工业网络靶场漫谈(十)-安帝科技工业网络靶场平台应用案例摘编

工业网络靶场漫谈(十)-安帝科技工业网络靶场平台应用案例摘编

时间:2021-04-12 作者:安帝科技

编者按

数字化转型发展背景下,IT/CT/OT新技术浪潮加速,系统连接性复杂性激增,复合风险因素增多,网络攻击成本降低,网络安全形势空前复杂,工业网络已成为网络空间攻防对抗的主战场。对关键信息基础设施网络攻击的严重后果,对现实世界来说可能是灾难性或前所未有的。当前迫切需要一种成本效益高和可复制的方法来提高网络防御团队的安全意识,增加OT网络防御团队的专业知识和技能,检验网络防御技术、产品、方案的可行性和效能,等等。试验床或工业网络靶场正是完成这一使命的战略选择,即建立具有模拟工业流程的具有成本效益、可配置和可扩展的,仿真工业控制系统的网络靶场平台。安帝科技在工业网络泛在化、数字化、智能化的背景下,持续探索工业网络安全跨域、复杂、融合、动态、协同的本质特征,倾力打造虚实结合的工业网络靶场平台,以期满足当前工业网络安全能力建设中利益相关方(运营方、监管方、防御方)科研、教学、培训、演练、对抗、比赛、测试、评估、演示等全方位需求。安帝科技工业网络安全研究院结合近年来的实践探索和前瞻技术跟踪研究,推出《工业网络靶场漫谈》系列,期待与业界同行探讨工业网络靶场能力建设之道,共同推进工业网络安全技术、能力、生态、产业高质量发展。

安帝科技工业网络靶场平台推入市场之后,在电力、军工、高校等行业的科研、教学、比赛领域得到了广泛的应用,平台自身突出的工业自动化属性广受欢迎,工业场景丰富、设备虚拟程度高、过程仿真度高等特点凸显,其价值和效能广受用户好评。本文特选取科研、教育、赛事领域的用户案例,旨在分享项目背景、研究产品方案、升华项目价值。作为典型客户代表,普遍具有需求充分、行业领先、技术标杆的特点,对此应用案例进行分析,对于整个行业都具有积极的示范和引领意义。

案例一 XXX研究所工业网络虚拟靶场建设

1.1 项目概况
XXX研究所为省属高新技术企业,以数字化、信息化和智能化技术为主要研发方向,以技术、产品和服务创新及规模产业化为发展目标,重点面向能源行业、智能制造产业和特种业务领域提供服务。

本项目旨在通过工业网络靶场平台建设,实现竞赛、科研双支撑。
– 基于工业网络靶场平台攻防实战竞赛模式,定期举办工业网络安全攻防竞赛,以赛促练,以赛促学。
– 基于工业网络靶场平台的虚实结合能力,实现对新技术、新工具、新系统等的安全、效果等方面能力的评估测试。

1.2 建设内容
工业网络靶场平台为用户搭建了如CTF、混战等多种竞赛环境,赛制与国际接轨,考察点覆盖主流工业网络安全知识体系,包括协议分析、WEB、逆向、PWN、密码学、二进制漏洞挖掘与利用、组态编程与代码审计等,工业典型场景嵌套Flag,将理论威胁与实践有效结合。
为了实现竞赛表现分析的需求,平台通过日志采集的方式对任务中的设备与网络进行日志收集,再通过特定规则对数据进行清洗入库,与复盘管理展示规则进行针对性匹配,并生成攻防团队行为追溯报告。针对靶场内部已完结带有日志监控方式的攻防任务,提供复盘展示脚本框架快速生成的功能,通过脚本记录Flag触发设备与路径,以快照方式留存并构建逻辑联系,实现逻辑复现。脚本框架兼具修改、删除、添加、事件复制等辅助性手段,为复盘管理剧本深化提供相应支持。

图1

工业网络靶场平台能实现典型的工业场景虚拟化,包括场景虚拟化,如新能源、风光水火发电、轨道交通、智能制造、石油石化、水务等场景;控制器虚拟化,如控制系统PLC(西门子、施耐德、三菱、AB等);监控层虚拟化,如组态软件(WinCC、IFIX、KingView等);信息层虚拟化,如OPC客户端(WinCC软件监控版等);IT层虚拟化,如各类主机虚拟化,OA办公应用虚拟化;以及工控协议虚拟化,如Modbus TCP、S7、EtherNet/IP、CIP、OPC等。
通过虚拟化部署和场景快速孵化,包括对工业场景、控制系统、监控上位机、工控协议、工控信息层、管理信息层的还原,支撑多设备混合联动仿真研究,打通信息流与能量流的连接,具备模拟评估设备接入、新技术工艺等对系统运行状态的影响条件,支撑功能、性能仿真验证及影响评估。

