安帝科技荣登CCSIP全景图

安帝科技荣登CCSIP全景图

时间:2021-01-21 作者:安帝科技

编者按

数字化转型发展背景下,IT/CT/OT新技术浪潮加速,系统连接性复杂性激增,复合风险因素增多,网络攻击成本降低,网络安全形势空前复杂,工业网络已成为网络空间攻防对抗的主战场。对关键信息基础设施网络攻击的严重后果,对现实世界来说可能是灾难性或前所未有的。当前迫切需要一种成本效益高和可复制的方法来提高网络防御团队的安全意识,增加OT网络防御团队的专业知识和技能,检验网络防御技术、产品、方案的可行性和效能,等等。试验床或工业网络靶场正是完成这一使命的战略选择,即建立具有模拟工业流程的具有成本效益、可配置和可扩展的,仿真工业控制系统的网络靶场平台。安帝科技在工业网络泛在化、数字化、智能化的背景下,持续探索工业网络安全跨域、复杂、融合、动态、协同的本质特征,倾力打造虚实结合的工业网络靶场平台,以期满足当前工业网络安全能力建设中利益相关方(运营方、监管方、防御方)科研、教学、培训、演练、对抗、比赛、测试、评估、演示等全方位需求。安帝科技工业网络安全研究院结合近年来的实践探索和前瞻技术跟踪研究,推出《工业网络靶场漫谈》系列,期待与业界同行探讨工业网络靶场能力建设之道,共同推进工业网络安全技术、能力、生态、产业高质量发展。
随着国家网络空间安全战略地位的确立,从国家、区域、行业各个层级的网络靶场建设需求应运而生。作为网络靶场的重要分支,工业网络靶场的研究和建设也呈现出方兴未艾之势。在工业网络靶场相关技术快速发展的同时,其在工业网络安全人才教育培训、系统设备测试与检验、安全新技术评估与验证、防御体系规划与推演以及系统效能分析与评估等方面越来越多地发挥着重要的作用。在漫谈系列的前两期,安帝科技给出了工业网络靶场的定义,介绍了工业网络靶场的主要用途。在本文中我们将介绍工业网络靶场分类的几个主要维度,并对所有分类维度进行总结,最后提出自己的分类方法。

一、工业网络靶场分类
1. 按技术实现分类
      网络靶场中现有的仿真技术包括实物仿真、虚拟机仿真、容器仿真和建模仿真等。实物仿真直接采用实物设备接入工业网络靶场;虚拟机仿真在硬件平台基础上部署Hypervisor等作为管理和运行虚拟机的平台,在虚拟机上部署操作系统、工控组态软件或控制器仿真工具等,典型的如VMware、KVM等虚拟机,或者基于MATLAB进行过程仿真;Docker可以作为轻量级容器封装工控相关应用;建模仿真通过对工业生产过程抽象建模,模拟工业生产过程[1]。       工业网络靶场可根据仿真程度进行分类。通常根据其仿真程度可分为:虚拟工业网络靶场、实物工业网络靶场、虚实结合工业网络靶场3类。    (1)虚拟工业网络靶场采用虚拟机、Docker或建模仿真的方式构建工控场景。Koganti等[2]构建电网配电断路器系统工业网络靶场,靶场中SCADA系统、PLC及物理系统均采用虚拟方式实现。    (2)实物工业网络靶场则直接采用实物设备,可一比一复制工控场景,具有很高的逼真度,但造价昂贵,扩展和推广困难。典型的实物靶场如美国爱达荷国家实验室围绕电力、水利构建了真实SCADA测试靶场,用于支撑真实世界SCADA系统和其他控制系统的攻击测试。    (3)虚实结合靶场将实物设备和虚拟设备相结合构建工控场景,兼顾前两者的优点。EPIC靶场[3]基于Emulab构建网络部分,并接入实物PLC接入,物理过程采用Simulink及其并行方案进行仿真。     Chouliaras[4]等人对网络靶场和测试床(Testbeds,TBs)的厂商做了综合调研,结果如图1所示,调研发现使用实物仿真实现靶场的数量最少,使用虚拟模拟的数量最多,虚实结合的靶场位于两者之间。

