數字孿生的網絡安全挑戰和機遇
字孿生是對象或系統的數字表示,可以使組織更深入地了解這些對象的生命周期,但這種相同級別的了解和控制也可能為惡意行為者打開大門。
GE全球研究部執行技術總監Justin John表示:“數字孿生與普通模型的不同之處在于,它是在現場部署的特定序列號的模型。它要么得到物理學的支持,要么已經通過歷史數據了解了資產的運作——并以此來進行預測。”
“數字孿生可以擴大規模,模擬復雜的系統。如有五六個不同的模型,將其組合在一起,可得到想要的任何商業結果。”
在某些情況下,數字孿生可用于直接控制其鏡像的資產。
數字孿生的挑戰
通過使用來自數字孿生的數據,可以調整現實世界的設備或系統以盡可能高效地工作,以節省成本并延長其生命周期,但這也帶來了自身的安全風險。
”雖然CISO應該是數字孿生項目的主要利益相關者,但他們幾乎從來都不是最終的決策者,”Gartner物聯網研究副總裁Alfonso Velosa表示:“由于數字孿生是推動業務流程轉型的軟件,因此業務或運營部門通常會主導這一舉措。大多數數字孿生都是為滿足特定的業務需求而定制的。”
據Velosa稱,當企業購買新的智能資產時,無論是卡車、挖掘機、電梯、壓縮機還是冰柜,通常都會配備數字孿生。大多數運營團隊將需要一套精簡的跨IT支持,而不僅僅是CISO,以將它們集成到更廣泛的業務流程中并管理安全。”
如果沒有適當的網絡安全控制,數字孿生可能會擴大企業的攻擊面,使惡意行為者能夠訪問以前無法訪問的控制系統,并暴露預先存在的漏洞。
擴大攻擊面
創建系統的數字孿生后,潛在的攻擊面實際上翻了一番。對手可以攻擊系統本身,也可以攻擊該系統的數字孿生。
有時,當底層系統不容易從外部訪問時,數字孿生可能會暴露企業以前隱藏的部分。例如,在過去,數據中心中的電源可能只能由物理上位于附近控制終端的技術人員訪問。這種基礎設施的數字孿生可以讓技術人員遠程監控設備——如果黑客設法獲得訪問權限,也可以這樣做。
而且,現在暴露的不僅僅是以前無法訪問的傳感器數據。Velosa表示:“在某些情況下,數字孿生體可以發送控制信號,改變(正在建模)實際物體的狀態。”
“當數字孿生是由實時數據提供的業務運營模型時,可以收集關鍵的企業信息,有時還可以收集員工和客戶的個人身份信息。這使其成為誘人的目標。”
根據主權地理位置的不同,這可能導致監管和合規處罰。Velosa補充道:“這也凸顯了數據的重要性,因為數字孿生是為了實現商業目標而構建的。”
因此,Velosa警告道,數字孿生的輸出不僅可以告訴對手或競爭對手企業在做什么,還可以對企業的戰略和未來方向提供有價值的見解。
此外,NCC Group的首席信息官Lawrence Munro表示:“數字孿生與物理孿生是相連的,這種連接本身就為孿生之間的跳躍提供了額外的攻擊向量,如果其中一個受到損害的話。”
數字孿生的資產
數字孿生最主要的用例之一是使運營技術更易于訪問和管理。但在運營技術領域,網絡安全往往是事后才考慮,許多系統運行在傳統技術上,而這些傳統技術可能不容易得到保護。
Zluri的首席信息安全官Todd Dekkinga表示:“但是如果攻擊者獲得了運營技術,可以對企業造成很大的傷害,而數字孿生會加速這種風險。”
“數字孿生比實體孿生更容易獲得。過去,運營技術環境被認為是獨立和孤立的,但現在不再是這樣了。現在它們是完全連接的、可訪問的,且很容易受到攻擊。”
CISO甚至可能不知道擁有數字孿生的運營技術資產的完整列表,更別提保護了。
暴露潛在的漏洞
數字孿生依賴于物聯網傳感器的輸入,這些傳感器可能充滿漏洞,以及運行易受攻擊的傳統操作系統的系統。
根據Nozomi Networks 8月份的一份安全報告,在2022年上半年,ICS-CERT發布的與運營技術和物聯網相關的常見漏洞和暴露有560個,其中109個直接影響關鍵制造業。
NCC Group的Munro表示:“由于這些設備的安全性普遍較低,因此在孿生設置中使用物聯網設備作為傳感器令人擔憂。”在數字孿生方面,網絡安全專業知識往往滯后。
Munro表示,研究人員或工程師通常很難接觸到新技術,也很難獲得運行實例。這對獲得正確的專業知識來支持保護這些平臺提出了挑戰。
