【摘 要】 网络靶场是开展攻防实战演练、安全测试、技术研究、教育培训、应急演练的实践环境,是支撑网络安全战略的重要基础设施。本文使用历史回溯、比较研究、文献调研等研究方法,梳理了网络靶场的发展历程,从服务目标、服务方式、服务类型以及服务成效等方面剖析了当前网络靶场服务体系,并结合我国网络靶场的建设现状提出了发展建议。
【关键词】 网络靶场 服务体系
1 引言
网络靶场是开展攻防演练、培训教育、网络和信息系统稳定性测试的重要基础设施,主要应用虚拟化、软件定义网络、虚实结合等技术对网络、设备、流量、攻击等进行模拟仿真,搭建仿真实验平台。近年来,各国高度重视网络靶场的建设,全球范围内科技水平领先的国家均把建设网络靶场视为支撑网络安全战略的重要基础设施,从战略高度谋划和建设网络靶场。例如,美国国家网络靶场(NCR)是其国家网络安全综合计划的重要组成部分,被称为新世纪的“曼哈顿工程”。该靶场建设时间超过5年,涉及单位60余家,投资超过千万美元,是支撑美国安全能力建设的重要资源和标志性工程。英国的联合网络靶场、加拿大的国家仿真实验室、欧洲防务署的网络攻防测试靶场、日本情报通信研究机构的星平台系统(StarBed),均是国家和相关行政部门长期重点关注和持续战略性投入的项目,承担了研究网络威胁、保护基础设施安全、支撑网络安全产业发展的重要任务。
本文梳理和研究了网络靶场的发展历程,从服务目标、服务方式、服务类型以及建设成效等方面剖析了当前典型网络靶场的服务体系,并结合我国网络靶场的建设现状提出了发展建议。
2 网络靶场服务体系演变与发展
近年来,网络靶场在呈现形态、应用技术、建设规模与服务体系等方面不断发展、演进,以适应不同阶段的安全防护能力需求。总体看来,网络靶场历经不断迭代,从传统实物靶标靶场发展为虚拟化网络靶场、大型虚实结合网络靶场以及行业特色网络靶场[1]。
2.1 实物靶标网络靶场
21世纪初,网络靶场建设处于起步期和探索期,主要以“还原真实软硬件平台”为主要特征。该阶段网络靶场以建立尽可能与目标系统相似的软硬平台为目标,以模拟软硬件IT资产(例如服务器、路由器、交换机以及相关应用软件)为主,主要发挥两方面作用。一是开展攻防演练与测试验证。通过实物靶标靶场测试攻击手段能否绕过防护成功入侵目标设备、系统或网络。二是开展威胁诱捕与风险分析。吸引黑客等的攻击,研究攻击行为,发现潜在威胁,进行风险研判。
实物靶标网络靶场能够提供真实的操作系统、真实的设备、真实的服务,以自行建设或第三方公司委托建设为主,采用直接本地部署、整体直接交付的服务模式。但此类靶场存在投入资金量较大、建设周期较长、迭代速度慢等不足,无法广泛使用,尤其是面对具有破坏性的攻击时,一旦被攻陷,恢复能力弱,因此只能在限定条件下发挥作用。
2.2 虚拟化网络靶场
2005年后,网络攻击呈现不确定性、复杂性、多样性特征,面对新的安全防护需求,网络靶场逐渐从实物型靶场演化到以网络虚拟化技术作为主导实现技术的网络靶场。此类靶场借助云计算、软件定义网络(SDN)等现有技术条件,按需定义主机、网络、设备、数据流量以及网络拓扑,可根据用户要求快速形成既定实训场景,开展攻防演练、教学实训等工作。
此类靶场大多搭载云计算、虚拟化、大数据等技术,可形成更复杂、更多样的仿真安全测试场景,同时,具有配置灵活、高扩展性,可支持泛在访问等特点,成为网络靶场建设的主流选择。但此类靶场主要存在以下3个问题。一是受大规模网络仿真、网络流量/服务和用户行为模拟等理论与技术不足的制约,无法达到预期的仿真效果,影响测试验证、技术研发等工作的开展。二是攻防演练对网络靶场资源的获取、释放频率要求极高,一般在秒级以内,同时需要网络靶场能够快速进行场景构建,对虚拟化技术以及硬件配置要求极高。受限于此,此类网络靶场多用于教学试验,较少用于开展实时性要求较高的攻防演练。三是建设规模较小、场景简单,与实际生产系统差距较大。
