工业网络靶场漫谈(七)|发展趋势展望
时间:2021-01-11 作者:安帝科技
编者按
数字化转型发展背景下,IT/CT/OT新技术浪潮加速,系统连接性复杂性激增,复合风险因素增多,网络攻击成本降低,网络安全形势空前复杂,工业网络已成为网络空间攻防对抗的主战场。对关键信息基础设施网络攻击的严重后果,对现实世界来说可能是灾难性或前所未有的。当前迫切需要一种成本效益高和可复制的方法来提高网络防御团队的安全意识,增加OT网络防御团队的专业知识和技能,检验网络防御技术、产品、方案的可行性和效能,等等。试验床或工业网络靶场正是完成这一使命的战略选择,即建立具有模拟工业流程的具有成本效益、可配置和可扩展的,仿真工业控制系统的网络靶场平台。安帝科技在工业网络泛在化、数字化、智能化的背景下,持续探索工业网络安全跨域、复杂、融合、动态、协同的本质特征,倾力打造虚实结合的工业网络靶场平台,以期满足当前工业网络安全能力建设中利益相关方(运营方、监管方、防御方)科研、教学、培训、演练、对抗、比赛、测试、评估、演示等全方位需求。安帝科技工业网络安全研究院结合近年来的实践探索和前瞻技术跟踪研究,推出《工业网络靶场漫谈》系列,期待与业界同行探讨工业网络靶场能力建设之道,共同推进工业网络安全技术、能力、生态、产业高质量发展。
数字化转型正在加速推动OT与IT的融合发展,与此同时OT与IT融合的网络安全风险也同步演进发展。工业网络靶场正在承担起各种复杂工业场景下的威胁风险认知、影响后果呈现、工具技术验证、意识教育培训、攻防能力提升等等关键任务,发挥着越来越重要的作用。随着工业网络安全向着控制系统、传感网络、执行系统等彰显工业属性的深水区迈进,其能力发展、构建技术、形态规模、应用领域将进一步提升优化,工业网络靶场将成为探索工业网络安全本真价值的重要平台和载体。
一、能力发展趋势
随着工业网络靶场构建技术的成熟和行业应用需求的扩展,对靶场综合能力的需求不断延伸。功能的多样化;比如一些新功能的增加,通信功能、仿真银行系统、医院、模拟智能电网、自动化车辆、虚拟网络运营中心、无线传感器网络、实时入侵检测系统、蜜罐、新型认证机制、移动安全场景,以及一些隐私机制,等等。通过添加这些特性,新的攻击场景可以很容易地部署在靶场上,揭示各种系统的漏洞,从而使研究人员有机会开发新的防御机制。使用的便利性;建成的工业网络靶场应当便于在项目内部用于研究目的。最好能够与各种现实世界的设备连接,使其成为发起攻击和测试各种系统的防御机制的理想方式。远程接入方面,应该努力使以靶场为核心的研究设施能够为研究人员提供远程访问。通过这样一个联合模型,世界各地的研究人员将有机会实现各种协议,并在定制的环境中研究它们的行为。靶场形态上,固定式、便携式、云化相结合,应该有一个便携版本的靶场,用于演示目的,并便于在各种网络安全事件中作为现代教学工具部署。数据集的生成和测量;工业网络靶场以半自动化的方式在有限的人工干预下创建可测量数据的能力。
1、实时自动配置
麻省理工学院的林肯实验室为网络靶场开发了一种先进的工具,称为虚拟环境自动实时实例化(Automatic Live Instantiation of a Virtual Environment,ALIVE)[1],作为靶场应用的扩展。ALIVE具有从公共网络事件注册( Common Cyber Event Registration,CCER)中获取配置文件的能力,以自动构建虚拟机和靶场的网络基础设施。除了创建虚拟网络的功能外,它还可以对大部分系统网络构建,实现自动化,创建支持流量生成所需的终端主机、路由器、防火墙和服务器,安装主机软件包和注册用户帐号。
网络靶场实例化系统(Cyber-Range Instantiation System ,CyRIS)[2]是一种促进网络靶场创建的开源工具,可以自动执行有效的网络靶场实例。CyRIS使用场景管理人员或指导人员提供的预先定义的规范自动实现靶场的准备和管理。该工具包含用于建立基础设施及其安全设置的基本功能。
