工业网络靶场漫谈(六)|工业网络靶场建设的主要挑战

工业网络靶场漫谈(六)|工业网络靶场建设的主要挑战

时间:2021-12-21 作者:安帝科技

编者按

数字化转型发展背景下,IT/CT/OT新技术浪潮加速,系统连接性复杂性激增,复合风险因素增多,网络攻击成本降低,网络安全形势空前复杂,工业网络已成为网络空间攻防对抗的主战场。对关键信息基础设施网络攻击的严重后果,对现实世界来说可能是灾难性或前所未有的。当前迫切需要一种成本效益高和可复制的方法来提高网络防御团队的安全意识,增加OT网络防御团队的专业知识和技能,检验网络防御技术、产品、方案的可行性和效能,等等。试验床或工业网络靶场正是完成这一使命的战略选择,即建立具有模拟工业流程的具有成本效益、可配置和可扩展的,仿真工业控制系统的网络靶场平台。安帝科技在工业网络泛在化、数字化、智能化的背景下,持续探索工业网络安全跨域、复杂、融合、动态、协同的本质特征,倾力打造虚实结合的工业网络靶场平台,以期满足当前工业网络安全能力建设中利益相关方(运营方、监管方、防御方)科研、教学、培训、演练、对抗、比赛、测试、评估、演示等全方位需求。安帝科技工业网络安全研究院结合近年来的实践探索和前瞻技术跟踪研究,推出《工业网络靶场漫谈》系列,期待与业界同行探讨工业网络靶场能力建设之道,共同推进工业网络安全技术、能力、生态、产业高质量发展。尽管工业网络靶场的应用需求空前增长,但毕竟它要面临不同的行业、不同的目标、不同的形态,而且在设计的原则、实现的关键技术(模拟、仿真、虚拟化、数字孪生、云化)、持续运行、建设成本、自身安全性等方面均面临不少需要克服的问题。根据国家工业信息安全发展研究中心近日发布的《工业网络靶场平台综合测试评价报告》,工业网络靶场的能力评价因素主要包含攻防演练、教育培训、风险评估、技术验证、产品测试、监测预警;自身安全运维能力评价因素主要包含平台计算及存储资源管理、用户权限与角色管理、自身安全审计、接口管理等方面;关键支撑能力评价因素主要包含设备组件仿真与管理、网络拓扑仿真与管理、场景构建与管理、工业仿真能力、数据采集能力、工具及素材管理等方面。可见,工业网络靶场在设计、建设、运行、评价等不同阶段均有相应的考量重点,那么只有在综合分析设计、实现、运行、安全等方面技术和非技术的难点之后,才有可能开发出满足用户真正需求目标的靶场平台。本文着重分析设计和建设阶段的问题和挑战。

一设计阶段的挑战

基于安帝科技对工业网络靶场的定义,以及出于为专业工业网络靶场供应商的能力发展考虑,面对不同行业用户的不同需求,需要综合考虑行业特性、靶场形态和用户目标,因此理清所有可能的关注点或事关工业网络靶场可用性、可信性的因素至关重要。
1.仿真度/保真度。模拟和仿真中的保真度强调测试平台或测试预测与真实观察之间的结构、操作和过程相关性的程度,并可以通过定义测试平台的模拟设计方法来证明。这意味着靶场在工具(硬件和软件技术)、功能和操作方面准确再现实际工业系统的能力。涉及物理模拟的靶场通常被认为具有最高的保真度,而基于软件的平台保真度要低得多。
2、可伸缩性或可扩展性。指的是靶场平台在功能和大小上易于扩展的能力。即无需大量重新设计或重新配置即可将组件添加到现有测试平台设置中的能力。此功能对于用于验证新流程或算法的测试平台尤为重要。在设计目标和覆盖的体系结构组件中定义,并演示从靶场平台添加或迁移组件的能力,而无需对整个系统进行重新设计。
3、灵活性或适应性。指测试平台支持对可选用例的重新定义和重新用途的动态属性。例如,在设计目标中显示,测试台最初是用来分析漏洞的,但可以很容易地重新配置而用于分析安全事件的影响,或者用来检测漏洞分析工具。
4、重复性或再现性。描述一个测试平台在复制时产生一致结果的能力。这可以通过对架构组件、过程配置和设计目标的适当定义来证明;使他人可以很容易地复制实验参数,得到类似的结果。也就是说当重复相同的设计或设置时,靶场应该产生类似的结果。但是,必须强调的是实际测试过程中可能出现的结果差异。
5、模块化。允许有效地更改测试平台,以适应新的设计或功能需求。这使得工业网络靶场平台能够接受持续的改进。模块化可以从结构上帮助实现增量验证、可信性和可接受性。
6、可测量性和测量精度。这是两个相互关联的属性。可测量性描述了一个测试平台的能力,以实现测试的量化。测量精度量化了测量过程干扰(或不干扰)相应结果的程度。这两个属性都可以通过在体系结构组件定义中包含工具和定义相关指标来实现,以支持性能验证。

