从安全视角看“数字孪生”的前世、今生与未来
星期三, 十月 9, 2019
巴黎圣母院的一场大火让世界叹息,修复工作也立刻被提上议程。
从目前来看,恢复大教堂的信息比较丰富,包括各种平面图像、3D 图像等。而更为重要的是,美国瓦萨学院的艺术历史学家安德鲁·塔隆 (Andrew Tallon) 在 2014-2015 年期间,通过使用激光扫描仪创建了一个完美无瑕的大教堂的数字模型。
此外,育碧的设计师 Caroline Miousse 曾花两年时间造访、研究巴黎圣母院,并在《刺客信条大革命》中 1:1 重现了巴黎圣母院,外媒 SFGATE 也表示精细的 3D 图像资料或许能对巴黎圣母院的修缮工作起到帮助作用。通过这些数字模型不仅建立起大教堂的三维图像,同时能够揭示其他难以察觉的结构问题。
巴黎圣母院已经在虚拟世界中得到永生,数字模型或许也能够帮助巴黎圣母院的修复,让其 “重生”。通过数字模型,越来越多的人认识到 “数字孪生” 技术的应用价值,凸显出数字孪生技术的重要作用。
简单来说,Word 电子文档和打印出来的文稿就是 “数字孪生”;城市中的实体道路和导航软件中的虚拟道路也是 “数字孪生”。
在 “数字孪生” 中,双胞胎中的一个是存在于现实世界的实体。而双胞胎中的另一个则只存在虚拟和数字世界之中,是利用数字技术营造的与现实世界对称的镜像。也就是说,数字孪生技术能够让我们完美地复制出一个数字化身体,但它不仅仅是复制,还能够追踪这个数字化身体每一部分的运动与变化,更好地进行监测和管理。
上述的巴黎圣母院的数字模型案例之所以是 “前世”,是因为它体现的是最基础的数字孪生概念,只实现了数字模拟的复制过程,保留了建筑原型,但并未真正追踪与监控、从中获取更大的价值。
全球最具权威的 IT 研究与顾问咨询公司 Gartner 从 2016 至 2019 年连续四年将 “数字孪生” 列为当年十大战略性技术趋势。Gartner 认为最新的数字孪生概念在物联网领域中的应用前景最为乐观,且包括以下四个特点:
1. 模型足够健壮,能够为具体的业务目标与结果所服务;
2. 与现实环境相关联,甚至能够实现实时监控与控制;
3. 与高级数据分析及AI技术相结合,创造新的业务机会;
4. 具备高交互性,能够评估可能会发生的情况。
注:CAD 计算机辅助设计;FEA有限元分析
Gartner数字孪生示意图
知名咨询公司德勤 (Deloitte) 也在 2017 年发布的 “工业 4.0 与数字孪生” 中对数字孪生的架构进行了清晰的描述。
德勤数字孪生示意图
从目前来看,数字孪生至少将在运维测试、变更管理、设备的运行监控与保障上产生非常积极的作用。
在运维测试、变更管理方面,通过使用数字孪生,可完美将线上真实环境 1:1 复制于测试、变更控制环节,在孪生环境中试部署即将上线的项目或变更,确定其对环境的影响,通过 1:1 的 “真实替身” 演练,从而降低部署和变更可能造成的隐患,发现由于测试环境、线上环境不一致所造成的竞争风险或基线不符等深层次问题。就好比人对于第一次使用的药物可能存在过敏反应,但也只能通过 “真身试敏” 的方式来承担风险。而在数字化环境中,通过使用数字孪生,则可以使真实环境不再需要承担任何风险,同时获得完全等同的结果反馈。
在设备的运行监控与保障方面,数字孪生能够帮助用户实时监控生产过程中所涉及的组件、资产、系统或进程,帮助用户实时掌握运行环境状态。同时,通过整合机器学习和专家工程师的意见,数字孪生能够在问题发生之前提前发现问题,并预测问题后果,避免巨额的事故损失。另外,利用对数字实体的虚拟操作,还能实现远程的精准故障排除与技术支持。
而在网络安全建设方面,数字孪生通过与攻击欺骗结合,可实现更为广阔的应用场景和更为有效的攻击感知。
Gartner 从 2015 年起连续四年将攻击欺骗列为最具有潜力的安全技术。欺骗技术是指使用阻止或混淆攻击者认知、破坏攻击者自动化工具、延迟攻击活动或破坏入侵进程的欺骗行为。这些技术利用的是攻击者和工具在执行攻击活动或收集情报期间与交互的网络协议、基础设施、应用程序、系统和数据元素之间必须具备的信任弱点。欺骗技术的实施现在已经覆盖堆栈中的多个层,包括端点、网络、应用和数据。
而作为能够 1:1 复制真实环境的数字孪生,笔者认为对于实现攻击欺骗有着得天独厚的优势。数字孪生与攻击欺骗的结合应用初步研究可以包含以下两个方向:
1、并列式数字化数字孪生攻击欺骗
并列式数字化数字孪生攻击欺骗,即将需保护网段环境 1:1 在另一网段进行复制还原,从而使得真实环境、孪生环境并列存在于两个网段。此外,孪生环境一般在靠前网段,便于对攻击者的网段扫描进行提前响应,并在其中进行攻击欺骗方案部署,主动散布各类虚假脆弱性引诱攻击者,同时将攻击真实环境网段的攻击流量进行牵引,实现攻击隔离和欺骗时间拖延,并对攻击者进行强力真人溯源。
2、混淆式数字化数字孪生攻击欺骗
混淆式数字化数字孪生攻击欺骗,其相比并列式数字化数字孪生攻击欺骗,拥有更细的孪生粒度。它不再产生新的孪生网段,而是直接在现有真实网段中,对需要进行保护的系统进行同网段 1:1 复制,并分配该网段 IP,成为该网段的 “孪生系统”,孪生系统一般相比于其孪生的系统,也在其靠前 IP,便于对攻击者的网段内扫描进行提前响应,并在其中进行攻击欺骗方案部署,主动散布各类虚假脆弱性引诱攻击者,从而实现将攻击者的第一目标从同网段的真实环境转向到孪生环境,尽可能延长攻击时限,为应急响应争取宝贵时间,并对攻击者进行强力真人溯源。
根据现有实践,上述两类方案的混合使用能够实现数字孪生与攻击欺骗结合的最佳效果。
不管是在物联网领域还是数字化政府建设或个人科技方面,数字孪生技术的应用都处于早期发展阶段,技术手段也存在一定瓶颈。Gartner 的 2019 年物联网技术成熟度曲线也印证了这一点。
但实践已表明它的能力已不可小觑。相信数字孪生技术可以在不久的将来,尤其是在安全行业中将带来无限的可能。在安全建设维度上,随着攻击欺骗技术的发展,数字孪生也将有更多想象空间。
如有侵权请联系:admin#unsafe.sh