能够近距离看到你在做什么,听到声音,并上去触摸。
能够看到和听到东西并不是什么新技术,但沉浸式技术利用360度提高了门槛。你可以转过身去看到物体/对象通常看不到的区域。由于你可以实时触摸,这种体验就变得更棒了。
沉浸式技术是如何工作的?
沉浸式技术有三类:虚拟现实、增强现实和触觉。
1.虚拟现实
虚拟现实(VR)是一种三维模拟数字环境,使你能够感受到物体/对象,并与之进行交互,就像它们真的在你眼前一样。它给了你一定程度的控制来决定这种交互如何进行。
这些三维图像很灵活,可以与你的身体动作实时同步。
2.增强现实
增强现实(AR)是指将数字元素融入到现实世界中。它通过叠加听觉、视觉及其他用数字手段增强的感官要素来增强你所在的物理环境,从而获得一种更令人满意的体验。
虚拟现实和增强现实既相似又不同。虚拟现实打造了效果逼真的独特数字环境,而增强现实只是通过增强你的感官特征来增强物理环境,即为实际环境添加用数字手段生成的某种东西。
3.触觉
触觉是感觉和触摸物体/对象的能力。这项技术让你可以通过触摸和振动等感觉来接触数字界面。它通过唤起你正在执行的活动所特有的物理动作,使你沉浸在数字交互中。
力和触觉反馈是触觉的两个关键组成部分。力模拟物体/对象的物理属性,而触觉捕捉物体/对象的纹理。
沉浸式技术对网络安全有什么好处?
沉浸式技术在许多方面增强了网络安全。
定制的网络安全培训
网络安全培训方面的一个普遍障碍是缺乏真实场景。受训者学习工作的理论方面,却很少或根本没有机会看到实际场景。沉浸式技术通过创建鼓励用户参与的模拟场景,为培训增添了实用性。
虚拟现实让训练者沉浸在实时网络攻击中,他们可以确定攻击将如何进行。增强现实和触觉技术则更进一步,让参与者可以看到、听到和触摸攻击对象,从而使培训过程更具互动性。
通过人类参与改进威胁情报
使用威胁监控工具对于收集复杂威胁途径方面的情报而言必不可少。这个过程实现自动化可以使你全天候不间断关注自己的应用程序,帮助你留意通常游离在你视线之外的事件。虽然这些工具可以分析威胁情报数据,但它们只能在编程参数范围内工作。
当你把自动化工具和熟练的人力相结合时,威胁情报才最有效。沉浸式技术使网络安全专业人员能够正面接触攻击途径。他们可以追踪威胁,并在盲区进行安全检查。
缩小社会上网络安全技能方面的差距
网络安全人员的匮乏主要归因于缺乏足够的培训。没有多少人拥有遏制高级网络攻击所需的技能。沉浸式培训有助于提供更好的网络安全培训。人们将有机会不仅学习网络安全,还有机会成为这方面的专家。
沉浸式技术通过为行业培养熟练的人才,从而有助于缩小社会上网络安全技能方面的差距。随着更多的人加入到对抗网络攻击的队伍中,网络空间对于合法活动而言将变得更安全。
沉浸式技术的挑战是什么?
当然,沉浸式技术也有其缺点。
缺乏隐私
当你使用沉浸式技术工具时,它们会记录你的数据以增强用户体验。这类数据对广告商也很有用,可用于开展个性化的营销活动。广告商知道你的位置,为你投放基于位置的广告。这可能会被认为侵犯你的隐私。不仅如此,黑客还可能出于恶意目的获取这些数据。他们可能会选择自行攻击你,或者在暗网上把你的数据卖给感兴趣的人。
身份盗窃
沉浸式技术的灵活性为基于身份的社会工程攻击提供了便利。网络犯罪分子可以入侵虚拟现实和增强现实系统,以获取你的个人身份信息(PII)。以深造伪造内容为例:黑客可以篡改使用沉浸式技术传输的视频,诱使你泄露自己的敏感信息。
数据泄露
由于使用的恶意软件会导致停机,沉浸式技术有可能泄露数据。黑客可以通过分布式拒绝服务(DDoS)攻击劫持沉浸式技术平台,在检索用户的信息时使其服务不可用。诱使用户点击一个恶意链接可以将他们从应用程序中断开,并授予黑客完全访问权限。
如何防止沉浸式技术在网络安全的风险?
你可以采取几项措施来遏制与沉浸式技术相关的威胁。
使用之前了解软件隐私政策
应用程序方面的隐私政策读起来又长又无聊,于是大多数人都懒得读一下。但作为用户,你的安全很大程度上取决于工具的安全性。
沉浸式技术比较新颖,在安全和隐私方面存在大量灰色地带。在使用任何软件之前,请务必仔细阅读其隐私政策,并确认它可以保护你的信息。
一些数字应用程序将用户数据出售给包括广告商在内的第三方。即使广告商有法律义务只将你的数据用于营销目的,数据也可能落入坏人之手。
使用VPN确保网络连接的安全
任何拥有适当技能的人都可以通过对任何开放的互联网连接进行窃听攻击来拦截你传输的内容。使用虚拟专用网络(VPN),将连接由公共状态切换到私密状态。
VPN通过实时加密保护你的连接。它们还会伪装你的网络,因而使网络犯罪分子很难找到其位置。可靠的VPN提供商不会存储你的网络活动,因此你的隐私得到保证。
实施端点安全
端点防御保护你用于连接到应用程序的设备的入口点。这是保护云和虚拟解决方案的有效措施,它让你可以保护连接到沉浸式工具的每个设备。除了软件提供商提供的安全外,这为你提供了另外一层安全。
这对你来说意味着什么?一款简单的付费杀毒软件可以保护你的设备和连接。
使用多因素身份验证登录
验证用户身份是访问数字平台的一种常见做法。沉浸式技术平台提供基于云的远程访问,因此威胁分子可能企图从任何位置闯入你的帐户。多因素身份验证增加了更多的验证层,使用户可以通过多种方式证明自己的合法性。
沉浸式技术中多因素身份验证的例子包括面部识别、指纹和语音模式。这些特征不容易被人伪造,因此入侵者很难绕过它们。
沉浸式技术已深入人心
关于沉浸式技术影响的争论可能还在继续,但有一点是肯定的:它不会消失。网络安全专业人员继续探究解决这类技术带来的挑战的机会。如果获得合适的资源和支持,他们可以与使用相同技术的网络犯罪分子作一番较量。