图1 工业网络靶场开发应用框架

7、互操作性。靶场测试平台的这个属性描述了支持任何模拟方法组合的能力,即支持基于软件的、半物理的或纯物理的模拟平台,方便和预期的目标对接、通信和使用信息。
8、成本效益。在定义的预算范围内的测试平台的属性。通常,在测试平台开发成本和它的保真度之间会有权衡。财务预算应当能够支撑实现测试平台的目标和目标所需的成本。由于部署测试平台的最初目的是降低成本(与使用实际系统的成本相比)并实现与真实系统相同的设计目标和场景,因此总成本减少到最低限度是很重要的指标。比如通过设计能够模拟多种服务和场景的便携式测试平台系统
9、安全执行或隔离。这个属性属于连接到测试床/试验台的真实世界测试用例。它确保安全模拟或仿真活动是有界和隔离的,以避免对实际系统功能产生任何影响。可以在体系结构组件级别应用网络分割和访问控制,以帮助显示测试的输出是不变的。这证明了试验台仿真的完整性。
10、可用性。描述测试床/试验台用于既定目的的能力。这减少了试验台误用的可能性,并且对于帮助用户具备不同的能力(上下文知识和技能)是必要的。通过应用具有友好用户界面的设计结构和组件,可以在体系结构组件级别提升它。如果能够支持具有不同技能的更广泛的用户,那么这可以支持可信度和接受度。
11、多样性。测试平台在不破坏前面讨论的可伸缩性或可扩展性的情况下包含不同供应商组件的能力。设备异构是物联网融合到ICS的一个常见特性,需要在测试床设计中复制。多样性可以在架构组件和模拟方法级别上进行演示。
12、监视和日志。观察流程执行的测试平台属性,并为安全目的优化数据日志。这些可以从评价过程的结果中显示出来。可以通过记录和审查已记录的产出以供将来参考的能力来提高可信性和接受度。
13、复杂性和开放性。这是两个相关的属性。开放性定义了模拟测试平台支持数据开放性或远程访问的能力。这可以在体系结构组件配置和评估过程级别上进行演示。复杂性确保体系结构组件透明地表示,以便支持单个数据访问或提取。
14、同步时钟。从空间分布上不同的几个观测者和几种日志模式(GPIO、串行、功率)收集测量数据时,需要与数据相关的时间戳与观测者在网络级别的时间基上对齐。此外,设备之间的协调也需要同步时钟。
15、实时操作和处理。这是对物理测试平台的要求。应该尽可能早地看到被测试设备的状态,即,在测试期间已经可以看到,而不是仅仅在测试之后。
16、检查。这是对物理的测试平台的要求,测试平台应该提供几个监视和调试选项,如串行日志记录、GPIO(通用目的的输入和输出)跟踪和电源配置。
这些考量因素中,有些是功能性的因素,仿真度、模块化、监控和日志记;有些则是非功能性因素,如适用性、可用性、扩展性、灵活性等。有的因素偏重于物理形态的测试床/试验台,有的侧重于虚拟化的测试平台。

