數字孿生可以為任何物理基礎設施創建,包括發動機、渦輪和其他設備的單個組件,或者工廠和數據中心。
通用電氣公司全球研究執行技術總監JustinJohn表示:“數字孿生與普通模型的不同之處在于,它是在現場部署的特定序列號的數字模型。數字孿生或者有實體的支持,或者已經通過歷史數據了解了資產是如何運作的,現在要用它來進行預測。”
數字孿生可以擴大規模來模擬復雜的系統。他說,“用戶可能有五六個不同的模型,然后將它們組合在一起,得到感興趣的業務結果。”
在某些情況下,數字孿生可用于直接控制它們所鏡像的資產。
首席信息安全官面臨的數字孿生挑戰
通過使用來自數字孿生的數據,可以調整現實世界中的設備或系統,使其盡可能高效地工作,以節省成本并延長其生命周期,但這也會給自身帶來安全風險。
Gartner公司物聯網研究副總裁AlfonsoVelosa表示,不幸的是,雖然首席信息安全官應該是數字孿生項目的主要利益相關者,但他們幾乎從來都不是最終的決策者。
他說:“由于數字孿生是推動業務流程轉型的工具,業務或運營部門通常會主導這一舉措。大多數數字孿生都是為滿足特定的業務需求而定制的。”
Velosa表示,當企業購買新的資產時,無論是卡車、挖土機、電梯、壓縮機還是冰箱,通常都會附帶數字孿生對象。他說,“大多數運營團隊將需要一套簡化的、多部門的支持(不僅僅是首席信息安全官的支持),以將其整合到更廣泛的業務流程中并管理安全。”
如果沒有適當的網絡安全控制,數字孿生可能會擴大企業的攻擊面,使威脅行為者能夠訪問以前無法訪問的控制系統,并暴露出預先存在的漏洞。
擴大網絡攻擊面
當一個系統的數字孿生被創建時,潛在的攻擊面有效地加倍,而網絡攻擊者可以跟蹤系統本身,也可以攻擊該系統的數字孿生系統。
有時,當底層系統不容易從外部訪問時,數字孿生可能會暴露企業以前隱藏的部分。例如在過去,數據中心中的電源設施可能只能位于控制終端附近的技術人員訪問。這種基礎設施的數字孿生可以讓技術人員遠程監控設備,如果黑客設法獲得訪問和操作權限,也可以這樣做。
而且,現在對外泄露的不僅是以前無法獲取的傳感器數據。Gartner公司的Velosa表示:“在某些情況下,數字孿生可以發送控制信號,改變(被建模的)實際物體的狀態。”
Velosa表示,當數字孿生是由實時數據提供的業務運營模型時,它們可以收集關鍵的企業信息,有時還可以收集員工和客戶的個人身份信息。這使得他們成為誘人的目標。
根據數據主權地理位置的不同,這可能導致監管和合規性處罰。他補充說:“這也凸顯了數據的重要性,因為數字孿生是為了實現業務目標而構建的。”
Velosa警告說,因此,數字孿生的輸出不僅可以告訴對手在做什么,還可以為企業的戰略和未來方向提供有價值的見解。
此外,咨詢機構NCC集團首席信息官LawrenceMunro表示,數字孿生與物理孿生是相互關聯的,這種關聯本身就為孿生之間的交互提供了額外的攻擊向量,如果其中一個受到損害的話。
Munro說,部署數字孿生,讓內部用戶或第三方進行遠程監控。這可能會帶來遠程用戶能夠通過網絡連接訪問物理孿生的威脅。
首席信息安全官不知道擁有數字孿生的資產
數字孿生最主要的用例之一是使運營技術更易于訪問和管理。不幸的是,在運營技術領域,網絡安全通常是事后才考慮的事項,許多系統運行在不能保證安全的傳統技術上。
咨詢和SaaS管理軟件機構Zluri公司的首席信息安全官ToddDekkinga表示,如果網絡攻擊者獲得了運營技術,他們可有會對企業造成很大的傷害,而數字孿生會增加這種風險。
Dekkinga說,數字孿生比實體孿生更容易獲得。運營技術環境過去被認為是獨立的,但現在不再是這樣。現在它們是完全連接的、可訪問的,而且很容易被破壞。
首席信息安全官甚至可能不知道擁有數字孿生的運營技術資產的完整列表。Dekkinga說,“如果不知道擁有什么,它就無法得到保護。”
暴露潛在的漏洞
數字孿生依賴于物聯網傳感器的輸入,這些傳感器可能充滿漏洞,以及運行易受攻擊的傳統操作系統。
根據NozomiNetworks公司在今年8月發布的一份安全報告,在2022年上半年,有560個美國工控系統網絡應急響應小組(ICS-CERT)發布了與運營技術和物聯網相關的常見漏洞,其中109個漏洞直接影響關鍵制造業。
NCC集團的Munro表示:“由于這些設備的安全性普遍較差,因此,將物聯網設備用作數據孿生設置中的傳感器是一個令人擔憂的問題。在數字孿生方面,網絡安全專業知識往往存在滯后。
