工业网络靶场漫谈(九)-国内工业网络靶场产品概况

工业网络靶场漫谈(九)-国内工业网络靶场产品概况

时间:2021-03-15 作者:安帝科技

编者按

数字化转型发展背景下,IT/CT/OT新技术浪潮加速,系统连接性复杂性激增,复合风险因素增多,网络攻击成本降低,网络安全形势空前复杂,工业网络已成为网络空间攻防对抗的主战场。对关键信息基础设施网络攻击的严重后果,对现实世界来说可能是灾难性或前所未有的。当前迫切需要一种成本效益高和可复制的方法来提高网络防御团队的安全意识,增加OT网络防御团队的专业知识和技能,检验网络防御技术、产品、方案的可行性和效能,等等。试验床或工业网络靶场正是完成这一使命的战略选择,即建立具有模拟工业流程的具有成本效益、可配置和可扩展的,仿真工业控制系统的网络靶场平台。安帝科技在工业网络泛在化、数字化、智能化的背景下,持续探索工业网络安全跨域、复杂、融合、动态、协同的本质特征,倾力打造虚实结合的工业网络靶场平台,以期满足当前工业网络安全能力建设中利益相关方(运营方、监管方、防御方)科研、教学、培训、演练、对抗、比赛、测试、评估、演示等全方位需求。安帝科技工业网络安全研究院结合近年来的实践探索和前瞻技术跟踪研究,推出《工业网络靶场漫谈》系列,期待与业界同行探讨工业网络靶场能力建设之道,共同推进工业网络安全技术、能力、生态、产业高质量发展。

近几年来,随着网络技术在当代基础设施领域的广泛应用,需求侧的一些增量、存量问题集中显现,例如,针对相关系统、产品、网络等元素,缺乏功能、性能以及安全性的测试标准与评估环境;安全运维缺团队乏专业环境和专门工具进行持续的安全演训等。网络靶场作为一种新兴技术,几乎成为了网络安全圈内最热的概念。在工业网络安全领域,供需双方也不约而同地将目光聚焦于此,“工控网络靶场”、“工业互联网安全靶场”、“工业网络靶场”、“工业靶场”等各自不同称谓的产品纷纷涌现,似乎认定工业互联网安全的虚拟化靶场平台就是解决行业供需矛盾的最佳实践方案。
本文选取业内供给侧特色企业,通过公开信息渠道,将各自“工业互联网安全虚拟靶场平台”类产品进行命名方式、实现技术、功能特点、客户群体等维度的对比,总结当前行业产品现状,推测未来发展趋势。

01 工业领域网络靶场厂商概述

甲公司
工控网络靶场
工控网络靶场,是专门为工控行业网络安全体系化建设打造的关键基础设施。通过强大的虚拟化能力,对工控网络进行超逼真模拟;通过虚实结合能力,实现工控生产网络连通;通过大规模工控攻击训练、工控多行业场景模拟防护训练、工控高烈度红蓝对抗、系统测试等多种典型业务应用,能够迅速强化工控安全人才的个人实操水平、大幅提升工控团队整体协作能力、锤炼锻造实战技战法、深入挖掘系统潜在风险、全面评估装备安全能力水平,是工控行业网络安全的人才必不可少的演训基地。

工控实训靶场
工控实训靶场,是集“学、练、测、评”一体化的工控网络安全实战训练平台。平台为工控行业安全从业者提供综合工控体系精品课程和海量练习资源,通过丰富全面的工控课程体系,多行业典型方案,工控实验箱模拟实验等优质资源,配合大数据精准分析,形成完整的工控人才能力评价体系。工控实训靶场是工控行业客户提升自身网络安全能力、培养具备实操能力的工控安全人才最直接有效的培训基地。

工控竞赛靶场
工控网络竞赛靶场是一款具备工业网络仿真、工业系统应用仿真、工业设备仿真及业务系统仿真的平台级产品。使用实体的PLC、HMI、SCADA等设备或系统,可以接入竞赛靶场(CP-AD)的私有云平台,更加贴近实战,满足工控行业客户实战演练的需求。基于虚实结合技术,支持多种工控类物理安全设备与平台虚拟仿真实验环境的连接及部署互通,满足大型网络的组网需求,为网络安全大赛平台搭建以及实战对抗演练的需求,实现更高效真实的攻防实训、仿真测试的需要。