2.3 大型虚实结合网络靶场与行业特色网络靶场
近年来,我国下大力气发展大数据、人工智能、工业互联网等技术,能源、医疗、航空、交通等领域对大规模网络、信息化技术的依赖性更强,网络安全问题直接威胁国家关键信息基础设施等核心利益。特别是2014年后,网络攻击快速蔓延至工业领域,工业控制系统成为网络安全关注的新焦点,工控设备、工控网络成为靶场建设的新内容。为此,以工业领域靶场为重点的大型虚实结合网络靶场与行业特色靶场逐渐兴起。此类靶场主要有如下特点:(1)除靶场本身的攻防演练、漏洞挖掘、风险验证、应急演练、培训教育等功能外,靶场还集成了调度管控能力,可集成真实实物设备和安全设备,并在虚实结合组网的情况下快速自动实现网络仿真环境。(2)在建设模式逐步由独立发展、分散建设向集成化、体系化、协同化发展,其安全漏洞库、攻击工具库、防护策略均逐渐在一定范围内、一定条件下实现共享共建。(3)此类靶场实训能力逐渐增强,实训范围涉及分析、设计、研发、集成、测试、评估、运维等方面,支持开展全面深入的培训与测试。
3 网络靶场的服务目标
早期建设的实物靶标网络靶场以攻防演练、测试验证和威胁诱捕为主要服务目标,随着安全需求的变化,其靶场的发展定位与目标也发生了相应变化。当前,网络靶场的服务目标主要有以下4个。
一是建成支撑网络安全战略的重要基础设施。各国均将网络靶场视为国家网络安全的核心能力,具有网络安全公共基础设施属性,承担全面提升国家信息安全能力的任务。例如,美国在网络靶场建设方面抢先布局,除了建设若干领域内的专业型靶场外,2008年率先启动了国家级网络靶场项目,以实现网络空间作战能力的重大变革,打赢网络战争为发展目标。2010年,英国国防部启动建设先进水平的联合网络靶场项目,用于体系结构评估、组件测试、研发和训练,旨在研究网络威胁、保护基础设施方面发挥作用。与此同时,部分企业也纷纷通过采购或者自建的方式建设了行业特色靶场,支撑企业安全目标的实现[2]。
二是提高网络和信息系统的稳定性、安全性。网络靶场用于研究和测试网络上的安全威胁,评估关键基础设施在网络攻击下的安全性和生存能力,开展新技术的安全能力测试工作。另外,部分靶场系统集成了蜜罐网络,用于捕获和发现网络威胁,开展分析、研究、研判、取证等相关工作[3]。
三是解决安全开发测试验证核心共性特征和功能性能问题。通过使用虚拟化、云计算、大数据、虚实结合等技术与手段,为安全企业、工业企业、科研机构等提供安全技术开发、测试验证、教育培训、实训演练、攻防竞赛等公共服务,解决各行业企业、科研机构等自建仿真测试环境成本高、周期长、利用率低、可重复使用性差等问题,促进安全共性技术及产品的开发、测试与验证,培养和选拔网络安全相关人才,推动一系列相关技术研究成果的转化。
四是建成支撑学科可持续发展的“科学装置”。支持关键技术研发、创新已成为新时期网络靶场建设的重要目标。网络靶场可支持新型设备、协议和攻防工具在真实环境下重复性验证,测试新技术设备与安全产品在真实环境下安全性、稳定性和有效性。另外,从国家级靶场建设到小规模专用靶场建设,均注重发挥靶场的培训教育功能。例如,美国国家网络靶场构建了灰网、黄网、黑网、绿网4个子网络组成的网络实战实验室,通过在虚拟实战环境中开展攻防演练,提升网络作战人员的实践能力;密歇根网络靶场的主要功能是防御及教学,该靶场允许密歇根州多所大学以及陆军国民警卫基地接入开展训练、演练与教学工作;澳大利亚新南威尔士大学、澳大利亚国防学院堪培拉校园专门建立了校园网络测试靶场用于现代化军官人才的培养和训练[4]。
