靶场:面向实战的网络靶场体系

 

导语


赛宁网安聚焦网络安全攻防对抗核心技术,是国际领先的专业网络靶场提供商,产品远销全球二十多个国家。“赛宁谈靶场”是赛宁网安结合市场需求,以及自身多年实践积累推出的系列文章,围绕国际网络靶场建设分析、网络靶场建设理念、体系化网络靶场实践等进行的深入探讨。

 

国际靶场建设分析

网络靶场建设,被称为网络安全“曼哈顿计划”[1],从美国国家网络靶场(NCR)建设开始,已经经历过12年的发展与演变。网络靶场也从军用技术走向军民两用,从国家规模走向商业规模,在军事、教育、政企等领域有着较为广泛的应用。

国际网络靶场的建设,可以大体分为两种类型,即自主建设与标准化产品。

自主建设的网络靶场,是根据建设方需求,从物理空间和软件系统上构建高度贴合业务要求的靶场应用,如美军的联合信息作战靶场(JIOR)[2]、英国的国家网络安全中心(NCSC)[3]、瑞典网络靶场(CREATE)[4]等。自主构建的网络靶场是结合需求方自身研发能力,与第三方商业公司配合,共同构建自主式的靶场架构与应用。

标准化产品的网络靶场,是结合厂家自身在网络安全领域的技术、经验积累,构建的标准化产品,如Raytheon公司的CODE中心(Cyber Operations,Development and Evaluation Center)[5]、IBM公司的X-Force Command Cyber TacticalOperations Center[6]。标准化产品的网络靶场,主要是通过成熟的第三方商业公司产品来实现建设目标。

国际网络靶场的建设,在技术、量级、第三方厂家等方面具有较明显的特点。即量级小,以购买标准化产品为主;量级大,在广泛寻求第三方厂家的基础上,进行应用级的自主开发。

国内网络靶场的建设,又具有建设开发一体化的中国特色。这就要求国内的网络靶场供应商,即能够提供成熟的、一体化的网络靶场建设方案,又能够配合客户去完成从顶层设计到底层架构的调整、提供技术积累与研发能力、共同完成靶场建设。

赛宁网安在网络靶场领域多年耕耘,有着深厚的技术与经验积累。有多款经过国际国内市场检验的靶场产品,能够为客户提供成熟的靶场系统;也能够与客户一起,从需求出发、从底层技术开始,构建客户自主的网络靶场系统。

 

赛宁网络靶场建设理念

在上一篇《赛宁谈靶场》中,我们提出了理想化网络靶场全景图,该全景图能够很好的指导网络靶场的设计、建设、落地。在网络靶场的实际建设中,需要从工程角度出发,确定建设理念与核心原则,根据理想化全景图进行适当的裁剪与调整。

理想化网络靶场全景图

作为国际领先的专业网络靶场提供商,赛宁网安根据理想化网络靶场全景图,以面向实战(Mission Oriented)为建设理念、先进专业(Advanced & Professional)为核心原则,结合多年建设经验,提出了理想化网络靶场的最佳实践—面向实战的网络靶场体系。

 

体系化的网络靶场

网络安全的核心是人,如何体系化地发挥人的作用,是网络靶场需要回答的问题。赛宁网安总结出靶场的业务脉络为人员训练->业务演练->战略战法演练。结合靶场业务脉络,推出了体系化的网络靶场系统。该系统基于融合的底层与中台系统,提供了独立解耦的靶场应用,每个应用都可以是靶场。

根据理想化网络靶场的6类应用,将典型的国际网络靶场与赛宁网络靶场进行映射,如下表所示。

理想化网络靶场的实践映射

人员训练应用

人员训练解决个人的能力水平的问题,如训练、教学、认证等。

实训靶场

实训靶场,从理论中来、到实战中去,是集“学、练、测、评”一体化的网络安全实战训练平台。提供信息安全基础、信息内容安全、密码学、计算机信息系统安全、软件安全、网络安全、训练靶场、信息科学技术基础、CTF安全攻防、移动终端安全等方向课程,由基础到进阶,循序渐进、科学合理。通过大数据精准分析,形成完整的人才能力评价体系,学员通过体系化的学习可快速提高安全技能。

核心课程体系符合英国NCSC(National Cyber Security Center)的CyBOK框架,完整覆盖了网络安全领域的知识内容。

CyBOK(Cyber Security Body of Knowledge)知识框架

竞赛靶场

赛宁竞赛靶场,是以赛代练、以赛促学的网络安全实战竞技平台。通过理论赛、解题赛、闯关赛、攻防赛等多种模式,提供全方位贴近实战的竞赛场景,满足各行业网络安全人才培养及选拔、网络安全大赛平台搭建以及实战对抗演练的需求,锤炼人员实战能力,是网络安全以赛备战的演兵场。

