數(shù)字孿生(Gartner 將其定義為“……現(xiàn)實(shí)世界實(shí)體或系統(tǒng)的數(shù)字表示”)的好處是巨大的，尤其是與增強(qiáng)現(xiàn)實(shí)或虛擬現(xiàn)實(shí)創(chuàng)新相結(jié)合時(shí)。例如，在制造業(yè)，新員工可以探索數(shù)字孿生，以了解它們的工作方式以及它們與其他技術(shù)的聯(lián)系，而不會(huì)給物理系統(tǒng)本身帶來(lái)任何風(fēng)險(xiǎn)。

隨著私有5G 網(wǎng)絡(luò)可用性的增加 預(yù)計(jì)將加速數(shù)字孿生的采用，我們可以預(yù)期在2023年及以后會(huì)增加對(duì)該技術(shù)的依賴。

數(shù)字孿生安全問(wèn)題

隨著公司計(jì)劃增加對(duì)數(shù)字孿生的使用，重要的是要對(duì)這些系統(tǒng)的安全性給予同等的重視。畢竟，雖然它們是物理技術(shù)的虛擬模型，但數(shù)字孿生通常包括與真實(shí)環(huán)境的反向通道連接和通信。并且由于數(shù)字孿生連接到網(wǎng)絡(luò)和物理機(jī)，這就創(chuàng)建了黑客渴望利用的另一個(gè)向量。

虛擬環(huán)境代表有形的安全風(fēng)險(xiǎn)

數(shù)字孿生通常擁有生產(chǎn)數(shù)據(jù)或?qū)ιa(chǎn)系統(tǒng)的訪問(wèn)權(quán)限，但并不總是被視為與真實(shí)生產(chǎn)環(huán)境一樣敏感。因此，它們通常不會(huì)受到與物理對(duì)應(yīng)物相同級(jí)別的保護(hù)。

例如，讓我們看看員工如何訪問(wèn)數(shù)字孿生。在真正的生產(chǎn)環(huán)境中，訪問(wèn)通常是通過(guò)生產(chǎn)代理發(fā)起的。生產(chǎn)代理方法可確保登錄不是從員工的個(gè)人計(jì)算機(jī)發(fā)生，而是從遠(yuǎn)程桌面或類(lèi)似系統(tǒng)發(fā)生——顯著降低了前機(jī)器上的任何惡意軟件訪問(wèn)生產(chǎn)系統(tǒng)的可能性。

當(dāng)員工與數(shù)字孿生交互時(shí)情況并非如此，如果這種訪問(wèn)被利用，黑客可以從那里進(jìn)入物理系統(tǒng)。

在物聯(lián)網(wǎng)傳感器綁定到數(shù)字孿生系統(tǒng)以收集生產(chǎn)數(shù)據(jù)的制造環(huán)境中，威脅行為者可能會(huì)操縱這些傳感器來(lái)扭曲它們返回的數(shù)據(jù)。

如果這些相同的傳感器被用于控制生產(chǎn)過(guò)程，這可能會(huì)導(dǎo)致實(shí)際的物理?yè)p壞。核電站提供了另一個(gè)更可怕的例子，說(shuō)明利用數(shù)字孿生可能造成的破壞。安全團(tuán)隊(duì)必須在實(shí)施這些系統(tǒng)時(shí)審查和測(cè)試這些系統(tǒng)，以考慮這些潛在的場(chǎng)景并制定提前緩解它們的計(jì)劃。

更多訪問(wèn)，更多問(wèn)題

另一個(gè)數(shù)字孿生安全問(wèn)題是越來(lái)越多的人可以使用該技術(shù)。如上所述，數(shù)字孿生通常用于培訓(xùn)人員，這意味著新員工可以直接訪問(wèn)這些虛擬系統(tǒng)——這在真實(shí)的生產(chǎn)環(huán)境中是不太可能發(fā)生的情況。

與任何安全領(lǐng)域一樣，威脅面隨著訪問(wèn)點(diǎn)的增加和具有訪問(wèn)權(quán)限的用戶的增加而增加。這些用戶可能會(huì)屈服于網(wǎng)絡(luò)釣魚(yú)電子郵件和惡意軟件攻擊，或者由于他們自己不良的安全習(xí)慣而無(wú)意中引入漏洞——例如，從公共網(wǎng)絡(luò)訪問(wèn)數(shù)字孿生或在多個(gè)帳戶中重復(fù)使用密碼。