可以预见,工业网络靶场未来也需要一种自动配置能力,可以设置用户指定的约束条件来生成复杂的靶场。实现的核心可能就是一个AI规划引擎,一个漏洞数据库和机器特定配置参数,能够生成一个包含漏洞和漏洞利用序列的虚拟机。这种能力将大大降低靶场构建的难度和复杂度,强化工业网络靶场各自应用领域之间差异的迅速缩小,极大提升费效比。
2、移动化和集成化
Pharos[3]是一个用于移动信息物理系统的测试床,旨在支持实时网络中的移动信息物理系统评估。它是一个由独立移动设备组成的网络系统,其基本构建块基于Proteus(一种具有高度模块化软件和硬件的自主移动系统),具有相互关联以及与嵌入式传感器和驱动器网络的能力。按钮的可重复性有助于重复再现相同的场景,这是测试床的一个重要特征。
Cybertropolis[4]旨在通过提供所谓的网络电磁(Cyber-electromagnetic ,CEMA)靶场设施,打破网络靶场(CRs)和测试床(TBs)的模式。该靶场融合了CRs和TBs的特点,形成了一种混合型的网络安全训练系统。Cybertropolis是一种可以用于工业控制系统、信息物理设备、物联网和无线系统领域的独一无二的网络靶场。该平台提供了在虚拟环境中创建由虚拟信息和通信技术(ICT)系统、实时信息物理系统、实时射频(RF)和物联网(IoT)系统组成的异构网络的能力。
3、增强现实技术的应用
增强现实(AR)越来越被视为不同领域学习的一个重要维度,并被认为是未来CR和TB培训的另一项有影响力的技术。AR提供了与系统不同部分交互的可能性,通过增强可视化来丰富培训。增强现实TB或CR创造了一种新的交互式体验,能够改善学员对攻击进程的看法。AR解决方案也对便携式解决方案进行了限制,例如,攻击反应可以在任何地方建模,而不依赖于基础设施。可以修改环境,程序员可以添加新的攻击场景。
二、构建技术趋势
1、5G/6G技术
第5代和第6代(5G, 6G)网络将使用移动和无线网络基础设施,通过提供具有优势特性的连接,从低延迟、高网络带宽能力实现机器对机器通信,改变服务。5G解决方案通过虚拟化和云技术实现了更好的服务,扩展到网络功能虚拟化(NFV),增强了对网络设备的服务器虚拟化。在辅助超车应用中的车对车(V2V)之间的实时远程监控和视频流,新兴5G和相关技术已有应用。Mitra和Agrawal[5]描述了一个高度未来的连接社会——“智能生活”:车辆自组网(VANET)云,用于网络连接的交通系统管理动态实时交通需求;以及大规模的M2M通信。这场革命将带来物联网的医疗服务,未来6G将带来无处不在的基于人工智能的服务。这些相同的功能为工业网络靶场工程师和用户提供了利用虚拟机、沙箱或容器化技术提供无缝、更快、低延迟的工业网络靶场部署的机会。
2、容器化技术
在数据中心部署应用程序以实现虚拟机时,需要在每个虚拟机上安装一个专用的客户操作系统,有时与主机操作系统不同。容器化技术作为轻型虚拟技术引入到虚拟机中,以管理这些伴随而来的累积费用。Bhardwaj和Krishna[6]的一项研究将预拷贝VM迁移方案与LXD/CR容器迁移技术的使用进行了对比,得出结论:使用LXD/CR容器迁移技术可以减少76.66%的系统停机时间、65.55%的迁移时间、76.63%的可伸缩性(传输的数据量)、吞吐量(传输的页面数)降低了76.78%,开销成本降低了55.89%,CPU利用率降低了55.89%,RAM利用率降低了76.52%。因此,容器技术成本更低,保证更多的系统正常运行时间,节省时间。基于软件容器的仿真平台,实现可伸缩性、可移植性和灵活性,在提供可扩展性的同时降低复杂性。容器化技术可以简化其基于云的环境的部署、管理和弹性。
3、数字孪生技术