如何確保數字孿生的安全
保護數字孿生的最佳實踐首先讓網絡安全專家加入部署團隊,遵循基本的網絡安全衛生,并采用零信任原則。
Munro表示,部署數字孿生的組織應該與安全專家合作,建立詳細的威脅模型。“與任何新技術一樣,CISO應該設法了解它引入的威脅模型及其對攻擊面的影響。”
Munro建議,企業內部可能并不總是具備所需的專業知識,解決方案是與網絡安全行業的合作伙伴合作。
Velosa表示,部署數字孿生的企業應該從一開始就遵循良好的網絡安全原則。“從策略到技術再到標準,在其設計中利用安全最佳實踐。從加密到NIST或TLS策略,再到基于角色的訪問控制。”
Velosa表示,數字孿生的設計和開發應該得到適當的資助,并在道德上專注于在降低風險和遵守法規的同時發揮作用。“盡可能避免使用個人數據,并在收集數據的地點、收集數據的原因以及如何保護數據方面保持透明。與采購部門合作,確保企業不僅擁有數字孿生中的數據,還擁有模型。”
Dekkinga表示,數字孿生應該像網絡上的其他關鍵設備一樣受到保護。“不僅在外圍植入零信任架構,還可以通過微分割、多重身份驗證和其他技術保護內部網絡。員工可能需要額外的步驟才能訪問這些系統,但這些不便是值得的。”
數字孿生如何幫助網絡安全
但數字孿生不僅僅是企業的安全責任。一些企業正在利用它們來提高網絡安全——作為攻擊預警系統、美人計和測試沙盒。
數字孿生可以通過創建用于安全測試的虛擬仿真來幫助組織清除系統中的漏洞。其可以幫助網絡安全,因為其可以以反映實際系統的方式對網絡漏洞做出反應。
Booz Allen副總裁Kevin Coggins表示:“可以通過多種方式得到反饋,包括在數字孿生上運行實際系統軟件或硬件。”
在投入生產之前,其可以用來測試昂貴的物理系統的漏洞,比如航空電子設備。Coggins表示:“我們不能直接對飛機進行某種威脅,因為這樣會使整個飛機認證程序失效。但若攻擊這個數字孿生,就會發現任何潛在的漏洞。”
Booz Allen與軟件開發商Unity Technologies合作,為一個客戶制作了一個大型設備的三維物聯網數字孿生。據Coggins稱,這使之能夠查看系統中的漏洞,以確定某人可能會訪問的影響。
Coggins表示,即使它們本身不是生產系統,這些數字孿生也應該得到相同級別的安全保護。“如果想要一個數字孿生,須確保它將生存的環境安全。”
數字孿生還可以充當一種蜘蛛網或威脅檢測系統——攻擊者的入侵會產生漣漪,網絡安全團隊都能感受到。
GE是一家使用數字孿生作為高度敏感傳感器層的企業,該企業正在構建一種稱之為“數字幽靈”的東西。例如,如果對手攻擊關鍵基礎設備的關鍵部分的控制,即使他們能夠偽造特定傳感器的輸出,數字孿生作為一個整體也會認識到有問題,因為整個系統不再按照預測行事,或者不會匹配來自其他傳感器的信息。
事實上,系統越復雜越好,因為這將有更多的傳感器,從而提高可觀察性。GE的John是這么認為的。
關鍵基礎設備是如何部署數字孿生來幫助網絡安全的完美示例。John表示:“事實上,我可以很好地預測事情應該如何運行,特別是如果將控制與數字孿生模型集成在一起,可以用其來判斷是否正在發生網絡攻擊。可以通過查看流程變量,如氣流、壓力、溫度——所有使資產正常運行的東西,檢查這些是否都正常,并找出問題所在,以告知操作人員。”
John表示:“我們正在使用孿生,但不希望攻擊者知道,所以它是一個數字幽靈。”
數字幽靈不僅可以用來保護關鍵基礎設備的安全,還可以用來保護組織數據中心的運營技術。典型的OT網絡安全是關于查看網絡流量、防火墻和搜索病毒。但,這不是其中的任何一個。
相反,John表示,GE對數字幽靈的看法更多地是關于基礎實物資產的運營方式。“我們需要了解的是,正常情況下的物理情況是什么,控制如何正常操作這些資產。如果擁有這些知識和大量的模擬數據或歷史數據,就可以很好地展示資產應該如何運營。”
John還表示,數字幽靈將能夠檢測出是否有問題,并準確地告知問題點。“僅這一項通常就需要操作人員數天或數周的時間才能確定問題所在。而數字幽靈在幾秒鐘內就能做到這一點。”