图1 网络靶场和测试床技术实现调研

      Denis Donadel、Federico Turrin[7]等的研究中,对全球主要的50多个工业网络靶场和测试床进行分类整理后,其中实物型的工业网络靶场有18个,虚拟型的工业网络靶场为21个,混合型的为22个。
2. 按任务分工分类工业网络靶场一般包括特定网络环境下的多个任务团队,每个团队依据承担的角色被划分为不同的类别并以特定的颜色来标记,最多可以划分为7种标记不同颜色的团队,分别是红队、蓝队、绿队、黄队、白队、灰队和紫队。红队主要负责实施网络攻击,如使用病毒、恶意软件等感染媒介攻击用户的计算机;蓝队主要负责保护网络和防御攻击,管理网络基础设施和应用程序的可用性和安全性;绿队负责模拟合法用户通过有线或无线网络连接将其通信终端连接到红队管理的网络基础设施上;黄队负责监控和报告网络安全态势信息;白队负责创建网络安全训练演示场景,并监控和评判红队是否成功防御了由蓝队发起的网络攻击;灰队负责维护正常的网络流量和服务请求;紫队可以视为蓝队和红队的集成,即同时模拟网络进攻和防御动作和技能[5]。Chouliaras[4]等对参与靶场的用户进行了调查,结果如图2所示,正如预期的那样,用户主要参与的队伍是蓝色方和红色方。

图2 网络靶场队伍参与调研

3. 按场景目的分类
基于使用的场景和目的,目前的工业网络靶场可以大致分为军事国防类、科研教育类、企业商务类、政府机构类、其他应用类这5类。Ukwandu[6]等人对网络靶场的场景目的做了调研,形成了如图3所示的饼状图,可以看出用于科研教育的工业网络靶场占了所有工业网络靶场总数的31%,用于军事国防和企业商务的靶场各占24%,用于政府机构的靶场占16%,其他的一些应用如开源、服务提供商加起来占到5%。

图3 场景目的占比饼状图

4. 按支持协议分类
不同的工业网络靶场和测试床会支持不同的工业协议,根据支持的工业协议的类别,可以把工业网络靶场和测试床分为不同的类别。Conti[7]等人在论文中对各类型的工业网络靶场和测试床对不同工业协议的支持做了详细的总结,在此我们以饼状图的形式呈现各种协议在工业网络靶场和测试床上的百分比分布情况。

图4 工业协议占比饼状图


分类方法分析

      除了上述重点介绍的几个分类维度外,工业网络靶场还可从行业场景(电力、冶金、港口、智能制造等)、管理方式、监控方式等维度进行分类。
      安帝科技收集整理了工业网络靶场和测试床所有可用于分类的维度,并形成了如图5所示的思维导图,希望能对大家从不同维度理解工业网络靶场和测试床有所帮助。

图5 工业网络靶场所有维度思维导图

监控方式是指工业网络靶场如何去监控用户的操作、输入路径选择和团队组成,需要在不同的场景中捕捉进度并评估性能,并负责远程用户与平台的连接,还需要验证平台的运行状况以及提供的各种服务和场景。
管理方式是指管理层为各种用户提供一系列接口,用来管理描述场景和用户交互的数据的收集、存储和分析。通过仪表板向用户提供信息,以及每个场景的可用场景和攻击类型。该层还管理用户及其角色,并负责生成报告。恢复组件确保所有策略和补丁都是最新的。该组件负责维持网络靶场的运行状态,执行定期备份,并限制网络攻击从网络靶场泄露。该功能对于靶场事故和网络攻击后的数字取证至关重要。攻击类型组件包含对不同攻击的描述,包括场景中漏洞的安全配置,建立漏洞数据库,以及针对OSI模型映射的每个漏洞的高、低级别描述等。场景组件被细分为5个子组件,专注于(1)叙述,场景必须有一个目标以及任何行动的结果,也可以加入困境和冲突来丰富学习环境。(2)领域定义了当前正在模拟的场景的上下文。(3)教育支持用户学习完成场景所需的技能,通过指导、评分、演示、分析和以角色为基础的方式与用户一起回顾动作或通过具体的案例研究学习。(4)游戏化用于嵌入游戏机制,以推动和维持用户粘性水平。(5)场景的类型可以是带有单一目标的静态场景,也可以是伴随着用户的每次行动而动态演变的场景。       测试床作为一种类型的工业网络靶场,优先应用于OT环境。根据前面讨论的工业网络靶场分类法,我们也对测试床维度进行了总结。如图6所示,这些维度也反应了测试床未来的发展和技术方向。