从传统的网络靶场转移到数字孪生的需求是一种趋势,在不久的将来或成为主导,特别是在复制关键基础设施方面。这方面有两种可能的倾向,一种是直接利用数字孪生作为网络靶场。然而,迄今为止还没有实现。在这种提议中,数字孪生仅用作网络靶场,以进行安全培训,而没有考虑其他目的。然而,数字孪生最初用于完全不同的目的,例如监视和控制其对应实体的操作。另外一种方案,就是建议使用数字孪生作为有价值的输入来创建网络靶场,而不是将其变成一个靶场。在这个问题上,需要调搞清数字孪生的哪些特征可以为网络靶场提供有价值的输入。为了促使数字孪生为网络靶场提供输入,必须首先考虑网络安全中数字双胞胎部署的基础。数字孪生需要为依赖其数据的安全措施提供足够的保真度。然后可以成功实施具有此特征的数字孪生以实现网络安全。结合数字孪生和网络靶场的先决条件。数字孪生中包含的核心部分代表(a)数据,通过语义技术增强,(b)分析、模拟和其他智能服务以及 (c) 访问控制和接口[7]。
4、靶场云技术
随着云计算、SDN、NFV、数字孪生、AI等技术的深入应用,工业网络靶场的建设将发生根本性的变革,即靶场服务商将演进为云服务商,提供基础的工业网络靶场云基础设施,即以虚拟化的控制器(PLC)、传感器、执行器,虚拟化的网络基础设施、虚拟化的网络安全产品为核心,提供各个关键基础设施行业的场景网络拓扑模板(比如电力行业的风、光、水、火、核),推出典型应用的数字孪生组件,由用户自行租用相关组件构建自己的工业网络靶场,进一步降低靶场建设的业务、成本、技术障碍。
三、应用领域趋势
1、智能信息物理系统
智能信息物理系统(sCPS)是大规模的软件密集和非常普及的系统,具有智能、自我意识、自我管理和自我配置的特点。与其他数据驱动的人工智能系统一样,sCPS利用多个数据流有效地管理现实世界的流程,并通过这些数据流在住房、医疗、交通和汽车应用领域提供广泛的新应用和服务。
AI技术的加速应用,使网络攻击者可通过AI技术提高了他们的技能,自动化攻击,扩大他们的战略,发动更复杂的攻击,并由此增加了成功率。信息通信技术工具和人工智能技术不仅丰富了网络攻击者的机会,还突显了一种新的威胁形式。基于工业网络靶场的训练有一个紧迫的义务,以实现检测和告知这些新的威胁动态的最佳缓解措施。
2、智慧城市和工业4.0
工业4.0是数据驱动、网络连接、数字化的工业系统,预示着一个自动化制造和服务交付的时代,具有强大的流程优化潜力,充满了新的商业实践。然而,这种演化必然伴生新的网络威胁。CyberFactory#1旨在为未来的数字化工厂和数字化所带来的安全威胁之间提供解决方案。建立环境的原则是有意识地设计、开发和演示一个包含未来工厂的技术、经济、人类和社会维度的系统之系统。随着数字化转型的展开,有必要继续提出新的解决方案,以缓解未来工厂/智慧城市部署和网络威胁之间的困境。
大量现有文献强调,由于高度的网络互联,智能系统中的网络威胁和隐私担忧将显著增加,智慧城市基础设施的数据安全及威胁也将达到新的高度。比如未来无人机将在高度互联的智慧城市环境中用于服务交付,因此将成为确定网络攻击范围的一个因素。智能管理网络流量以避免拥堵,同时缓解对智慧城市网络安全的困扰。
3、航空航天和卫星工业
航空航天和卫星工业的发展,以及该行业对经济发展的重大贡献,使它们成为网络攻击的核心目标。工业网络靶场对于模拟网络攻击影响和增强保护这一关键基础设施的能力至关重要。目标是通过考虑所使用信息的敏感性来了解和克服可能的攻击范围。使用基于模拟的系统进行虚拟化是实现工业网络靶场的一个潜在解决方案,但应该研究对这种关键基础设施的几个部分的全面认识。预测黑客的策略和目的是理解针对性攻击类型的最佳对策的核心。
网络攻击自动化的迅速普及正在缩小信息技术(IT)和操作技术(OT)之间的差距,进而刺激对培训的依赖和需求,向网络安全专业人员、运维人员和研究人员输出强大的网络卫生知识成为必然选择。网络态势感知现在被视为保护组织/基础设施免受更复杂网络攻击的有效措施的中枢。鉴于航天工业环境的特殊性,培训必须通过非操作环境进行,提供关于网络威胁的实时信息,以便实现早期识别/特征,采取有效对策。根据类型、技术、威胁场景、应用和可用培训的范围,构建典型的航空航天工业网络靶场平台进行相应评估。
