工业网络靶场漫谈(二)|工业网络靶场的主要用途
时间:2021-00-26 作者:安帝科技
编者按
数字化转型发展背景下,IT/CT/OT新技术浪潮加速,系统连接性复杂性激增,复合风险因素增多,网络攻击成本降低,网络安全形势空前复杂,工业网络已成为网络空间攻防对抗的主战场。对关键信息基础设施网络攻击的严重后果,对现实世界来说可能是灾难性或前所未有的。当前迫切需要一种成本效益高和可复制的方法来提高网络防御团队的安全意识,增加OT网络防御团队的专业知识和技能,检验网络防御技术、产品、方案的可行性和效能,等等。试验床或工业网络靶场正是完成这一使命的战略选择,即建立具有模拟工业流程的具有成本效益、可配置和可扩展的,仿真工业控制系统的网络靶场平台。安帝科技在工业网络泛在化、数字化、智能化的背景下,持续探索工业网络安全跨域、复杂、融合、动态、协同的本质特征,倾力打造虚实结合的工业网络靶场平台,以期满足当前工业网络安全能力建设中利益相关方(运营方、监管方、防御方)科研、教学、培训、演练、对抗、比赛、测试、评估、演示等全方位需求。安帝科技工业网络安全研究院结合近年来的实践探索和前瞻技术跟踪研究,推出《工业网络靶场漫谈》系列,期待与业界同行探讨工业网络靶场能力建设之道,共同推进工业网络安全技术、能力、生态、产业高质量发展。
新冠疫情对全球政治、经济、文化、社会等领域产生了深刻影响,世界秩序不复从前。大国博弈、地缘政治竞合加剧,新技术浪潮加速,系统连接性复杂性激增,复合风险因素增多,网络攻击成本降低,网络安全形势空前复杂,工业网络正在成为地缘政治争斗的主战场。随着万物互联、工业4.0、IT与OT融合发展的推进,网络安全风险已经逐渐渗透到各个工业领域,给国家的关键基础设施安全带来严重威胁。世界各国纷纷出台的网络安全国家战略中,关键基础设施保护成为广泛关注的重点。
网络靶场的建设,成为当前全面对抗工业网络安全风险挑战的有效手段之一。目前各国都已经把网络靶场视为网络安全能力建设的重要发展方向。网络靶场的技术、应用、需求呈规模化发展态势,整个行业发展加速,工业网络靶场逐步受到政府、军工、院校、研究机构和关基企业的青睐。
一、网络靶场的应用目的
网络靶场的概念体系包括行业域、任务域和应用域三个层面[1],如图1所示。从行业域层面来看,网络靶场的核心是要涵盖政府、国防、金融、电信和工业等领域,满足其网络空间基础设施安全体系建设与科研试验应用需求。从任务域层面来看,通过网络靶场的顶层设计与体系建设,可以完成能力测试评估、产品安全性测试、和人才教育培养等任务。从应用域层面来看,网络靶场可以为各类用户提供一系列网络化联合应用,包括支撑国家基础设施安全防护体系建设、自主可控软硬件安全性测试等。
网络靶场的应用方向以及用途多种多样。多年来,网络靶场的主要用途随着技术的变化和网络安全风险的加剧而变化,特别是作为一个国家军事能力(网络能力)的一个层面。
网络靶场拥有广泛的目标用户,图2展示了网络靶场的目标用户和目标实体。
1、安全研究
网络靶场是在广泛的安全领域进行安全研究的基本手段。就其性质而言,网络靶场本身是由世界各地的研究人员开发的,以研究新的攻击检测和缓解方法、恶意软件的模拟等等。
2、安全测试
与安全研究一样,这是网络靶场最传统的用途。通过网络靶场对模拟系统和应用程序进行测试,并以可控的方式对其进行安全攻击,以便在部署和使用之前确定潜在的漏洞。
3、实践培训
如今,大多数的安全培训采用线上授课和/或线下面对面培训两种方式。在这两种情况下,大部分的学习都是通过视频或现场讲座,以及阅读笔记或幻灯片进行的。相对来说,花在实践学习上的时间很少。网络靶场的使用改变了这一点,因为它可以提供一种方便的、更具成本效益的方式来提供实践培训,以及相关的培训评估和认证。根据美国Gartner公司的数据,到2022年,15%的大型企业将使用网络靶场来发展其安全团队的技能。
4、安全教育