图6 测试床所有维度思维导图

教育部分用于探索新的安全场景,最常用于开发和确认场景,以获得最佳的学习效果。
建模组件在新建案例中提供控制并指导流程,新建案例是在满足一组约束条件的受控环境中创建和处理的。生成组件提供了有关基础技术和供应商的综合信息,并告知部署特征。执行组件提供实时、基于配置的、远程等不同场景,可深入了解其对建模或测试系统行为的影响,可以对不同执行场景下的行为进行评估。评估:测试床内的模型评估可以手动或自动完成。前者通过人工干预执行,后者需要利用考虑了系统关键变量的算法。事后组件确保事件后程序的完整性,作为调查新案例的基础,以及确认用于测试攻击或新案例失败的流程的有效性。标准调查和取证调查是两种事后调查,前者用于提供详细审查,有助于从开始到结束了解事件的每个阶段。取证调查采取一种经过科学推导和验证的方法能够收集、验证、识别、分析和解释来自数字来源的证据。学员组件包含特定模块和绩效衡量所需的特定域知识,并记录每个学员的进度,报告通常显示在学员仪表板中。


小结

随着数字化转型的加速发展,在工业领域推进网络安全能力建设过程中,我们越越多地感受到了IT和OT之间的鸿沟是多么的根深蒂固。IT代表了敏捷性、可伸缩性和弱实时性,而OT则会优先考虑实时性、确定性、牢不可摧的功能安全性/可用性。IT与OT融合的融合是大势所趋,但二者在人员、技术、流程、文化上差异的弥合与取齐仍然是一个缓慢的过程。工业网络靶场的出现,正是展现这些差距和认知,推进二者融合的有力抓手。       安帝科技的研究和实践表明,工业网络靶场要充分发挥作用和效用,技术实现、任务团队、场景目的、工业协议、监控方式、管理方式这6个方面是工业网络靶场最重要的维度。如图6所示,我们可以从这6个维度给出工业网络靶场的不同分类,这6个维度也支撑起了工业网络靶场的建设和应用。

图7 工业网络靶场6个重要维度

   工业网络靶场作为工业网络安全问题研究的基础平台,具有重要的研究价值和应用价值。工业网络靶场作为一项相对较新的、仍在发展中的技术,可以从不同的维度被分为不同的类别,并根据这些类别制定关于该主题的当前的研究趋势。本文重点论述了工业网络靶场分类、构建方法等问题,详细介绍了工业网络靶场分类的几个主要维度,并对所有分类维度进行了总结归纳,最后提出了自己的6维分类方法。

参考文献
[1]孙彦斌,徐俐,陈晓,林钊浒,田志宏.工业控制系统网络靶场发展及应用[J].保密科学技术,2021(06):37-42.
[2]KogantiV S, Ashrafuzzaman M, Jillepalli A A,et al.A Virtual Testbed for SecurityManagement of Industrial Control Systems[C].International Conference onMalicious & Unwanted Software.IEEE Computer Society, 2017.
[3]Siaterlis,C, Genge, et al. EPIC: a Testbed for Scientifically Rigorous Cyber-PhysicalSecurity Experimentation[J]. Emerging Topics in Computing, 2013.
[4]ChouliarasN ,  Kittes G ,  Kantzavelou I , et al. Cyber Ranges andTestBeds for Education, Training, and Research[J]. Applied Sciences, 2021,11(4):1809.
[5]王海涛,宋丽华.浅析网络靶场的概念、分类与体系架构[J].保密科学技术,2021(06):4-9.
[6]UkwanduE ,  Farah M ,  Hindy H , et al. A Review of Cyber-Ranges andTest-Beds: Current and Future Trends[J]. Sensors, 2020, 20(24):7148.
[7]ContiM ,  Do Na Del D ,  Turrin F . A Survey on Industrial ControlSystem Testbeds and Datasets for Security Research[J].  2021.