当企业购买一种新的智能资产时，无论是卡车、反铲挖掘机、电梯、压缩机还是冰箱，通常都会附带相应的数字孪生。

Digital Twin被称为“数字孪生”，也被称为“数字镜像”、“数字双胞胎”或“数字化映射”等，是以数字化方式为物理对象创建的虚拟模型，来模拟其在现实环境中的行为，可以说Digital Twin代表了物理世界与虚拟世界的融合。国外专家认为，数字孪生是一种对“对象、结构或系统”的数字表示，可以让组织更深入地了解这些对象的生命周期，但这样在虚拟世界里可以达到的洞察力和控制或会为恶意攻击者打开大门。

通用电气全球研究公司（GE Global Research）执行技术总监贾斯汀·约翰逊（Justin John）表示：“数字孪生可以为任何物理基础设施创建模型，包括发动机、涡轮机和其他任一设备的单个组件，甚至整个工厂和数据中心。数字孪生的不同之处在于，它的特定序列号是组织在现场部署的，它要么有物理学的支持，要么已经通过历史数据了解了资产是如何运作的，组织可用它来分析预测故障并提前报警。”

John说，数字孪生可以扩展到更为复杂的系统模型。“组织可以同时将五到六种不同的模式组合在一起，以获得他们感兴趣的商业成果。在某些情况下，数字孪生甚至可以用来直接控制镜像的资产。

CISO所面临的数字孪生挑战

通过使用数字孪生的数据，可以调整现实世界中的设备或系统，使其尽可能高效地工作，从而节省成本并延长其生命周期，但这也同时带来了安全风险。

Gartner物联网研究副总裁Alfonso Velosa表示，尽管CISO可能是数字孪生项目的利益相关者，但他们从来都不是最终的决策者。他说：“由于数字孪生是推动业务流程转型的工具，因此业务或运营部门通常会主导这一举措。大多数数字孪生都是为满足特定的业务需求而定制的。”

Velosa认为，当企业购买一种新的智能资产时，无论是卡车、反铲挖掘机、电梯、压缩机还是冰箱，通常都会附带相应的数字孪生。“大多数运营团队需要的是精简的、跨IT的各种支持，而不仅仅是CISO的支持，这样才能将数字孪生整合到更广泛的业务流程中并管理好安全。”

如果没有实施适当的网络安全控制，数字孪生可能会扩大公司的攻击面，使不法者能够访问以前无法访问的控制系统，并暴露可能存在的漏洞。

数字孪生扩展了攻击面

当系统的数字孪生被创建后，潜在的攻击面就加倍了，不法者可以攻击系统本身或攻击该系统的数字孪生。

有时，当底层系统不易从外部访问时，数字孪生可能会暴露企业所隐藏的部分。比如，过去数据中心中的电源，可能只有物理上位于控制终端附近的技术人员才能访问，而此类基础设施的数字孪生可让技术人员远程监控设备，因此这也就意味着黑客同样可以远程监控设备。

Velosa表示：“现在暴露的不仅仅是以前无法访问的传感器数据，在某些情况下，数字孪生可以发送控制信号，改变正在建模的实际事物的状态。”

Velosa提出，当数字孪生是实时数据提供的商业运营模型时，它们可以收集关键的企业信息，有时还会收集员工和客户的个人身份信息，这就使得这些数字孪生成为了诱人的目标。

Velosa补充道：“根据相关法律法规，这还可能导致监管和合规的处罚。当然，这也突出了数据的重要性，因为数字孪生是为了满足业务目标而被构建的。因此，可以说数字孪生的存在，不仅可以对公司的战略和未来方向提供有价值的见解，还同时可以告诉竞争对手企业现阶段正在做些什么。”

此外，咨询公司NCC group的CISO劳伦斯·蒙罗（Lawrence Munro）表示，数字孪生与它们的物理孪生相关联，这种关联本身就为双胞胎之间的跳跃提供了额外的攻击向量，如果其中一个受到损害，另一个也难逃牵连。

最后Munro表示，部署数字孪生，允许内部用户或第三方进行远程监控，这是一种提高效率的行为，但也同时会带来远程用户通过网络连接访问物理孪生的威胁性。