图2

1.3 项目价值
– 助力学员技能提升
学员将可以方便接入该平台,并利用各种渗透测试手段对未知信息化系统的网络和各个节点进行渗透,尽量找到未知信息化系统内存在的安全漏洞隐患。平台竞赛模块在该过程中,智能分析学员工控安全运维能力、代码编写能力、安全工具使用能力、工控业务理解能力,并结合学员行为日志分析,输出学习反馈情况报告,精确定位学员技能短板,提高学员能力测评效率。
– 助力创新技术研究
在近似实际环境的场景中,人员面对一个可控、可恢复、可复制的实验环境,可以大胆实践新设备、新技术和新工艺,以动态的角度观察系统反馈,调阅平台记录数据和日志,进而有效分析、推断、改进设备配置和技术思路。在根本上实现跨越式操作,以较为准确的工业数据为基础,实现“增强控制,提高效能”的设备技术更新。

案例二 XXX学院工业网络虚拟靶场建设

2.1 项目概况
XXX学院是教育部批准成立的国内第一所应用技术大学,是中国与德国、日本、西班牙三国政府在职业教育和培训领域最大的合作项目。学校拥有国家级教学成果特等奖1项、国家级教学成果一等奖2项、国家级教学成果二等奖7项,建成国家级精品课15门,国家级精品资源共享课9门,策划、设计、承办、实施全国性技能赛项31项,先后获得黄炎培职业教育奖杰出校长奖、优秀学校奖、杰出教师奖和理论研究奖。近年来共承担国家级科研项目12项、省部级科研项目207项,获得省部级科技奖励15项,授权专利751项。一直遵循“用高端装备、先进技术培养最优秀的人才”实践教学的理念,围绕制造业和制造服务业打造多类型、产教融合型“教学工厂”。
本项目旨在通过工业网络靶场平台建设,实现专业人才教学实训高质量发展。基于工业网络靶场平台实战培训模式,面向相关人员定期提供工业网络安全知识培训,将有助于提升人才实战能力。工业网络安全攻防知识体系以实战为主,攻防兼备,具体包括:工业设备安全、工业网络安全、工业应用安全、工业网络安全、设计安全、防护安全、运维安全、响应安全等工业网络安全理论知识。涵盖初、中、高三个级别。

2.2 建设内容
XXX学院工业网络靶场平台各层级相关模块可以独立出来作为模块化学习的子模块。平台即刻变成一个集成单兵学习、团体学习、团体比赛为一体的综合性管理软件平台,并辅助以完整的学习和实训模块。

图3

为满足客户对实战教学的需求,平台设计从专业攻击渗透人员视角切入,以靶场内置工业场景为基础,对攻击渗透方式定制化开发相应教学课件,以综合性场景知识为入口,调动学员自行查缺补漏。实战培训模式为学员提供多达1000多个理论知识点,并将其课件嵌入靶场内实战教学当中,课件包括操作录屏视频及攻击指导文档,教师可以根据需求裁剪新增各类内容,以满足不同需求和环境下的课堂学习以及自我学习。
平台技术上采用租户隔离,实现批量虚拟学习资源的开启,彼此零干扰,个体学习进度高度自主,教师管理高度精准,既可以实时讲授,亦可以错峰接入。

图4

实训模式下,工业网络靶场平台为用户针对培训效果总结分析的业务需求,为客户提供以单个虚拟机为基础,对学习任务全程从系统、网络、应用、主机、设备5个维度对日志进行收集留存,并且提供查看及原始数据导出的功能。基于任务分数、学习耗时、知识点完成度、综合场景探索等维度生成学员实训报告,助力个体高效补充短板,全面提升能力。

2.3 项目价值
– 创造时间空间灵活自主实训新模式
工业网络靶场平台在云端部署,通过Web一键登录实训平台,启动云端实训环境,解决机房受限、实验时间受限的现状。实训具有更高灵活性、自主性。通过对现实环境的全虚拟化,平台满足实战应用型的网络安全攻防实训,安全人才培养。
– 实现攻防对抗演练实训全覆盖
通过云计算融合平台为网络安全攻防实战虚拟各种实训环境,以攻击与防护理论为指导,以全面真实的网络攻防环境为支撑,以丰富全面的攻防脚本知识库为保障,融合了传统实验教学,网络安全攻防实战,网络安全演练竞赛环境等,学员可深入实践工业网络安全攻防技术的本质,体验工业网络安全攻防实践过程。