安全教育具体指的是学术界,而非上文提到的专业人士在离开大学后所接受的终身学习和培训。业界反复抱怨的问题之一是年轻的毕业生缺乏实践经验,造成这种差距的根本原因是为学生提供实践经验的成本和复杂性较高。现如今,世界各地的大学已经开始关注网络靶场,将其作为改善教学的一种手段。
5、网络能力的发展
网络能力是一个国家可用来抵御或通过网络空间施加影响的资源和资产。在人员方面,网络能力与安全专业人员在广泛的网络攻击和防御领域的能力一致。在这种情况下,网络靶场是一个国家网络能力演进的平台,可用于发展安全专业人员的能力,研究和开发网络工具以及其他资产,并持续提供网络演习以测试这些网络能力。具体来说,网络靶场允许一个国家在一个完全不同的规模和效率水平上进行网络能力的发展。
6、能力评估
能力是一组属性,如成功执行特定任务所需的知识、技能等。随着安全技能差距的增加,组织需要一个有效的方法来评估和选择合适的人员。使用网络靶场可以使组织在传统的测试之外进行能力评估。通过网络靶场设计实际任务,并基于对任务的成功度和/或对用户行为的观察以及在执行实际任务时的选择进行评估。由此,可以预计此举也将改变招聘模式,使组织能够更好地识别、验证和雇用合适的职员。
7、网络安全比赛
越来越多的国家正在组织国家网络安全竞赛和参加国际竞赛,以此来发现新的网络安全人才并帮助填补安全方面的技能差距,这类竞赛通常以CTF的形式进行。网络靶场正在改变这种比赛的组织方式,允许更大规模的活动和更真实的模拟。
二、工业网络靶场的主要用途
工业网络靶场作为网络靶场的一个重要分支,与传统网络靶场具有共通之处,但也存在明显的区别,最直接的莫过于工业网络靶场所模拟和仿真的内容主体是以工业为核心单元。工业网络靶场主要为了仿真工业系统的物理过程、控制逻辑和网络通信,以支持不同应用需求[2]。尽管当前工业网络靶场的概念,技术,用途,目的不尽相同,用户,规模,场景,效能差异较大,但实用性、可用性和易用性的要求越来越高,其“测试床,检测场,演武厅,练兵场”的功能用途将更加突出。
据瑞典国防研究所的一份报告显示,工业网络测试床建设目的主要是漏洞分析、教学研究、防御机制测试、电力系统控制测试、性能测试、标准研制、蜜罐、影响分析、健壮性测试、一般性测试、威胁分析,而排名前三的用途就是漏洞分析、教学研究、防御机制测试。
国内的工业网络靶场供应商通常对其靶场产品和服务的定位为教学、科研、演训、比赛等,比如烽台科技,工业网络安全靶场的主要用途是完成网络空间工业网络体系规划论证、能力测试评估、产品研发试验、产品安全性测试、人才教育培养等。博智的各型靶场的用途为开展与工业网络安全相关的学习、研究、检验、竞赛、演习等活动,从而提高人员及机构的网络安全意识和防护水平。
前不久,2021年工业信息安全技能大赛决赛在成都落下帷幕,20多家科研机构、网络安全公司提供工业网络靶场比赛平台的支撑,选手充分领略了各家工业网络靶场的技术优势、行业特色和综合保障能力。整体来看,提供教学科研、比赛支撑是当前工业网络靶场的用途之一。除此之外,工业网络靶场的主要用途还体现在诸多方面:攻防技术研究、系统安全测试和评估、安全产品测评、攻防演练和人才培养等等。
1、教学科研
高等院校和众多科研机构不仅是工业网络靶场的研究者和开发者,同时也是其直接的应用者和受益者。随着网络空间安全学科建设的推进和完备化,网络安全实验室的建设成为其开展教学、科研活动的必备基础设施,针对各个关基行业或某个技术领域的工业网络靶场也成为实验室的必备设施。基础理论研究、工程实践、技术方案验证、教学实验、系统原型验证,等等活动均可依托靶场平台展开。
2、攻击和防御技术试验
面向国家的关键工业系统,部署工业网络靶场用于对工业系统展开安全研究,将与工业系统联系紧密的生产控制、信息管理等系统进行仿真,逆向工业系统私有协议、深度挖掘工业系统漏洞、探索工业系统网络攻击和防御技术,从而对工业系统的网络拓扑和现有安全防护机制的安全性展开分析和验证,有效评估攻击或防御机制的有效性。