四、小结
工业网络靶场的功能需求越来越多地向多样化、便利化、移动化、互联化、自配置等方向发展,具备行业共性需求的平台化、通用化与关键功能的模块化、专业化相互结合。在构建技术上呈现出高速化、容器化、孪生化、云化等趋势。工业网络靶场的形态也从虚拟、仿真、虚实结合向着孪生靶场、云化靶场、互联靶场演化。在应用领域方面,除了传统的能源电力、轨道交通、智能制造、水利水务等行业外,越来越多地向sCPS、智慧城市、航空航天、卫星工业等领域渗透。工业网络靶场业已成为推动工业网络安全范式变革的关键驱动力。
参考文献:
[1] Braje, T.M. Advanced Tools for Cyber Ranges; Technical report; MIT Lincoln Laboratory: Lexington, KY, USA, 2016.
[2] Pham, C.D. On Automatic Cyber Range Instantiation for Facilitating Security Training. Available online:https://dspace.jaist.ac.jp/dspace/bitstream/10119/14161/3/paper.pdff (2021.12.06查询).
[3] Fok, C.; Petz, A.; Stovall, D.; Paine, N.; Julien, C.; Vishwanath, S. Pharos: A Testbed for Mobile Cyber-Physical Systems. Available online: https://www.researchgate.net/profile/Christine-Julien-3/publication/228953376_Pharos_A_testbed_for_mobile_cyber-physical_systems/links/02e7e51e59f9a8396a000000/Pharos-A-testbed-for-mobile-cyber-physical-systems.pdf(2021.12.06查询).
[4] Deckard, G.M. Cybertropolis: Breaking the paradigm of cyber-ranges and testbeds. In Proceedings of the 2018 IEEE International Symposium on Technologies for Homeland Security (HST), Woburn, MA, USA,23–24 October 2018; pp. 1–4.
[5] Mitra, R.N.; Agrawal, D.P. 5G mobile technology: A survey. ICT Express 2015, 1, 132–137.
[6] Bhardwaj, A.; Krishna, C.R. A Container-Based Technique to Improve Virtual Machine Migration in Cloud Computing. IETE J. Res. 2019, 1–16.
[7] Manfred Vielberth, Magdalena Glas , Marietheres Dietz,Stylianos Karagiannis, Emmanouil Magkos, and G¨unther Pernul,A Digital Twin-Based Cyber Range for SOC Analysts, International Federation for Information Processing 2021,Published by Springer Nature Switzerland AG 2021.