關鍵基礎設施安全的數字孿生方法:MBSE
隨著關鍵基礎設施變得越來越復雜,既要確保系統高效運行,又要防御網絡威脅,難度越來越大。
智慧城市需要協調自動駕駛汽車和無接觸收費站。電網正在演變成雙向網格,既向企業和消費者輸送電力,也從他們那里接收電力。智能建筑需要與多個租戶合作,而這些租戶擁有兼容性各異的公用設施和安全系統。這些關鍵基礎設施系統時刻處于復雜網絡攻擊和公開攻擊的監視之下。
智慧城市、電網、建筑系統和其他分布式基礎設施的管理者可以借鑒美國海軍的經驗,后者正在利用基于模型的系統工程(MBSE)和云計算來保護全球部署艦船的作戰就緒狀態。
在公海上保持水面艦艇或潛艇處于戰斗狀態是一項挑戰。環境惡劣,任務要求高,備用或備件設備可能相距數千英里。當任何復雜IT或OT系統出現故障時,艦艇仍需完成任務。因此,美國海軍使用一種數字工程來構建和確保彈性,使系統在遭遇物理或網絡攻擊期間和之后仍能“帶傷工作”。
用數字孿生模型識別和緩解漏洞風險
基于模型的系統工程(MBSE)用于將復雜系統簡化為模型,模型是該特定系統的數學、圖形、數字/計算和/或物理表示。MBSE也是一種技術語言,用于形式化地表示抽象和理解復雜性。系統建模語言(SysML)是為清晰描述現實世界系統而開發的特定工具的示例。
美國海軍通過MBSE創建艦船和陸基系統的數字孿生模型。這種方法使海軍能夠在系統建成或改裝之前和之后模擬、分析和優化其性能和維護,從而確保潛在的性能或漏洞問題能夠被識別并主動解決。
數字孿生是物理系統的虛擬復制品,使用設計數據并結合傳感器數據和操作模型創建,以鏡像其物理對應物的生命周期。這些模型目前被用于優化設計和技術插入、解決兼容性問題、提高可靠性以及“嵌入”網絡彈性,有利于對船上每個系統性能如何影響船舶整體作戰能力的全面理解。
將MBSE數字模型應用于基礎設施系統系統,例如智慧城市,將徹底改變城市管理。通過為相互連接的交通、公用事業、公共服務和通信系統開發數字孿生,城市規劃者和管理者可以預測一個系統中的變化如何影響另一個系統,理解潛在網絡攻擊的影響,并優化基礎設施的效率和可持續性。
此外,MBSE可以促進新技術快速集成到基礎設施中,例如物聯網設備和傳感器、自動駕駛車輛和人工智能驅動服務。采用MBSE的方法可以幫助基礎設施更及時地響應并適應居民不斷變化的需求。美國海軍正在將MBSE與綜合威脅情報、系統漏洞數據和操作線程模型結合起來,幫助艦船在網絡攻擊面前保持作戰就緒狀態。數字孿生的預測能力還可以優化能源利用、交通監控和廢物管理以及應急響應策略。城市技術模擬可以實現主動規劃,以減輕網絡攻擊、自然災害和重大系統故障的影響。
基于云的防御,實現網絡安全更新和資源可用性
美國海軍一直在將計算轉移到云端,這個過程已經持續了幾年。其動力是云計算的網絡安全優勢和快速部署額外資源的能力,跨地域資產的一致性,以及跨資產快速部署最新保護和修復的能力。
海軍的云計算框架允許動態分配資源以滿足不同的需求。當面對拒絕服務(DoS)攻擊時,海軍無需硬件擴展即可立即升級計算資源,或將計算資源透明地移動到不同地理區域的云數據中心。這種彈性對于保持作戰節奏、最大化可用性并確保任務不會受阻至關重要。
此外,擁有廣泛的資產和人員,統一的計算環境有助于確保所有單位都可以訪問相同的信息和工具。云計算通過可從任何地方安全訪問的集中數據和應用程序存儲庫來促進這一點。這種一致性確保了行動的協調。智能建筑也有類似的需求,因為它們要與租戶和第三方服務提供商的系統協調防御。
云端還可以幫助維護海軍的網絡安全,確保更新、補丁和新的安全協議可以在整個網絡上快速且統一地推出。這確保了數字基礎設施的所有組件都受到最新威脅的保護,減少了漏洞,增強了整體安全態勢。升級周期也得以更快地解決過時問題,為基礎設施帶來新功能,并適應不斷涌現的新威脅。
對于智慧城市而言,云可以集成屏幕和傳感器,允許數據收集和管理系統處理大量數據攝取,實時響應不斷變化的條件,并確保數字和物理資產的安全。對于電網而言,基于云的解決方案可以幫助平衡負載,預測需求激增,更有效地管理停電,并防御網絡威脅。
此外,隨著智能建筑、城市和電網互聯程度越來越高,云計算可以提供一個統一的平臺來管理這些相互依賴的關系。云中托管的實時數據分析和機器學習模型可以優化性能并在系統故障發生之前進行預測,從而提高可靠性并減少停機時間。
更強大的態勢監控,預測和威脅緩解
海軍還通過將系統范圍的MBSE模型與實時威脅數據庫連接來提高網絡保護能力。這允許對每個系統和子系統的持續網絡態勢監控,以動態和主動地預測、識別和減輕潛在威脅。這種方法正在應用于大型、多平臺的海軍企業中,智能基礎設施也可以從這些復雜工具中受益。
數字孿生和實時網絡威脅數據庫之間的自動鏈接可以幫助基礎設施管理者直觀地了解他們的系統如何響應實際攻擊。對潛在漏洞的模擬使管理人員能夠了解漏洞存在的位置以及如何利用和緩解這些漏洞。先進的預警系統可以部署防御和強化策略,使基礎設施免受當前威脅的影響。
連接的MBSE模型和威脅數據庫可用于通過現實場景的模擬和可視化來培訓基礎設施人員。網絡安全團隊可以根據真實數據創建和運行演習,從而增強組織應對現實網絡事件的準備情況和能力。
結論
MBSE數字孿生與實時網絡威脅數據庫的集成,不僅可以實現主動監控和響應網絡威脅,還為智能基礎設施管理提供了巨大的潛力。實時攻擊的可視化、攻擊的模擬以及基于現實場景的先進培訓,可以使MBSE成為現代基礎設施網絡防御中的重要工具。
具體建議:
基于上述分析,智慧城市、電網和其他分布式基礎設施的管理者可以考慮以下建議:
- 采用MBSE方法來創建數字孿生,模擬和優化基礎設施系統的性能和維護。
- 將數字孿生與實時威脅數據庫連接起來,以預測和緩解網絡威脅。
- 利用云計算來實現網絡安全更新和資源可用性的自動化。
這些建議可以幫助基礎設施管理者提高網絡安全,確保其系統在復雜威脅環境中能夠正常運行。
