工业网络靶场漫谈(一)–定义工业网络靶场
时间:2021-10-13 作者:安帝科技
安帝科技安全研究院
编者按:
数字化转型发展背景下,IT/CT/OT新技术浪潮加速,系统连接性复杂性激增,复合风险因素增多,网络攻击成本降低,网络安全形势空前复杂,工业网络已成为网络空间攻防对抗的主战场。对关键信息基础设施网络攻击的严重后果,对现实世界来说可能是灾难性或前所未有的。当前迫切需要一种成本效益高和可复制的方法来提高网络防御团队的安全意识,增加OT网络防御团队的专业知识和技能,检验网络防御技术、产品、方案的可行性和效能,等等。试验床或工业网络靶场正是完成这一使命的战略选择,即建立具有模拟工业流程的具有成本效益、可配置和可扩展的,仿真工业控制系统的网络靶场平台。安帝科技在工业网络泛在化、数字化、智能化的背景下,持续探索工业网络安全跨域、复杂、融合、动态、协同的本质特征,倾力打造虚实结合的工业网络靶场平台,以期满足当前工业网络安全能力建设中利益相关方(运营方、监管方、防御方)科研、教学、培训、演练、对抗、比赛、测试、评估、演示等全方位需求。安帝科技工业网络安全研究院结合近年来的实践探索和前瞻技术跟踪研究,推出《工业网络靶场漫谈》系列,期待与业界同行探讨工业网络靶场能力建设之道,共同推进工业网络安全技术、能力、生态、产业高质量发展。
随着网络空间作为一个单独的军事领域被当作继陆、海、空、天之后的第五域——美国国防部在2011年正式将网络空间作为第五个军事维度,而北约直到 2016年晚些时候才承认网络空间是一个作战领域——世界各国都在争先恐后地制定网络安全战略,包括开发、利用、获得网络能力。网络能力被认为是国家通过网络空间对抗或投射影响力的资源和资产。基于这样的背景,早先的网络靶场是用于网络战训练和网络技术开发的虚拟环境。它提供的工具有助于增强政府和军事部门使用的网络基础设施和IT系统的稳定性、安全性和性能。多年来,这些平台已经从内部部署的硬件和软件解决方案发展为由许多公司、大学和政府组织提供的云托管和内部部署平台的复合体。网络靶场的应用领域已经发展到包括安全教育、安全培训和技能评估、网络弹性的开发和评估以及数字灵活性的开发。
毫无疑问,作为在军事领域首先开发应用的网络靶场,早期是为非常特定的用户群和非常特定的用例服务。随着网络靶场应用的数量和可扩展性要求的增加,其可用性与越来越多的附加功能密切相关,这些功能与价值已远远超出了提供ICT/OT模拟表示的原始基础设施的能力与价值。
一、网络靶场的概念
网络靶场的概念大约出现在2006年,当时Cyberbit和Metova CyberCENTS等公司开始向客户提供网络靶场的平台。网络靶场近年来蓬勃发展的一个主要驱动力是虚拟化和云计算技术的商业化、服务化,加之网络攻击泛化的趋势愈演愈烈,这使得网络靶场已完全超越了信息战、网络战等军事应用需求的范畴。
网络靶场可以用不同的方式定义。事实上,尽管当前越来越多的网络靶场技术和产品进入国际市场,但网络靶场彼此差异很大。技术百科(techopedia)在2012年6月更新的词条中解释,网络靶场是用于网络战训练和网络技术开发的虚拟环境。它提供的工具有助于增强政府和军事机构使用的网络基础设施和 IT系统的稳定性、安全性和性能。网络靶场的功能类似于射击或动能靶场,促进武器、作战或战术方面的训练。因此,各个机构雇用的网络战士和IT专业人员培训、开发和测试网络靶场技术,以确保一致的操作和为现实世界部署做好准备。
从广义上讲,网络靶场可通过以下两种方式之一定义。