竞赛靶场已经过国内外数百场竞赛的检验,在部署、性能、竞赛类型、赛题储备上都属于世界领先水平。

业务演练应用

业务演练解决流程化业务问题,如实网演练、研究等。

演训靶场

演训靶场提供针对个人、团队业务的全流程演练,如渗透攻击、应急响应等,在虚拟环境中对真实案例进行还原,能培养人员的业务思维、锻炼解决实际问题的能力、积累实战经验。

在渗透攻击与深度防御方面,依据CCDCOE(NATOCooperative Cyber Defence Centre of Excellence)[7]提出的网络交战区模型,与深度防御架构,提供了涉及到Webshell、权限提升、横向移动、内网渗透、域渗透、C2、木马维持的靶场演练内容。在演训靶场中,支持Cyber Kill Chain、Cyber Engagement Zone渗透攻击业务演练,及深度防御业务演练。

基于Cyber Kill Chain的Cyber Engagement Zone模型

深度防御框架

实网演练靶场

实网演练是基于真实的生产业务网络,开展的攻防业务演练。通过将红方白盒化,在可控、透明的环境下,完成对真实业务网络的渗透与防御演练,消除了传统演练可能带来的风险,如渗透不透明、偷偷种木马、发现漏洞不上报等。

实网演练在国际上有着典型应用。如美军著名的Hack系列活动,通过对空军装备、海军陆战队系统、五角大楼网络[8]进行实网演练,发掘实网系统脆弱性、训练人员加固水平。

靶场测试床

靶场测试床是对针对网络安全研究人员提供的弹性测试床环境,具有隔离、可控、批量操作、数据自动采集等特性。研究人员可在测试床中开展武器开发、武器效能测试、武器环境适应用测试、装备边界性能测试、系统脆弱性检验、系统防御架构最优化测试、人工智能安全应用测试、机器学习算法框架性测试等一系列研究性工作。

战略战法演练应用

战略战法演练则是专业性应用,用来展开高烈度对抗、联合赛博演习、舒特系统研究、多域作战推演等专业性业务。

蜜网靶场

蜜网靶场,场景来自业务系统的1:1仿真和虚实结合,和真实场景完全一致,红蓝双方在“真实场景”中开展攻防对抗,将渗透测试,攻防演练提升为攻防实战,提升应急响应能力。通过关键信息基础设施场景仿真、攻防对抗、行为监控、总结分析等流程,来检验系统安全性,提高应急响应能力。多视图、多层次的攻防对抗过程展示,为安全管理指挥决策提供技术支撑;多维度、多视角的汇总分析,把实战演练成果转化为安全能力。

综合对抗靶场

网络靶场,是为网络安全体系化建设打造的关键基础设施。在超逼真的网络环境中,通过大规模攻击训练、情景式防护训练、高烈度红蓝对抗、全方位系统测试、多维度装备测试等多种典型业务应用,能够迅速强化个人实操水平、大幅提升团队整体能力、锤炼锻造实战策略运用、深入挖掘系统潜在风险、全面评估装备作战表现,是网络空间必不可少的“朱日和基地”。

随着机器学习广泛应用与算力提升,赛博对抗会逐渐从人的对抗向算力算法对抗演进。综合对抗网络靶场支持人工智能框架算法在网络作战领域的推演、验证、实战等。从而实现高频次自动化红方行动、检测恶意活动并阻止网络攻击、自动化日常安全任务等无人化操作。

综合对抗网络靶场具备更强的扩展性,可与卫星网络、ICS系统、IoT系统、武器系统等异构设备与系统,共同构建天地一体的赛博空间对抗演习,研究赛博技术在多域作战(Multi-Domain Operations)[9]的应用。

多域作战中的赛博域

依托互联网和卫星通讯网络,综合对抗网络靶场能够支持C5ISR[10]系统,可构建赛博指挥控制中心。赛宁移动阵地则可用于侦查、渗透、作战、反制等任务使命,具备高机动性,可与赛博指控中心通信级联。赛博指挥控制中心配合移动阵地,可以形成“1+N”形式的指挥控制作战网,服务于作战。

基于赛博指控中心及移动阵地的指挥控制作战模型

 