二实现阶段的挑战

从当前已建成的工业网络靶场平台的现状来看,虚实结合的工业网络靶场形态是当前甚至今后一段时间的主流,尽管数字孪生靶场、云化的工业网络靶场的概念都已出现,但真正落地应用还需要时日。在综合运用仿真、模拟、虚拟化、云化等技术开发不同功能目的靶场时,会遇到各种各样的问题。
1、缺乏清晰的设计指南。当需要构建一个工业网络靶场时,对靶场架构有一个清晰的概念是非常重要的。一个清晰和明确定义的体系结构是必要的且是有用的,它可以指导不同组织建立自己的测试床/试验台,从而获得实验的可重复性。然而,从工程角度给出靶场的明确设计指导方针存在困难。
2、模拟真实环境的难度。一个工业系统必须代表一个真实环境中的工业场景,包括与环境相关的所有物理过程。即工业网络靶场必须包含安装在现实世界ICS中最常见的工业设备,并支持最常用的协议,不同版本。比如不同版本可能包含的不同漏洞,造成不同攻击策略。
3、功能安全的复制问题。由ICS控制的物理过程有很大的不同,小到相对简单的制造过程,大到复杂关键的核电设施。物理的过程容易受到环境状态的影响,最精致的过程不能总是在实验室中按比例缩小复制。此外,在针对过程稳定性的攻击中,一些看似不那么关键的操作都可能表现出重要的功能安全问题。
4、复杂性问题。工业系统设备可能很难配置和维护,这是特殊性之一,而且它们被设计用来执行精确和独特的任务。这种复杂性不仅表现为设备、环境、过程的复杂,还表现出人员知识技能的复杂,如具备管理和维护包含多个OT规范的复杂ICS的IT专家就比较稀缺。因此早期设计阶段就考虑维护需求,而不至于因后续增加的复杂性而导致管理成本的不可控。
5、成本效益问题。建造物理工业测试床的成本自不必用说。即使混合型的工业网络靶场,也必须平衡投入产出比,考虑建造和维护成本在预算范围内。目前可供研究使用的工业网络靶场数量也没那么多,特别是那些物理或实体部分的测试床,通常也不容易接触到,成本是其中一项重要原因。虚拟和仿真解决方案可以缓解成本问题,即使它们带来了保真度和复制精度的新问题。
6、可再现性。由于ICS的复杂性,再现某项研究的实验条件以复现结果或测试其他解决方案可能具有挑战性。原始条件和复制条件之间的差异可能很小,但仍然可能导致不同的结果。为了便于部署,实验管理系统可以通过使用模板或代码生成来帮助研究人员设置和管理试验台。此外,开发人员还可以提供模拟测试床的自动配置脚本,以简化共享过程。如果靶场是由物理过程和物理硬件组成的,那么很难完美地复制它们,因为许多外部变量会影响系统行为(例如,温度、湿度、压力)。
7、可扩展性。在模拟或仿真测试平台上进行扩展实验通常很简单,但在物理测试平台上进行扩展就会遇到挑战。真正的设备很贵,而且研究人员并不总是能够负担得起。扩展物理进程的替代方案是硬件在环(Hardware in-loop, HIL),即插入链中的物理进程的数学表示。HILs为系统提供了很大的可伸缩性,即使通常由于缺乏准确的数学模型而不可取。软件模拟是一种经济有效的解决方案,但其缺点是物理表示不够精确和可靠。为了提供系统可扩展性和对所实现的所有物理设备的智能重新配置,虚拟化可能是ICS中实现的一个很好的解决方案,而且没有任何实质性的缺点。
8、虚拟化的问题。虚拟化的优势毋庸置疑,但工业网络靶场的构建需要对通用网络设备、网络安全设备、工业设备和组件实现虚拟化仍然面临很多现实困难,特别是网络安全设备、工业设备和组件的差异较大,可能对厂商的依赖度会较高。另外利用开源虚拟化技术在后期随着靶场规模、设备型号种类的增多、用户数量的增大,可能面临性能的瓶颈。

三小结

无论是出于教育科研、竞技比赛、标准研制、测试评估、攻防演练、军工科技、威胁分析等等不同的目的,构建工业网络靶场都会在多种因素中权衡考虑,不可能有无限的资源,也不可能没有条件限制的技术实现。因此,依托实验室环境来研究真实运营的工业环境,必然使用建模、仿真、虚拟等技术,通过使用适当的抽象级别对物理过程进行建模,并结合支持高精度的架构,同时不牺牲可扩展性来解决这些挑战。在前述16项可能因素中,仿真度/保真度、可伸缩性或可扩展性、灵活性或适应性、重复性或再现性、模块化、可测量性和测量精度、互操作性和成本效益在靶场建设实践中是最为关注的点。