本文來自微信公眾號“GoUpSec”。
“數(shù)字孿生”(Digital Twin)是一種通過物理對象的精確數(shù)字模型來理解、預(yù)測和優(yōu)化性能的技術(shù),可以幫助用戶提高決策效果并提供優(yōu)化方案,在數(shù)字城市、行業(yè)和企業(yè)市場的應(yīng)用越來越普遍。數(shù)字孿生也可以應(yīng)用于模擬人類的傾向、行為和態(tài)度,此類數(shù)字孿生通常應(yīng)用于營銷、研究和元宇宙場景。
數(shù)字孿生最大的價值是有助于獲得有關(guān)物理資產(chǎn)、系統(tǒng)乃至人員的實時洞察,從而在問題發(fā)生之前或之中檢測問題,也就是所謂的“預(yù)測性維護(或醫(yī)護)”。
2022年,數(shù)字孿生市場規(guī)模約為11億美元。根據(jù)Grand View Research的預(yù)測,從2023年到2030年,全球數(shù)字孿生市場預(yù)計將以平均每年37.5%的高速增長,規(guī)模將達到156億美元。
數(shù)字孿生擴大了攻擊面
隨著數(shù)字孿生的蓬勃發(fā)展,新的網(wǎng)絡(luò)安全風(fēng)險也正如影隨形。畢竟,數(shù)字孿生也是基于數(shù)字基礎(chǔ)設(shè)施的應(yīng)用,面臨的安全風(fēng)險并不比IT系統(tǒng)風(fēng)險小,甚至擴大了原有的攻擊面,以下是數(shù)字孿生面臨的主要風(fēng)險:
數(shù)據(jù)泄露:數(shù)字孿生技術(shù)依賴于收集和處理大量數(shù)據(jù),包括可能敏感的設(shè)備信息、操作數(shù)據(jù)、個人隱私數(shù)據(jù)等。如果數(shù)據(jù)存儲、處理或傳輸?shù)沫h(huán)節(jié)沒有得到充分保護,可能會導(dǎo)致數(shù)據(jù)泄露。
篡改風(fēng)險:如果數(shù)字孿生的數(shù)據(jù)或模型被惡意修改,可能會導(dǎo)致錯誤的決策或操作,從而影響物理系統(tǒng)的安全和性能。
身份認證和訪問控制:如果數(shù)字孿生系統(tǒng)的身份驗證和訪問控制機制存在漏洞,可能會被未經(jīng)授權(quán)的用戶或惡意軟件利用,進而獲得對系統(tǒng)的控制。
依賴性風(fēng)險:數(shù)字孿生系統(tǒng)通常依賴于其他的基礎(chǔ)設(shè)施,例如云服務(wù)、物聯(lián)網(wǎng)設(shè)備等。如果這些基礎(chǔ)設(shè)施遭到攻擊,可能會影響到數(shù)字孿生系統(tǒng)的正常運行。
軟件安全:數(shù)字孿生通常依賴于復(fù)雜的軟件系統(tǒng)。如果軟件存在漏洞,可能會被惡意利用。
美國政府問責辦公室主任Brian Bothwell認為,數(shù)字孿生與傳統(tǒng)的IT和OT環(huán)境一樣容易受到現(xiàn)有威脅的攻擊:“許多行業(yè)正在使用數(shù)字孿生來降低成本、改進設(shè)計和生產(chǎn),并測試其供應(yīng)鏈。但這項技術(shù)有多個攻擊面。有些應(yīng)用,例如個人的數(shù)字孿生,會帶來技術(shù)、隱私、安全和道德問題”。
SPR首席架構(gòu)師Mahadeva Bisappa認為,數(shù)字孿生與現(xiàn)實世界的孿生對象有著同樣復(fù)雜技術(shù)堆棧和配置(上圖),它們共享相同的系統(tǒng)、計算力(通常來自云)、網(wǎng)絡(luò)和數(shù)據(jù)流。“無論你使用什么產(chǎn)品(包括數(shù)字孿生應(yīng)用),都需要保護所有端點和云平臺。這同樣適用于輸入(數(shù)字孿生)的所有數(shù)據(jù),”Bisappa總結(jié)道:“數(shù)字孿生基本上可以看作是一個聯(lián)網(wǎng)應(yīng)用程序,其安全性本質(zhì)上仍然是應(yīng)用安全問題。”
安全與合規(guī)提供商Hyperproof的CISO,IEEE高級成員Kayne McGladrey表達了進一步的擔憂:“最大的問題可能是CISO不一定知道公司內(nèi)部已經(jīng)開始使用數(shù)字孿生應(yīng)用。我本人已經(jīng)經(jīng)歷過,業(yè)務(wù)部門在沒有咨詢網(wǎng)絡(luò)安全部門的的情況下實施了數(shù)字孿生解決方案。安全部門很難對不知道的東西(影子IT)進行有效控制。”
關(guān)于數(shù)字孿生的法律和監(jiān)管問題,McGladrey指出:“主要問題是數(shù)字孿生的運營商能否保證數(shù)字孿生應(yīng)用中的數(shù)據(jù)以符合數(shù)據(jù)保護法規(guī)要求的方式進行處理。此外,數(shù)據(jù)所有權(quán)也可能成為一個問題,特別是當企業(yè)與其他公司合作運營數(shù)字孿生時。”
CISO們還關(guān)注一個更具普遍性的問題:“很多企業(yè)擔心太多的安全控制可能會影響數(shù)字孿生的性能,因而沒有充分考慮安全和風(fēng)險因素。”
“惡意數(shù)字孿生”時代即將到來
一些安全專家認為,數(shù)字孿生將帶來更多威脅。例如,馬里蘭大學(xué)網(wǎng)絡(luò)安全與信息技術(shù)學(xué)院講師Jason M.Pittman曾在2023年初預(yù)測了“邪惡數(shù)字孿生”的安全風(fēng)險。在一篇博客文章中,這位學(xué)者預(yù)測:
“2023年惡意數(shù)字孿生將興起。未來,惡意數(shù)字孿生虛擬軟件模型將用于實施大規(guī)模網(wǎng)絡(luò)犯罪活動,如勒索軟件、網(wǎng)絡(luò)釣魚甚至對國家發(fā)動針對性攻擊。與傳統(tǒng)攻擊方法相比,惡意數(shù)字孿生的殺傷力更大,主要是因為惡意數(shù)字孿生模型的特殊性。”
Pittman預(yù)測,黑客可以創(chuàng)建企業(yè)員工的數(shù)字孿生角色(編者:利用生成式人工智能工具),將其放入數(shù)字孿生環(huán)境,最終將惡意軟件注入生態(tài)系統(tǒng),Pittman補充說:“這為犯罪分子和黑客打開了一扇窗戶,而且不太可能有防御措施。安全專家還預(yù)測了數(shù)字孿生的新攻擊場景。例如,當黑客成功滲透到數(shù)字孿生環(huán)境,可以竊取、操縱數(shù)據(jù),或者偽造模擬結(jié)果,從而達到破壞數(shù)字孿生模型或非法獲利的目的。”
此外,Bothwell還認為數(shù)字孿生存在與機器學(xué)習(xí)訓(xùn)練數(shù)據(jù)類似的安全問題——數(shù)據(jù)中毒。
最后,網(wǎng)絡(luò)安全公司Intuitus的首席執(zhí)行官David Shaw強調(diào),數(shù)字孿生的安全防御目前依然是馬后炮,這通常會導(dǎo)致安全控制措施不足。Shaw呼吁:安全性必須是數(shù)字孿生的核心組成部分,并且必須從一開始就集成。