文/Scott Register

“增強現(xiàn)實”意味著增強網(wǎng)絡風險？

文/Scott Register

Scott Register
Ixia產品管理副總裁

由于越來越多AR應用的不斷涌現(xiàn)，AR將對企業(yè)的網(wǎng)絡和安全造成重大影響。而那些尚未做好充分準備的企業(yè)，必將面臨真正的安全風險。

增強現(xiàn)實技術（Augmented Reality，以下簡稱AR）已不是什么新鮮事了，但最近隨著Pokémon GO游戲持續(xù)火爆，我們不得不承認，一場技術進步和文化變遷的共同產物—AR時代已經(jīng)來臨。

事實上，現(xiàn)在的移動設備已經(jīng)具有足夠的計算處理能力和連接能力支持AR，盡管這里存在潛在的隱私泄露風險。而我們每個人也都已習慣于設備的實時在線、實時定位，這也逐漸成為我們日常生活的一部分。

然而，由于越來越多AR應用的不斷涌現(xiàn)，AR將對企業(yè)的網(wǎng)絡和安全造成重大影響。而那些尚未做好充分準備的企業(yè)，必將面臨真正的安全風險?？梢栽囅胍幌?，如果某位員工只要將他的AR設備指向辦公室的某一臺打印機，他可以立刻看清楚打印機從墨盒更換到清除卡紙的每個步驟；再比方，變電站的維護工程師，利用平板電腦就可以了解某些關鍵設備的維修信息。以上這兩種場景均屬于AR技術的應用，從中我們可以看到，AR蘊藏的巨大商業(yè)潛力。

但同時也不難看出，AR技術本身存在的風險，實現(xiàn)所有這些神奇功能的流量將會經(jīng)過您的網(wǎng)絡，而這期間也將會暴露你的諸多細節(jié)信息：IP地址、位置、設備類型、用戶許可等等。如果黑客可以竊取這些流量，事實上黑客們已經(jīng)能夠竊取到Pokémon GO游戲者的流量——那么，又將泄露用戶的哪些信息呢？

有鑒于此，美國五角大樓和以色列國防軍，已全面禁止其員工下載Pokémon GO游戲，因為該應用可能會對其安全造成影響。那么，AR將給企業(yè)帶來哪些真正風險呢？又該如何避免這些風險呢？

數(shù)據(jù)中都包含什么？

為了了解這一點，我們先來看看AR應用所產生的網(wǎng)絡流量的類型，以及它會泄露哪些信息。 Ixia的應用和威脅情報研究人員，最近對Pokémon GO應用和任天堂服務器（該應用的開發(fā)商）之間的通訊進行了分析，并獲得了一些有關安全問題的重要發(fā)現(xiàn)。

Pokémon GO正如其他AR應用一樣，采用了設備的位置數(shù)據(jù)，根據(jù)用戶周圍環(huán)境，向其提供適當信息。所以我們不難想象，黑客在將用戶的位置數(shù)據(jù)與其他個人信息相結合后（不要忘記最初的Pokémon GO用戶協(xié)議允許任天堂公司訪問用戶信息，包括Google個人頁面，瀏覽歷史和之前的搜索），就能夠輕松描繪出該用戶行為的詳細畫面。所以，此類信息在犯罪分子眼中，是極具價值的。

同時，Pokémon GO應用與服務器之間的通訊，是通過HTTPS完成的，但是，該應用的早期版本并不支持證書鎖定（certificate pinning）， 極易被“中間人”利用并攔截數(shù)據(jù)。

因此，不難看出，AR應用暴露的用戶特定數(shù)據(jù)，就像它們的正常功能部分一樣，一旦應用安全存在漏洞，黑客就有可能趁虛而入，竊取和操縱數(shù)據(jù)。而問題的關鍵是，AR的本質就是為用戶提供個性化個人情境，即現(xiàn)實增強版。這意味著，AR應用必須接入一些個性化數(shù)據(jù)，才能提供服務—包括：位置信息、購物記錄、財務信息或任何其他信息。難道希望這些信息流出企業(yè)內網(wǎng)嗎？

惡意軟件

接下來還有惡意軟件問題。就在 Pokémon GO發(fā)布后的第四天，網(wǎng)絡罪犯團伙就創(chuàng)建了一個假的Pokémon GO版本，并嵌入了惡意軟件，這就給犯罪份子提供了一個非常方便的手段，可以將惡意軟件植入到其他新的AR應用中。AR應用中的惡意軟件幾乎難以勝數(shù)，例如用于捕捉用戶登錄信息的鍵盤記錄器；感染設備之后，能夠渾然不覺地進行數(shù)據(jù)竊取和通訊的移動遠程訪問木馬（mRAT）；再者是，通過設備向網(wǎng)絡下載惡意軟件的代理程序。

誰來管控？

因此，各企業(yè)現(xiàn)在必須考慮，如何針對網(wǎng)絡中的AR應用進行最佳管理和控制。以便在下一次AR熱潮到來之前搶占先機，并提前部署安全防護措施。

您需要考慮三個重要因素，首當其沖是移動設備管理（M D M）解決方案，因為類似Pokémon GO 這樣的AR應用大多都集中于智能手機應用市場。其次，員工培訓和安全意識也非常重要，人為錯誤和疏忽往往是網(wǎng)絡犯罪份子瞄準的關鍵薄弱點。

第三個關鍵因素是網(wǎng)絡中應用流量的可視性，為了防止敏感數(shù)據(jù)泄露或惡意數(shù)據(jù)入侵，必須在任何時候都能全面、實時地監(jiān)測網(wǎng)絡流量。許多已有的工具和解決方案，都能幫助獲得此等可視性；而真正需要的是智能過濾和分發(fā)功能，涵蓋整個7層應用流和加密流量，并以線速運行、零丟包率等。如果缺少這種端到端的可視性，“增強現(xiàn)實”很可能就會給企業(yè)帶來“增強的風險”。