乙公司
工控网络安全靶场
1.拓扑组网系统:工业网络安全靶场通过可视化组网引擎实现操作网络和信息网络的快速复现、网络仿真和真实生产环境复制。
2.流量仿真系统:工业网络安全靶场的绿方系统主要用于构建靶场系统的演练环境,将真实的自然流量和威胁流量注入到网络演练环境中,保持和真实环境一致的网络体验。
3.任务向导系统:任务向导系统将完善的任务脚本预置编排在演练过程中,系统将会根据预定义的场景和剧情逐步引导学员或研究人员完成整个攻防剧情或应急演练。
4.威胁模拟系统:威胁模拟系统通过自动化的攻击脚本或攻击机框架,将红队攻击技能自动化实现,消除对传统“红队”攻击者的依赖,针对性提升蓝队防御技能。
5.场景生成系统:场景生成系统通过一键化生成预制场景模板,创建攻击目标及防御系统,提供学员或安全研究人员可回收可重置的虚实结合攻防场景。
6.白方评价系统:白方评价系统通过基于网络、主机的流量采集与日志分析进行攻防演练人员的能力评估、攻防工具的效能评估,可用于攻防过程推演,攻防流程跟踪评价。

丙公司
孪生仿真靶场网络演练平台
1.人员训练:平台提供了知识训练、技能训练、实战演训等多种训练方式,层次化、结构化的课程体系,多种行业场景、各种攻防阶段的训练科目,灵活的为参训人员量身定制训练内容。
2.比武竞赛:基于电力发电/变电、石化废液处理、轨交控制、智能制造、石油集输、政府办公网、移动通信网等行业场景开展竞赛,通过解题赛、攻防赛、渗透赛、红蓝赛等多种演练方式。
3.渗透测试:基于威胁样本库、测试用例库、知识图谱推演攻击路径自动生成攻击链,并能根据反馈调整攻击方式,对目标系统的安全性进行测试,给出测评认证报告。
4.特种应用:能够对待测的目标设备进行纳管,构建针对特定目标系统的安全测试的虚实结合应用场景,提供漏洞挖掘、漏洞利用、训练科目设计、安全评估等服务。

丁公司
工控安全教育实训平台
1.课程资源:提供覆盖工业网络安全对抗全过程近400多套课件,包含工业网络安全基础课程、专业课程、设备课程三大系列,13个课程分类。
2.实战化实训:通过云计算管理平台构建虚拟化仿真环境,并通过外部构造实际工控靶场(PLC、变频器、仪表等),提供大量基于工业网络环境的任务场景库,场景完全基于真实世界进行仿真。
3.工控知识库:通过多年对DCS、PLC、SCADA等工业控制系统的安全研究汇聚成强大知识库,通过知识图谱对基础课程、专业课程、设备课程等多方面实现关联,提供一体化教学解决方案。
4.课堂分析:学员可在“我的课堂”中查看自己的学习记录、选课情况及实验过程中截屏、录屏、实验报告、消息通知等信息,方便学员了解自身的学习情况和接收课程通知等信息。
5.考核管理:学员完成考试任务后,教员可以查询学员的考试成绩,并提供成绩排名、赛题答错人数、成绩分数等多维度的成绩分析报告,方便教员了解学员对课程的掌握程度。
6.智能教学:平台采用B/S产品架构,提供能够对外通讯的地址,学员和教员可登陆平台完成学习、考试、实验。

戊公司
工控网络靶场
1.高仿真:通过提供用户自定义网络拓扑绘制,实现真实网络环境复现,同时支持物理设备、数字孪生网络接入及调试,使用真实攻防工具进行模拟演练,通过行为仿真引擎引入真实场景发生流量,达到高逼真场景复现。
2.可变焦:根据培训、演训、测试目的,在靶场中可选择突出点粒度的对象搭建靶场环境,有针对性地开展测试验证。如一个业务场景中对多个环节,做到可变焦,聚焦到细节中。
3.可视化:采用可视化方式,直观、清晰地展示针对工控系统的攻击流程以及攻击效果。提供一系列的可视化方案:活动演练可视化、测试床硬件测试可视化、蜜罐威胁展示可视化等。
4.攻击链:不再关注单一漏洞,通过溯源分析,刻画攻击者画像,分析攻击手法及攻击危害,真实还原完整攻击链条。为企业、工厂演练提供重要验证依据,同时,提升工厂运维人员的安全意识及实操能力。
5.会迭代:针对最新发现的工控漏洞,做到迅速响应分析,将新型漏洞转化为靶标加入到靶场当中。同时,实现基础场景定期更新,满足用户在突出点场景演练、测试情况下的需求。