案例三 2021工业信息安全技能大赛支撑

3.1 项目概况
2021年工业信息安全技能大赛由成都市人民政府指导,国家工业信息安全发展研究中心、成都市经济和信息化局、四川天府新区管理委员会共同主办,工业信息安全产业发展联盟、成都市工业互联网发展中心联合承办。决赛在四川天府新区拉开战幕。大赛累计吸引了近千支队伍报名参赛。国家工业信息安全发展研究中心首次发布《工业网络靶场平台技术能力评价标准》。北京安帝科技有限公司凭借虚实工业网络安全靶场的技术优势,经过大赛组委会的技术评审、现场调研、测试交流等严格选拔,最终受邀成为本次大赛决赛的靶场提供方。

图5

3.2 建设内容
为了让参赛选手感知工业信息安全技能竞赛的技术挑战与竞赛魅力,安帝科技依靠工业互联网安全移动实验箱和工业网络靶场平台进行虚实连接,设计和构建了电力、水利等场景,系统全面地设计了数十道考题,并进行了反复的测试和场景适配。题目环环相扣,考点丰富,涵盖了WEB、流量、密码、工控、渗透等多个方向的知识点。
其中Web方向:PHP代码审计、HTTP Header、SQL注入;
MISC方向:编码、图片LSB隐藏、音视频水印、流量分析;
CRYPTO方向:古典密码、对称密码、非对称密码;
渗透测试方向:资产扫描、内网渗透、远程控制、横向移动等;
工控方向:工艺流程、工控协议、PLC程序编写、HMI组态编程。
赛事当天,安帝科技在现场提供水利发电场景,共动用3台服务器,15台工控网络安全实验箱,15套WinCC、SIS、MIS系统,工业网络靶场平台同时稳定支持15支参赛队伍进行比赛。决赛第二轮“自由抽选场景”,安帝科技进一步开放靶场资源,提高支撑力度,服务器场景全部开放,平稳有序的支撑了赛场多支队伍的比赛。

3.3 项目价值
– 保障大赛圆满成功,彰显平台能力
工业网络靶场以零风险,低成本、易部署、可扩展、可重复以及监视、学习、管理、团队、环境和场景等诸多鲜明特性,成为积极应对工业网络安全威胁风险的不可或缺的重要手段和平台。工业网络靶场平台结合工业互联网安全移动实验箱构建水利场景,突出虚实结合。以实战模拟为导向,底层采用KVM架构,整体采用低耦合、高机动的智能化设计,有效解决安全赛事成本高、难度大的问题,实力应对各种突发问题,平稳保障赛事有序进行。
– 团队实时现场支撑,突显服务能力
现场环境瞬息万变,现场保障团队需要时刻保持警觉。计算资源开放、虚实结合配置、服务端口提供,需要团队成员紧密协作,高效化解。通过本次比赛支撑,保障团队在环境快速构建、现场反应等方面积累了宝贵经验,提升了赛事规划能力,为未来可能的纷繁复杂的现场保障奠定坚实基础!
– 践行产研学用协同,培育安全生态
“以赛促研、以赛促学、以赛促用”,大赛的举办不仅仅是参赛队伍之间的较量,而是将工业信息安全专业人才与产业人才需求相融合,探索新方向,挖掘新技术,培养技能型人才,促进产业链协同联动,实现工业网络安全生态的健康持续发展。

总结

数字化转型背景下,工业网络靶场正在承担起各种复杂工业场景下的威胁风险认知、影响后果呈现、工具技术验证、意识教育培训、攻防能力提升等等关键任务,发挥着越来越重要的作用。随着工业网络安全向着控制系统、传感网络、执行系统等彰显工业属性的深水区迈进,其能力发展、构建技术、形态规模、应用领域将进一步提升优化,工业网络靶场将成为探索工业网络安全本真价值的重要平台和载体。
通过以上案例不难看出,工业网络靶场无论是在监管侧,还是在行业用户侧,其技术研究、科研教学、意识提升、攻防效果展示等方面的效能尚有巨大的发展空间。工业网络靶场的出现,不论是教学实训、科研测试还是大型赛事,靶场的存在,使得很多事情变得简单,很多设想变得清晰,这无疑拉近了工业环境与大众的距离,这也正是工业网络靶场的应有之义。
在收获客户的满意之时,安帝科技虚心接受任何一个用户意见反馈。工业网络靶场和整个行业的茁壮成长需要掌声,更需要切实的意见和建议。工业网络靶场会积极吸取这珍贵的养料,在行业深耕、技术积累和友好交互方面做出更多的努力,面向工业,服务工业。