4 网络靶场的服务方式
当前网络靶场典型的服务提供模式主要有“网络靶场即服务”“靶场解决方案”“靶场中台”3种[5,6]。
4.1 网络靶场即服务
“网络靶场即服务”是指通过使用虚拟化、云计算、大数据、虚实结合等技术与手段,使“逼真的仿真环境”可以在无需安装任何客户端软件,无需本地部署的情况下,通过Web访问直接为企业、科研机构、个人用户等提供安全技术开发、测试验证、教育培训、实训演练、攻防竞赛等服务。“网络靶场即服务”主要有以下4个特点。(1)利用虚拟化资源,解决无法在真实环境中对复杂大规模异构网络和用户进行逼真的模拟和测试,以及风险评估等问题[7,8]。(2)以云平台方式提供网络靶场服务,可减少网络靶场先期大量资金的投入,减少企业的建设投入和运维成本。(3)支持软件定义的场景,通过软件模拟交换机、路由器、服务器以及OSPF、IGMP等协议搭建高仿真的实训场景,支持基于可视化拓扑拖拽的方式快速复现真实网络与生产环境。(4)通过Web浏览器可远程完成所有安全攻防实验,对实际网络运行环境或设备不会造成损害,具有较高的可逆性和损坏恢复能力。
4.2 靶场解决方案
提供网络靶场解决方案指通过第三方网络安全机构结合厂家自身在网络靶场领域的技术、经验、资源的积累,提供网络靶场产品。目前,主要有个性化定制网络靶场产品和标准化网络靶场产品两种交付模式。个性化定制网络产品在第三方厂家的研发基础上进行应用级的自主开发,这种模式对网络靶场供应商技术水平要求较高,要求供应商既有成熟的解决方案,又需要有较高的研发能力,可以调整底层架构、产品形态以适配用户要求和业务需求。另一种为交付标准化的产品,是直接交付运行稳定、功能完备的产品,此类靶场大多包含共性需求功能,如Raytheon公司的网络运营、发展和评估中心(Cyber Operations,Development and Evaluation Center,CODE)、Cyberbit公司的超逼真网络模拟平台CloudRange以及IBM公司的X-Force网络战术行动中心(IBM X-Force Command Cyber TacticalOperations Center)等[6]。
4.3 靶场中台
靶场中台即靶场组件资源池服务。靶场中台可提供场景组件、网络仿真组件、流量发生组件、数据处理组件,以及能力评估组件、态势展示组件,以及业务管理、用户管理等组件,用户在此基础上进行二次开发、API调用、模块级的自主开发,形成最终的网络靶场。靶场中台具有以下优势: (1)具有对不同业务、架构和网络环境的兼容能力,具备良好的扩展性与兼容性,能适配不同的系统、不同的设备。(2)支持在靶场中台组件、业务模块的基础上进行二次开发,支持多种类型网络、攻击场景的灵活组建,提供攻防演练、验证测试等。(3)借助API接口,可组合按需选择的攻防演练、漏洞挖掘、风险验证、应急演练、培训教育等模块。(4)靶场中台具有综合调度能力,可集成虚拟设备、真实设备进行快速组网,并开展测试验证。
5 网络靶场的服务类型
5.1 科研测试型靶场