模拟环境——网络靶场的这种观点侧重于网络靶场传统上提供的内容,即用于多种目的的ICT和/或OT环境的模拟。例如,美国国家标准与技术研究所 (NIST) 提供的解释,它通过将网络靶场称为模拟环境来定义,而没有提及由其提供的服务和/或功能,即没有特指用于产品开发和安全态势测试的模拟环境的通用目的。
NIST 将网络靶场定义为:“一个组织的本地网络、系统、工具和应用程序的交互式模拟表示,这些表示连接到模拟的Internet级别环境。它们提供了一个安全、合法的环境来获得动手的网络技能,并为产品开发和安全态势测试提供一个安全的环境。网络靶场可能包括实际的硬件和软件,或者可能是实际和虚拟组件的组合。靶场可以与其他网络靶场环境互操作。靶场环境的互联网部分不仅包括模拟流量,还包括客户需要的网页、浏览器和电子邮件等网络服务的复制。”
平台——在网络靶场的背景下,平台可以是一组用于创建和使用模拟环境的技术。这里的重点是“使用”这个词,因为要用于特定目的的网络靶场,网络靶场必须具有附加功能并向最终用户公开特定功能。
欧洲网络安全组织 (ECSO) 网络靶场的定义:“网络靶场是一个开发、交付和使用交互式模拟环境的平台。模拟环境是组织的ICT、OT、移动和物理系统、应用程序和基础设施的表示,包括模拟攻击、用户及其活动以及模拟环境可能依赖的任何其他互联网、公共或第三方服务。网络靶场包括用于实现和使用模拟环境的核心技术以及附加组件的组合,这些组件反过来又是实现特定网络靶场用例所需要或必需的。”
无论是将网络靶场定义为模拟环境还是平台,事实上,大多数网络靶场用例都需要一种或多种超越单纯模拟环境的能力。
二、定义工业网络靶场
随着关键信息基础设施成为网络攻防对抗的最前沿,工业网络靶场的应用需求逐步扩大,成为在工业网络安全领域支撑网络安全技术验证、网络工具试验、攻防对抗演练、科研试验、教育培训和网络风险评估等工业网络安全能力建设的重要手段。
通过文献调查,发现不同机构对工业网络靶场的描述不尽相同,外文文献中常用的相关词条有ICS cyber range、Industrial cyber range、IoT cyber range、 Cyber-physical range、Testbeds等,而中文文献中的词条则为“工控网络靶场”、“工业网络靶场”、“工业安全靶场”。 无论是从组成要件、基础架构、构建技术、功能和服务、应用对象等方面的描述,对工业网络靶场或工业控制系统靶场和测试床,目前还没有一个规范、标准的或权威的定义,这也恰恰说明这是一个新兴的细分领域,也是一个可以各显其能、大有可为的新舞台。
按照美国国家标准与技术研究所(NIST)对网络靶场的定义,即与组织的本地网络、系统、工具和应用程序相关的交互式和模拟表示,它为培训信息和通信技术(ICT)专业人员以应对广泛的网络攻击和网络战场景提供了现实世界的平台。
相应地,测试床(TBs)被定义为“具有模拟工业过程的可配置和可扩展的网络靶场。测试床是最接近工业网络靶场的概念。网络靶场和测试床能够培训面对网络攻击的操作技术(OT)网络人员,以提高网络态势感知能力。二者应该是互补的,因为OT和ICT网络与通信的进步、各行业物联网(IoT)和工业物联网(IIoT)的采用相互交织整合。可以建立复制一系列网络攻击的场景,在可识别的环境中加强对操作人员和用户的培训,以识别和缓解策略来猎杀网络入侵。模拟环境中的培训加速了最佳实践的有效学习,“实时”动态互动促进了对任何行动后果的更深层次的理解。测试床可根据训练阶段,促进建立具有不同复杂程度的扩展范围的攻击场景。用户群体还可以在远程可访问的平台上进行培训,以定义、优化和评估协同应对网络攻击的影响。小组培训包括多个团队,包括不同的知识集,提高组织的网络态势意识,并提高识别和猎杀网络攻击的响应时间。
