網絡安全下一個熱點：惡意數字孿生

“數字孿生”（Digital Twin）是一種通過物理對象的精確數字模型來理解、預測和優化性能的技術，可以幫助用戶提高決策效果并提供優化方案，在數字城市、行業和企業市場的應用越來越普遍。數字孿生也可以應用于模擬人類的傾向、行為和態度，此類數字孿生通常應用于營銷、研究和元宇宙場景。

數字孿生最大的價值是有助于獲得有關物理資產、系統乃至人員的實時洞察，從而在問題發生之前或之中檢測問題，也就是所謂的“預測性維護（或醫護）”。

2022年，數字孿生市場規模約為11億美元。根據Grand View Research的預測，從2023年到2030年，全球數字孿生市場預計將以平均每年37.5%的高速增長，規模將達到156億美元。

數字孿生擴大了攻擊面

隨著數字孿生的蓬勃發展，新的網絡安全風險也正如影隨形。畢竟，數字孿生也是基于數字基礎設施的應用，面臨的安全風險并不比IT系統風險小，甚至擴大了原有的攻擊面，以下是數字孿生面臨的主要風險：

• 數據泄露：數字孿生技術依賴于收集和處理大量數據，包括可能敏感的設備信息、操作數據、個人隱私數據等。如果數據存儲、處理或傳輸的環節沒有得到充分保護，可能會導致數據泄露。
• 篡改風險：如果數字孿生的數據或模型被惡意修改，可能會導致錯誤的決策或操作，從而影響物理系統的安全和性能。
• 身份認證和訪問控制：如果數字孿生系統的身份驗證和訪問控制機制存在漏洞，可能會被未經授權的用戶或惡意軟件利用，進而獲得對系統的控制。
• 依賴性風險：數字孿生系統通常依賴于其他的基礎設施，例如云服務、物聯網設備等。如果這些基礎設施遭到攻擊，可能會影響到數字孿生系統的正常運行。
• 軟件安全：數字孿生通常依賴于復雜的軟件系統。如果軟件存在漏洞，可能會被惡意利用。

美國政府問責辦公室主任Brian Bothwell認為，數字孿生與傳統的IT和OT環境一樣容易受到現有威脅的攻擊：“許多行業正在使用數字孿生來降低成本、改進設計和生產，并測試其供應鏈。但這項技術有多個攻擊面。有些應用，例如個人的數字孿生，會帶來技術、隱私、安全和道德問題”。

SPR首席架構師Mahadeva Bisappa認為，數字孿生與現實世界的孿生對象有著同樣復雜技術堆棧和配置（上圖），它們共享相同的系統、計算力（通常來自云）、網絡和數據流。“無論你使用什么產品（包括數字孿生應用），都需要保護所有端點和云平臺。這同樣適用于輸入（數字孿生）的所有數據，”Bisappa總結道：“數字孿生基本上可以看作是一個聯網應用程序，其安全性本質上仍然是應用安全問題。”

安全與合規提供商Hyperproof的CISO，IEEE高級成員Kayne McGladrey表達了進一步的擔憂：“最大的問題可能是CISO不一定知道公司內部已經開始使用數字孿生應用。我本人已經經歷過，業務部門在沒有咨詢網絡安全部門的的情況下實施了數字孿生解決方案。安全部門很難對不知道的東西（影子IT）進行有效控制。”

關于數字孿生的法律和監管問題，McGladrey指出：“主要問題是數字孿生的運營商能否保證數字孿生應用中的數據以符合數據保護法規要求的方式進行處理。此外，數據所有權也可能成為一個問題，特別是當企業與其他公司合作運營數字孿生時。”

CISO們還關注一個更具普遍性的問題：“很多企業擔心太多的安全控制可能會影響數字孿生的性能，因而沒有充分考慮安全和風險因素。”

“惡意數字孿生”時代即將到來

一些安全專家認為，數字孿生將帶來更多威脅。例如，馬里蘭大學網絡安全與信息技術學院講師Jason M.Pittman曾在2023年初預測了“邪惡數字孿生”的安全風險。在一篇博客文章中，這位學者預測：

“2023年惡意數字孿生將興起。未來，惡意數字孿生虛擬軟件模型將用于實施大規模網絡犯罪活動，如勒索軟件、網絡釣魚甚至對國家發動針對性攻擊。與傳統攻擊方法相比，惡意數字孿生的殺傷力更大，主要是因為惡意數字孿生模型的特殊性。”

Pittman預測，黑客可以創建企業員工的數字孿生角色（編者：利用生成式人工智能工具），將其放入數字孿生環境，最終將惡意軟件注入生態系統，Pittman補充說：“這為犯罪分子和黑客打開了一扇窗戶，而且不太可能有防御措施。安全專家還預測了數字孿生的新攻擊場景。例如，當黑客成功滲透到數字孿生環境，可以竊取、操縱數據，或者偽造模擬結果，從而達到破壞數字孿生模型或非法獲利的目的。”

此外，Bothwell還認為數字孿生存在與機器學習訓練數據類似的安全問題——數據中毒。

最后，網絡安全公司Intuitus的首席執行官David Shaw強調，數字孿生的安全防御目前依然是馬后炮，這通常會導致安全控制措施不足。Shaw呼吁：安全性必須是數字孿生的核心組成部分，并且必須從一開始就集成。