科研型靶场主要针对网络安全研究人员提供测试验证环境,支持在靶场上开展网络安全研究、技术开发、网络武器研究、效能测试、系统脆弱性检验等一系列研究工作,推动创新技术快速转化应用到生产领域,起到技术“中试基地”作用。因科研型网络靶场建设周期长、资金投入高,故科研靶场多为国家和各级政府主导建设并推广应用,科研测试靶场主要有2类典型服务[5]。(1)漏洞挖掘。基于靶场的自动业务场景构建能力、实物仿真能力、虚实结合能力,构建针对软硬件的漏洞挖掘业务系统,实现针对交换机、服务器等IT设备或可编程逻辑控制器(PLC)、分散控制系统(DCS)、数据采集与监视控制系统(SCADA)、远程终端单元(RTU)等专业软硬件设备的漏洞挖掘。(2)风险验证。以漏洞资源库、风险库为技术支撑,对目标系统/设备进行测试和诊断,识别系统设备信息,测试系统脆弱度,分析已知漏洞,挖掘未知漏洞,生成告警和系统分析报告。
5.2 教学培训型靶场
教学靶场内置了大量的课件、题库、实验环境以及相关评测辅助等功能,通常集成了普通网络拓扑场景以及能源、钢铁、有色、化工、装备制造等关系国计民生的典型行业的应用场景,提供了集成基础教学演练、综合能力实训、技能评估和后台资源统一管理分配等功能的实训平台,可支撑从教学、实践、使用、监控、评估等维度开展培训工作[9]。
目前,教学靶场应用最广泛、使用需求最大。教学靶场主要具备以下4个特征。一是注重课程体系建设。教学类靶场课程一般涵盖基础理论课程、基础实训课程以及实战课程等各层次教学课程。二是注重实训平台建设。可支持构建真实的交互实验环境,面向服务器、交换机等通用网络设备或者可编程逻辑控制器(PLC)、数据采集与监视控制系统(SCADA)等工业设备开展漏洞利用、渗透测试、资产识别与扫描等实训。三是注重攻防演练能力建设。靶场攻防演练系统提供预置的超逼真的网络安全场景,每个场景都会预先注入一系列漏洞和脆弱性,以便学生利用场景进行攻防对抗演练和试验。四是注重培训管理的提升。近两年,教学培训靶场发展速度快,引入了大数据、人工智能等先进技术与理念,加强测试评价工作,强化教学靶场的培训效果。例如,以色列Cyberbit公司开发的网络靶场增加虚拟教练功能,利用大数据、人工智能评估受训者表现;部分靶场搭载了网络安全游戏,通过游戏化的方式增加学习和训练网络安全技能的趣味性,强化培训的效果。
5.3 取证靶场
取证靶场主要模拟真实业务系统,部署在企业互联网出入口,当识别出攻击行为后将攻击者转到取证靶场,进行分析研判与取证。一般在旁路部署大量完全逼真的设备作为“影子系统”来吸引攻击者。“影子系统”中会部署威胁感知传感器,采取主动蹲点的方式收集、记录攻击行为,并对攻击行为开展智能分析,确定攻击者的行为等级,同时会按照攻击者会话、会话的开始时间、会话内交互次数、会话内攻击行为的原始数据,详细对攻击行为进行记录,以便开展针对攻击行为的取证工作。
5.4 演练型靶场
演练型靶场可提供全流程演练环境,在虚拟环境中对真实的攻击、事件进行模拟。演练型靶场主要分为攻防演练型靶场与应急演练型靶场。
攻防演练靶场提供预置的网络安全场景,每个场景预先注入一系列漏洞和脆弱性,用于开展攻防对抗演练和试验。攻防演练靶场具有多平台、综合性、多样性、可复现、可重构的能力,支持多种演练模式:(1)入侵演练。对特定场景进行模拟入侵攻击,在有限的时间内从各种进入点执行攻击。(2)防御演练。负责保卫网络及其关键资产,注重于训练防御人员,识别和对抗攻击场景,培养实战经验。(3)对抗演练。采用实战演练模式,在一个高度仿真的演练场景中分配一队攻击队和一队防御队,两方根据各自的任务在场景中进行攻防对抗型操作。