02 工业网络靶场的比较分析

1、命名方式

命名方式看似不起眼,规则各异,但又具有“家族”属性,其中包含了一家公司对于其产品的定位和侧重。有的企业突出功效分类,产品名称简短,定位直接,例如:甲公司,戊公司;有的企业突出客群行业,名称包含具体指代,例如:丁公司;有的企业突出安全属性,例如:乙公司;有的企业则突出关键技术,例如:丙公司。

2、实现技术

技术的选取是产品能否实现靶场定义的关键,也就是尽可能真实地还原工业系统的网络、设备与数据。当前主流技术为模拟和仿真,前沿技术为数字孪生,从各自官方描述中可以发现,每家企业几乎都涉及了这样的词语。模拟、仿真的混合出现,说明了在构建真实工业系统的过程中,企业根据各元素的实现难易程度、在系统中的功效等因素做出了等效替换。
数字孪生,几乎可以说是实现真实还原的最佳途径,一旦完美嵌入,必将实现靶场产品质的飞跃。但当前还面临工业设备品牌壁垒、成本投入巨大、技术使用门槛高等问题。

3、功能特点

各企业根据自身优势确定产品功能。通用功能上,都支持真实场景、设备的模拟与搭建,但在客户参与度上不同,有的企业允许镜像上传,例如:甲公司;有的企业允许虚实结合,例如:甲公司,戊公司。特色功能上,有的企业支持按照教育规律下内容的高度定制,例如:甲公司,丙公司,丁公司;有的企业设计了自动化的剧本机制,优化了客户使用体验,例如:乙公司。

4、客户群体

从图中可看出,各家企业几乎便都将企业、学校、竞赛等通用客户纳入了目标范围。但是由于整体行业尚处于初级迭代,还存在高精度场景环境映射困难等客观实际,在描述方面,除了丙公司之外,其他并没有特别突出科学测评、公安执法与军事应用。当前需求侧受到国家政策、行业导向、企业需求的多方面影响,客群目标时常会产生交叉,所以实际应用不受具体行业限制,产品几乎可以满足通用客户的主要需求。

03 安帝科技工业网络靶场

针对工业领域网络安全问题的行业特点,安帝科技近几年大力发展虚拟靶场产品,在众多设计理念、实现技术、功能定位、客户群体等方面,与友商基本保持一致,例如针对工业系统、设备、网络和数据的仿真模拟,复杂场景的半自动化搭建,全要素的虚实结合,教学实训的智能化管理以及基于数字孪生技术的深度应用。同时,安帝科技着力创新突破,不断拆解客户需求,发挥工业网络安全实践经验丰富的优势,逐步扩大并跑、领跑的优势,在夯实底层能力的同时,融入靶场云化、靶场互联、虚实结合、孪生靶场等新兴元素,在建设工业网络靶场平台时,侧重展现以下几个方面能力,力求给出更为贴合需求的解决方案。

突出工业核心层级虚拟化
虚拟平台能实现典型的工业互联网场景虚拟化,具体涉及到:场景虚拟化,如新能源、风光水火发电、轨道交通、智能制造、石油石化、水务等场景;控制器虚拟化,如控制系统PLC(西门子、施耐德、三菱、AB)等;监控层虚拟化,如组态软件WinCC、IFIX、KingView等;信息层虚拟化,如OPC客户端(WinCC软件监控版等);IT层虚拟化,如各类主机虚拟化,OA办公应用虚拟化;以及工控协议虚拟化,如Modbus TCP、S7、EtherNet/IP、CIP、OPC等。
虚拟平台的搭建,能够无限接近真实的工业系统环境(包括工业场景、控制系统、监控上位机、工控协议、工控信息层、管理信息层),相比较于其他友商的部分虚拟化,该虚拟化的搭建更体现了全场景的虚拟化,可以在一组(台)服务器阵列中实现整个工业互联网场景的虚拟化。