研究人員或工程師通常很難接觸到新技術,也很難獲得運行實例。這對獲得正確的專業知識來支持保護這些平臺帶來了挑戰。”
如何確保數字孿生的安全
保護數字孿生的最佳實踐首先是在部署團隊中包括網絡安全專家,遵循基本的網絡安全,并采用零信任原則。
Munro表示,部署數字孿生的企業應該與安全專家合作,建立詳細的威脅模型。與任何新技術一樣,首席信息安全官應該設法了解它引入的威脅模型及其對網絡攻擊面的影響。
Munro建議,企業內部可能并不總是有所需的專業知識,有一種解決方案是與網絡安全行業的合作伙伴合作。
Gartner公司的Velosa表示,部署數字孿生的企業應該從一開始就遵循良好的網絡安全原則。他說,“從策略到技術再到標準,在他們的設計中利用安全最佳實踐。從加密到NIST或TLS策略,再到基于角色的訪問控制。”
他表示,數字孿生的設計和開發應該得到適當的資助,并在專注于降低風險和符合法規。盡可能避免使用個人數據,并公開在哪里收集數據,為什么收集數據,以及如何保護數據。企業IT部門與采購部門合作,確保不僅擁有數字孿生中的數據,還擁有模型。
Zluri公司的Dekkinga表示,數字孿生應該像網絡上的其他關鍵設備一樣受到保護。不僅在外圍植入零信任架構,還可以通過細分、多因素身份驗證和其他技術保護內部網絡。員工訪問這些系統可能需要額外的步驟,但采取這些措施是值得的。
數字孿生如何幫助提高網絡安全
但數字孿生不僅僅是企業的安全責任。一些企業正在利用它們來提高網絡安全,將其作為攻擊預警系統、蜂蜜陷阱和測試沙盒。
數字孿生可以通過創建用于安全測試的虛擬克隆來幫助企業清除系統中的漏洞。它們可以幫助提高網絡安全,因為它們能夠以反映實際系統的方式對網絡漏洞做出反應。
咨詢機構BoozAllen公司的副總裁KevinCoggins表示:“可以通過多種方式得到反饋,包括在數字孿生上運行實際系統軟件或固件。”
在投入生產之前,它們可以用于測試昂貴的物理系統是否存在漏洞,例如航空電子設備。Coggins說:“網絡攻擊者不能親自到機場對飛機施加某種威脅,因為整個認證過程將會使其行為失效。如果攻擊其數字孿生系統,就會發現任何潛在的漏洞。”
BoozAllen公司與軟件開發商UnityTechnologies公司合作,為其客戶制作了一個大型設施的三維物聯網數字孿生系統。他表示,這使他們能夠查看系統中的漏洞,以確定某人可能會對其進行訪問。
即使它們本身不是生產系統,這些數字孿生系統也應該得到相同級別的安全保護。Coggins說:“有人采用數字孿生系統進行培訓。如果制作數字孿生系統,需要保護其生存環境。”
數字孿生還可以充當一種威脅檢測系統,網絡攻擊者的入侵將產生網絡安全團隊可以感受到的威脅。
通用電氣公司使用數字孿生作為高度敏感傳感器層,該公司正在建造一種他們稱之為“數字幽靈”的系統。例如,如果網絡攻擊者攻擊關鍵基礎設施的關鍵部分,即使他們能夠偽造特定傳感器的輸出,數字孿生作為一個整體也會認識到問題,因為整個系統將不再像預測的那樣運行,或者與其他傳感器的信息流不匹配。
通用電氣的John表示,事實上,系統越復雜越好,因為它將有更多的傳感器,從而有更多的可觀測性。
關鍵基礎設施是部署數字孿生來幫助提高網絡安全的一個用武之地。John說:“事實上,我們可以很好地預測事情應該如何運行,特別是如果把控制與數字孿生模型集成在一起,可以用它來判斷是否正在發生網絡攻擊。查看所有使資產正常運行的過程變量(氣流、壓力、溫度),可以檢查這些是否都正常或異常,找出問題在哪里,并告訴運營人員。”
他說:“我們正在使用數字孿生系統,但我們不希望網絡攻擊者知道,所以它是一個數字幽靈。”
他說,數字幽靈不僅可以用來保護關鍵基礎設施的安全,還可以用來保護企業數據中心的運營技術。典型的運營技術網絡安全是關于查看網絡流量、防火墻和檢測病毒。
他表示,通用電氣對數字幽靈的愿景更多地是關于基礎實物資產的運營方式。他說,“我們需要了解的是,正常情況下的實施情況是什么,如何正常運營這些資產。如果有這些知識和大量的模擬數據或歷史數據,就可以很好地描述資產應該如何運營。”
John表示,數字幽靈將能夠檢測到是否有問題,并準確地告知哪個傳感器受損。他說,“僅這一項通常就需要運營商幾天或幾周的時間來確定問題所在,而數字幽靈在幾秒鐘內就能做到這一點。”