应急演练靶场是应急人员能力培养的训练平台,通过应急演练靶场,围绕推演控制、推演评估、多角色协同推演等核心功能,为用户建立线上实操演练环境,该平台将结合具体的规范化流程进行实际操作,提升演练人员针对信息安全的认知和技能水平,达到理论实践结合一体化的目的。
6 总结与启示
网络靶场历经实物靶标网络靶场、虚拟化网络靶场、大型虚实结合网络靶场与行业特色网络靶场3个主要发展阶段,在呈现形态、应用技术、建设规模等方面不断发展,形成了完善的服务体系与丰富的服务能力,主要呈现以下特点。
一是多以培训教育、攻防演练和测试验证为主。早期建设网络靶场多以攻防演练、测试验证和威胁诱捕为主要服务目标,随着安全需求的变化,网络靶场的发展定位也发生了相应的变化,承担了支撑网络安全战略落地,提升网络和信息系统的稳定性、安全性与推进学科可持续发展的任务与使命。但受限于高仿真技术不足、建设成本过高、建设内容复杂且极具个性化等因素,目前建设的网络靶场多以培训教育、攻防演练、测试验证为主,在复现真实环境、测试验证新技术、发现未知风险等方面还处于探索阶段。
二是更加注重可用性和用户体验。网络靶场本身的部署、使用的便利性决定了其整体可用性和用户体验。当前,网络靶场多以本地部署为主,但随着近两年虚拟化、云计算、虚实结合等技术的发展和逐渐成熟,使“逼真的仿真环境”通过网络靶场即服务模式对外提供服务,大大提高了网络靶场的可用性和用户体验。同时,借助大数据、人工智能等先进技术打造的虚拟教练、用户效果分析功能,加强了全流程测试评价工作,强化教学靶场的培训效果。
三是逐渐强化公共基础设施属性,加强一体化服务能力建设。近两年,网络靶场在建设模式逐步由独立发展、分散建设向集成化、体系化、协同化方向发展。一方面,部分靶场开始探索共建共享模式,由不同部门联合国内优势企业、科研院所,采用统一技术规范与标准,坚持共享共建的思路,推进网络靶场建设。另一方面,强化网络靶场的公共基础设施属性,在安全漏洞库、攻击工具库、防护策略等通用组件资源上均逐渐在一定范围内、一定条件下实现共享。
我国在网络靶场建设方面起步较晚,处于快速跟进阶段,金融、通信、军工等重点行业均在规划建设行业性靶场测试床,但规模较小、场景简单,与实际生产系统还存在一定的差距。当前,我国推动工业化与信息化在更广范围、更深程度、更高水平上实现融合发展的要求必然对网络安全能力形成巨大需求,需要建设与目标高度一致的网络靶场,承载新技术转化验证、安全测试评估、安全能力摸底、攻防演练、教育培训等功能。一是建设一批具有公共服务能力的网络靶场。当前基于靶场所开展的攻防演练工作都相对独立,其安全漏洞库、防护策略均是在其本地构建,存在严重的重复建设和资源浪费情况,应通过政策引导、专项资金等方式统筹建设一批具有公共服务能力的靶场,同时扶持专业机构建设检查评估、安全监测、攻防测试等公共服务技术手段,提供风险预警、安全诊断评估、安全咨询、数据保护、系统加固等安全服务。二是研发一批先进的、关键性的网络靶场核心技术。保持与新技术融合是维护靶场竞争力和充分发挥靶场作用的关键,强化网络靶场的理论研究,加强大规模网络仿真、攻防行为模拟、实验数据采集分析、评价评估方面的技术开发,强化网络靶场的核心能力。三是形成一套“以测带建”的靶场服务机制,全面提升网络靶场服务价值。通过安全开发测试不断突破新的技术边界,实现在短时间内快速提升网络靶场的资源管理、应用服务、安全开发测试等能力。同时,建立并持续完善运营机制,积极利用网络靶场开展攻防演练、技术评估、漏洞挖掘工作,提升网络靶场的应用价值。
(原载于《保密科学技术》杂志2021年6月刊)