數(shù)據(jù)困境

在設(shè)計(jì)數(shù)字孿生時(shí)，公司還應(yīng)考慮它是否真的需要實(shí)時(shí)數(shù)據(jù)訪問(wèn)，因?yàn)檫@代表著嚴(yán)重的安全問(wèn)題。只要有可能，組織應(yīng)遵循一種方法，將生產(chǎn)數(shù)據(jù)定期導(dǎo)出到數(shù)字孿生所使用的單獨(dú)環(huán)境中。

另一個(gè)與數(shù)據(jù)相關(guān)的問(wèn)題是，當(dāng)公司向多個(gè)第三方和外部團(tuán)體開(kāi)放數(shù)字孿生訪問(wèn)時(shí)會(huì)發(fā)生什么。例如，體育場(chǎng)館越來(lái)越多地使用數(shù)字孿生來(lái)進(jìn)行建筑維護(hù)和能源優(yōu)化。

展望未來(lái)，一些人正在考慮一種應(yīng)用程序商店方法，在這種方法中，這些數(shù)據(jù)與發(fā)起人、特許權(quán)提供者、團(tuán)隊(duì)所有者和其他利益相關(guān)者共享。發(fā)生這種情況時(shí)，必須將安全放在首位，因?yàn)楹诳蜁?huì)對(duì)這些信息非常感興趣。

如果沒(méi)有正確的參數(shù)——以及正確的安全系統(tǒng)到位——這種情況可能很快成為物理和數(shù)字安全的致命弱點(diǎn)。

硬幣的反面：數(shù)字孿生也帶來(lái)安全優(yōu)勢(shì)

當(dāng)然，在數(shù)字孿生和安全方面，也不全是壞消息。使用數(shù)字孿生對(duì)網(wǎng)絡(luò)或 IT 環(huán)境建?？赡苁沁M(jìn)行比實(shí)際生產(chǎn)網(wǎng)絡(luò)允許的更積極滲透測(cè)試的好方法。

當(dāng)紅隊(duì)對(duì)實(shí)際系統(tǒng)發(fā)起攻擊時(shí)，他們必須確保他們不會(huì)過(guò)度破壞和阻礙業(yè)務(wù)連續(xù)性，但在部署數(shù)字孿生時(shí)這不再是一個(gè)問(wèn)題。

公司可以在數(shù)字孿生環(huán)境中開(kāi)展真正的勒索軟件活動(dòng)，以測(cè)試他們發(fā)現(xiàn)任何未知因素的反應(yīng)強(qiáng)度，并加強(qiáng)對(duì)實(shí)際攻擊的防御。

數(shù)字孿生也可用于測(cè)試物理安全性。例如，公用事業(yè)提供商可以評(píng)估如果特定變電站受到攻擊，電網(wǎng)會(huì)發(fā)生什么情況，或者體育場(chǎng)可以識(shí)別現(xiàn)場(chǎng)攻擊者可能利用的建筑設(shè)計(jì)缺陷。

鎖步安全

盡管有好處，公司也不能忽視潛在的陷阱。解決數(shù)字孿生安全問(wèn)題的最佳方法是從一開(kāi)始就讓安全團(tuán)隊(duì)參與進(jìn)來(lái)。安全團(tuán)隊(duì)將幫助確保數(shù)字孿生采用“最小特權(quán)”方法設(shè)計(jì)，以便它們盡可能遠(yuǎn)離物理環(huán)境。

此外，一旦部署，對(duì)物理和虛擬系統(tǒng)之間的任何連接進(jìn)行適當(dāng)?shù)膶徲?jì)就很重要。

就其本質(zhì)而言，數(shù)字孿生將始終擁有比物理雙胞胎更廣泛的用戶群。因此，公司進(jìn)行持續(xù)的安全教育以確保緩解各種特定于員工的漏洞至關(guān)重要。

預(yù)計(jì)到 2023 年，各行各業(yè)將出現(xiàn)新的數(shù)字孿生用例。通過(guò)采取措施解決安全漏洞，公司將利用該技術(shù)的優(yōu)勢(shì)，而不會(huì)成為急切等待利用它的威脅行為者的受害者。