突出工业设备、业务、场景完备化
虚拟平台利用虚拟PLC,虚拟SCADA,虚拟数据采集监视系统,虚拟SIS系统,虚拟MIS系统,仿真新能源、风光水火发电、轨道交通、智能制造、石油石化、水务等控制流程,并在流程中加入工控防护设备(工控防火墙,工控网络审计,工控风险评估等)。设备层产生生产数据,监控层下发生产指令至虚拟PLC,并监控生产状态;管理层对外提供数据接口服务。用户通过管理层开放的对外Web服务接口对仿真环境进行递进式渗透,也可以通过工控安全攻击架构平台在系统内进行攻击和学习。

突出人员能力培养多元化
虚拟平台各个层级的相关模块可以独立出来作为模块化学习的子模块。平台即刻变成一个集成单兵学习、团体学习、团体比赛为一体的综合性管理软件平台,并辅助以完整的学习和实训模块。
学员将可以使用该平台,并利用各种渗透测试手段对未知信息化系统的网络和各个节点进行渗透,尽量找到未知信息化系统内存在的安全漏洞机隐患。平台实训模块在该过程中,智能分析学员工控安全运维能力,代码编写能力、安全工具使用能力、工控业务理解能力,并结合学员行为日志分析,输出学习反馈情况报告,精确定位学员技能短板,提高人员测评效率。

突出复盘任务管理高效化
在模拟网络攻防任务演练中,赛后对过程的复盘研究有着强烈的需求。在攻防任务进行中,通过日志采集的方式对任务进行日志收集后,再通过特定规则对数据进行清洗入库,与复盘管理展示功能进行针对性规则匹配,为用户对靶场内部已完结且带有日志监控方式的攻防任务,提供复盘展示脚本框架快速生成的功能,并提供修改、删除、添加、事件复制等辅助性手段,为复盘管理剧本深化提供相应支持。

突出环境部署场景构建简洁化
虚拟平台采用向导式场景构建,能够引导用户快速构建靶标环境,使得靶标环境更稳定、可靠;向导式创建任务,能够引导管理员配置任务模式及用户接入方式,包括比如拓扑结构、节点数量、规则参数等,有效保证仿真实验效果;所见即所得的拓扑创建,使仿真各类复杂业务网络场景变得更加简单。平台可以部署在云端,利用集群服务器算力,支持线上比赛;可以场景独立部署,工业互联网虚拟化靶场支持多个队伍同时拥有自己独立场景,比赛中每个场景网络都可以隔离,支持并行比赛或攻防实验。

04 展望

在目标场景数量方面,面对不断增长的跨行业客户需求,其他类型的关键基础设施,包括智能电网、银行、智慧交通等也需要被纳入新增计划。彼此串联后,可以形成城市级或者更大规模的规划。
在单个场景方面,为了实现更加真实地反映目标场景,对场景中其他元素的不断完善就变得很重要,例如:各类通信设备、传感元件、认证系统等。不可否认的是,细小元素的实现绝不是一件轻松的事,做起来可能会花费数年甚至更久的时间,可一旦市场认可了这样的趋势,那么许多现在看起来极难达成的目标,例如:军工、航天、太空等靶场的规划便会越来越清晰。除此之外,数字孪生也是一种可以仰仗的技术,如果业界能够充分将物理模型、传感器、运行历史等数据进行更有效地结合,那几乎可以在根本上解决“真实”的问题。
在产品设计方面,为了更好的服务于客户,部署方式需要更加轻便,配置难度需要更加简化,采用靶场云化的方式就成为了一个可选项,到时客户直接跳过专业工程师的界面,专心做一名用户;但在涉及场景使用时,人工参与配置的程度需要一套更加智能的辅助逻辑,以便提升半自动化的人工创建能力。
在产品功能演进方面,靶场产品能做的还很多,安全与业务的很多环节还需要细化,例如风险的发现与监测,评估参考标准的生成,生产效能的升级与优化等。
毫无疑问,人类正在经历着前所未有的工业数字化革命,人类将再一次面对便捷和威胁这样的永恒问题。虚拟靶场在定义之初,便有意识地设计、开发出一个包含未来世界的多维度平台。随着数字化转型的展开,与供需两侧的不断升级,靶场平台将以更友善、更智能的角色出现在科技与人类的矛与盾之间,给出自己新的贡献。

涉及友商的产品描述均来自厂商官网