靶场中台及底层

赛宁网络靶场中台系统提供多类组件,能实现对不同靶场业务的功能性支撑。这些组件包括超逼真网络仿真组件、流量发生组件、数据分析组件、态势展示组件、业务管理组件等。中台系统可以实现所有靶场业务的系统数据、用户数据的融合,进行统一的管控,并具备业务、架构向前兼容的能力。

赛宁网络靶场底层采用自研技术,具备较好的扩展性与兼容性。可以支持不同类型的操作系统、IoT设备、ICS设备、网络安全装备、无线网络、卫星网络等,具备构建空天一体网络环境的能力。

 

成功案例

赛宁网络靶场体系已服务于国内国际客户,客户单位依托赛宁网络靶场体系开展了内训、外训、竞赛、研究、演练、对抗等多项业务,均获了良好的反馈。其中,实训靶场服务于国内某部队、郑州某院校、南京某院校、成都某院校、上海某院校、非洲某国、西亚某国、美洲某国等客户;竞赛靶场服务于国内国家级赛事、省级赛事、XCTF联赛、商业赛事等,影响力遍布全球;综合对抗靶场服务于国内某部队、某研究所、某院校、东南亚某国、西亚某国等客户,助力客户构建安全力量。

 

总结

网络靶场是构建网络安全能力的关键基础。靶场应该具备架构的先进性,实现业务松耦合、数据共同、底层共用。赛宁网安作为国际领先的专业网络靶场提供商,不仅能提供成熟、专业、国际化的靶场应用与资源内容,更能与客户一同构建自主式网络靶场。

索引

[1] 网络安全曼哈顿计划。美军在2008年启动了被称为新世纪网络安全“曼哈顿计划”的国家网络靶场建设,为美国防部模拟真实的网络攻防作战提供虚拟环境。

[2]联合信息作战靶场(JIOR)。美军为满足信息安全力量建设需要,启动信息安全靶场建设,为美军联合参谋部联合信息作战靶场(JIOR),应是属于最早成体系化和平台化发展的靶场。

[3]国家网络安全中心(National Cyber Security Centre)。英国国家网络安全中心于2017年成立。作为英国情报机构政府通信总部的一部分,中心通过多方合作,开展各类项目,行使多重职能,在抵御网络不良攻击、分析网络发展现状、促进网络人才建设等方面卓有成效,体现出浓厚的国家色彩和时代特征。

[4]瑞典网络靶场(Cyber Range And Training Environment)。通过针对全球网络环境及用户行为的模拟仿真,瑞典网络靶场和训练环境(CRATE)能够构建大型的基于真实环境的网络拓扑和场景剧情,并用于实战演训和武器装备测试。靶场先后为Baltic Cyber Shield等比赛提供竞赛演练的网络空间靶场环境,还为瑞典政府及军队提供网络空间安全性测试服务。

[5] CODE中心(Cyber Operations,Development and Evaluation Center)。开发和评估(CODE)中心是最先进的网络产品,用于测试现有和未来的关键任务系统是否受到网络攻击。

[6] X-Force Command CyberTactical Operations Center。IBM®X-Force®Command网络战术作战中心(C-TOC)提供了业界首个移动网络靶场和监视面板。X-Force CommandC-TOC可以配置为身临其境的训练网络范围,红队和夺旗比赛的平台,甚至是特殊安全事件的看台。

[7] NATO Cooperative CyberDefence Centre of Excellence。北约合作网络防御卓越中心(NATO CCD COE)是北约卓越中心之一,位于爱沙尼亚塔林。该中心于2008年5月14日成立,并获得北约的全面认可,并于2008年10月28日获得国际军事组织的地位。

[8] Hack系列活动。美军国防部第一个挑战是“入侵五角大楼”(Hack the Pentagon),该漏洞于2016年发布,在政府系统中报告了5,000多个有效漏洞。这些挑战和结果包括:入侵五角大楼、入侵军队、入侵空军、入侵空军2.0、入侵防御旅行系统和入侵海军陆战队。

[9] 多域作战(Multi-Domain Operations)。2019年北约联合空中能力中心(JAPCC)召开了主题为“为未来多域作战重塑北约”的会议,深入探讨了多域作战的意义、面临的挑战、多域指挥控制、多域特遣部队等问题,探索了美军及北约如何在新的作战环境下实现多域作战能力。

[10] C5ISR,Command, Control, Computers, Communications, Cyber, Intelligence, Surveillance and Reconnaissance。C5ISR系统是基于C4ISR系统提出,在原有的指挥控制系统上增加了Cyber,可满足多域的指挥控制要求。

(完)