类似于网络靶场的不同描述维度,工业网络靶场也可以从不同的角度来描述或定义。比如从构建目的(研究,训练,演习,教学,测试,操作/作战,演示,开发)、针对的行业(学术,教育,军事,政府,企业)、环境(演示,开发,测试,仿真,模拟,混合/信息物理)、平台技术(基础设施平台,VM,OpenStack,Virtualbox,Docker,公有云AWS,QEMU/KVM,Opennebula, Proxmox , Minimega)、数据集(有/无,按需提供,在线)、云计算部署方式(私有云,公有云,社区/行业云,混合云,Infrastructure as code (IaC))等。
基于工业网络安全的行业特殊性和复杂性,结合近年来的实践探索,安帝科技将工业网络靶场定义为:
一个能够映射真实的IT/OT运营环境的可配置和可扩展的成本效益比高的混合平台,能够批量整合(虚拟、实体)OT环境特定的硬件资源(如来自不同供应商的PLCs、HMIs、RTUs、历史数据库、SCADA、服务器等),同时模拟出IT/OT的各种工业流程场景和攻击场景,将虚拟化IT/OT网络与工业流程仿真模型相结合,提供安全可靠的科研、教育、培训、演练、对抗、比赛、演示等功能和服务。采用的技术包括软件定义网络、数字孪生、OT环境的SIEM、资产管理、网络可见性、威胁追踪、移动目标防御等等。比如攻击效果演示,可让使用者亲身体验网络操控效应可能对正在运行的过程产生的物理影响。
虽然针对不同的行业不同的用户有不同的应用需求,但工业网络靶场通常的终极目标至少有三个,一是提高OT操作员的网络安全意识,这包括提高对攻击者战术、技术和过程(TTPs)的认识,以检测和响应网络攻击。二是提高IT运营者的工业网络安全意识(工业设备、工业协议、业务连续性),这包括理解系统操作、物理过程的相互依赖和可视化攻击的效果。三是对IT和OT团队的技术、流程和文化施加影响,从而系统性地提高工业网络弹性。
三、工业网络靶场的发展方向
由于数字化转型的加速发展,IT与OT呈“你中有我、我中有你”之势,现代工业网络靶场还应不断增加新的能力,如各种电信功能、模拟智能电网、自动化车辆、虚拟网络运营中心、无线传感器网络、实时入侵检测系统、蜜罐、新型认证机制、零信任安全策略、移动安全场景,以及一些隐私保护机制。通过添加这些特性,将更多新的攻击场景方便地部署到测试平台上,揭示各种系统的漏洞,从而使研究人员有机会开发创新的防御机制。如果工业网络靶场能够与各种现实世界的设备连接到网络上,使其成为发起攻击和测试各种系统的防御机制的理想方式。另外一个关注点就是能够以半自动化的方式在有限的人工干预下创建可测量数据的能力。
工业网络靶场应当实现便携性,方便于演示,并便于在各种网络安全事件中作为现代教学工具部署。此外,以工业网络靶场构建形成的研究中心能够为研究人员提供远程访问能力。最后,从传统的网络靶场转移到数字双胞胎的需求是一种趋势,在不久的将来将成为主导,特别是在复制关键基础设施方面。
安帝科技的实践表明,工业网络靶场要充分发挥作用和效用,需要具备6个方面的特性,即监视、学习、管理、团队、环境和场景。未来,安帝科技的工业网络靶场建设能力将全力聚焦实时自动化配置技术、智能化、移动化、集成化技术、增强现实技术、5G通信技术、容器化技术等的创新应用,突破关键难点技术,不断提升靶场平台的可用性、实用性和易用性,适配智能信息物理系统、智慧城市、航空航天和卫星工业等更加广泛的工业场景。