3、技术方案测试和评估
借助工业系统大规模虚拟化和虚实互联技术,工业网络靶场可在有限资源内复现具体的工业实物场景,甚至可以实现一比一还原实际的工业场景。借助工业网络靶场,可对工业系统进行安全渗透测试、数据采集分析完成对工业系统安全测试和安全评估,从而提高工业系统的安全性能,实现“以攻促防”,切实加强系统工业安全防御能力,增强工业安全意识。
4、安全产品检验评估
通过将工业安全产品接入到逼真复现的工业系统中,真实测试分析工业安全产品的脆弱性、安全防护能力以及对工业系统的性能影响,从而避免工业安全产品接入工业系统引入的新的安全威胁,验证工业安全产品的安全功能,并降低对工业系统原有性能的影响。工业安全产品的测评为产品选型和部署提供有效支撑,避免对生产环境造成影响。
5、攻防演练和人才培养
攻防技术演练和人才培养是工业网络靶场的重要应用之一,工业网络靶场为攻防演练和人才培养提供有效基础平台。基于工业网络靶场构建的逼真场景,安全人员可摆脱生产现场的限制,演练各种类型网络攻击,实践安全防护技术,从而有效提高安全人员攻防技能水平,为工业系统安全人才培养提供平台支撑。依托工业网络靶场平台进行应急响应演练,完全规避业务运营的影响,即可以检验应急响应预案的完备性和有效性,更能检验各类机构、角色、人员在响应过程中的协同性,促进网络技能的敏锐性,人员变动的适应性,以及反映设施或设备的变化。
6. 综合比赛支撑
通过使用工业网络靶场,支撑CTF赛事、攻防对抗赛事举办,可以有效解决目前赛事举办成本高、安全赛事难度大的问题。工业网络靶场中的赛事环境设计,采用主流KVM等架构设计。赛事题目通过结合多年来安全行业事件及目前的安全趋势,以模拟实战为导向,运用KVM等虚拟化技术打造。通过平台进行大型攻防对抗比赛,能够最大程度的提升、考察参赛选手的攻防能力及技巧,从而达到赛事预期效果以及人才选拔、培养的目的。
三、小结及展望
工业网络靶场是进行工业控制系统安全测试、攻防演练、科学研究和教学培训的必备平台。工业网络靶场可构建多种工业场景供研究人员进行实验研究,通过复现和模拟网络攻击行为和部署防护措施,展现攻击效果、验证防护措施的有效性,帮助工业企业提高综合防护能力,提高技术人员的安全意识和安全技能。
随着国家网络空间安全战略的深入推进,工业网络靶场的研究和建设将更加成熟丰富,满足关基防护各方的不同需求,同时推动工业网络靶场相关技术的演进发展。工业网络靶场在网络安全人才教育培训、系统设备测试与检验、安全新技术评估与验证、防御体系制定与推演以及系统效能分析与评估方面发挥着愈来愈重要的作用。未来工业网络靶场的发展不仅表现在技术层面和应用层面的变化,还会体现在需求层面的变化。比如IoT靶场、卫星互联网靶场、CPS靶场、军工制造靶场、海事船舶仿真靶场等等,满足物联网、卫星互联、军事航天、航海等多层次的网络安全能力发展需求。随着数字孪生、SDN、NFV等技术研究的深入和应用的成熟,工业网络靶场将具备精确复制真实攻防现场的全场景仿真能力、持续保持实战训练的仿真环境快速搭建和便捷维护能力、强调网络实战与对抗的多角色协同演练能力、提升作战训练效能的高阶自动化操作能力以及实现功能与业务价值转化的系统自助式运营能力。
参考文献
[1]程静,雷璟,袁雪芬.国家网络靶场的建设与发展[J].中国电子科学研究院学报,2014,9(05):446-452.[2]孙彦斌,徐俐,陈晓,林钊浒,田志宏.工业控制系统网络靶场发展及应用[J].保密科学技术,2021(06):37-42.[3]王海涛,宋丽华.浅析网络靶场的概念、分类与体系架构[J].保密科学技术,2021(06):4-9.[4]Hannes Holm,A Survey of Industrial Control System Testbeds,www.foi.se