9月16日至17日,2020民航网络安全年会在浙江省嘉兴市召开。该会议由民航局人事科教司指导,中国民航大学主办,中国民航信息网络股份有限公司和长龙航空有限公司协办。会议以“护智慧民航安全,筑网络安全生态”为主题,聚焦智慧民航背景下的网络安全新形势、新挑战和新任务,交流网络安全技术新成果,构筑民航网络安全新生态,促进民航网络安全工作持续健康发展。360未来安全研究院网络安全资深专家闫斐,受邀在会上做了题为《数字孪生时代下的网络攻防实战演习》的主题演讲。
“全球每年新生成代码超过1千亿行,平均每千行代码大概有6个缺陷,缺陷导致漏洞,可以说漏洞无处不在。因此,没有攻不破的网络,只有不努力的黑客。”
“网络安全,其实一直都不怎么安全。”
孙子兵法有云:“胜而后战”,要有十足的把握取胜,才能去战斗。网络安全人,每天做的事情就是备战,要确保在网络安全事件的战斗中取胜。对于行业的网络安全来说,要做两件事,一是尽量避免发生网络安全事件;二是在网络安全事件发生后,及时有效地处理。关于网络安全攻防实战演习的思考,主要包括三个部分,一是国内外网络安全演习情况;二是对于网络攻防实战演习的思考;三是介绍基于360安全大脑的网络攻防实战演习平台。
首先是美国网络风暴演习。在911后,美国总统布什发布了《信息时代下的关键基础设施保护》的行政令,后来将关键基础设施的保护职能归于国土安全部,国土安全部为了推动关键基础设施的安全监测与应急响应能力,于2006年开展了“网络风暴”演习,自此基本上两年一届持续开展,重点是检验网络安全事件发生后,各方力量的安全监测、应急响应、信息共享机制、多单位协同处置能力的演练。然后是北约“锁盾”系列演习,由北约合作网络防御卓越中心于2010年发起,此后每年举行,主要考验各国网络安全防御人员在严重网络攻击的巨大压力下,如何保护IT系统和关键基础设施。场景设定是某个虚拟国家Berylia遭到严重的网络攻击,其模拟的交通、电力、大型互联网、军事基地、4G公共安全网络等遭到严重破坏,请求防御力量支援该国,开展网络对抗。我国也开展了各种网络安全演习,其中贵阳大数据及网络安全演练,是由360的子公司首创的,以真实网络环境作为靶标的城市级网络演习。2019年,贵阳演练正式提出了“实战演练、体系对抗”的概念。在靶标方面,除了省内外信息系统目标外,将全球最大的工业互联网纳入了演习范围,并专项接入了某真实工控系统。在攻击队伍方面,引入了精英较量、团队对抗、集团作战等多种模式。开始了探索攻击端能力体系构成的步伐。公安部从2016年开始,组织了国家级网络攻防实战演习。随着规模不断扩大,实战演习行动已经从国家级向行业和各省市推广开来,真正成为全国范围的演习行动。
网络安全的本质是攻防两端能力的较量
“网络安全的本质是对抗,对抗的本质是网络攻防两端能力的较量”。攻防两端能力的每一端都包括“物人法”三个基本要素。“物”就是网络系统与装备工具;“人”,攻击者与防守者,“法”就是把人与工具网络结合起来的战术战法、方案预案等法则,“物人法”这三个基本要素构成了两端能力体系。“法技能战”四类网络安全演习
法:法则,重点检验战术战法、应急预案,防护方案等有效性和可用性。推演就是这类演习的一种重要形式,网络风暴的部分科目属于此类。技:技艺,重点是考核训练人员的专业技能与素质;CTF可以归为这一类演习。美欧的多数演习属于此类。能:性能,重点是检测网络系统及工具装备,以及验证新技术新产品。众测以及合规检测可以归到此类。战:实战,是前面三类的综合,网络攻防实战演习,不但检测目标网络安全状态、装备工具有效性、攻防两端人员技能水平、还包括验证方案预案的有效性与可用性。前面介绍的我们国内两个演习就逐步走向这第四类。网络攻防实战演习的作用与要求
实战演习,不单是针对“物人法”的单项,还实现对防御体系进行整体的评估与提升。在研究中能够发现,实战演习还有一个深层次的作用——能够有效增强网络防御体系的反脆弱性。所谓反脆弱性,就是像弹起的篮球,遇到突发事件时,能够向好的方向发展。最好的选择是,用数字化孪生出真实的攻击端能力体系,构建真实可控的网络安全事件,以检测和提升安全防护能力与反脆弱性。实战演习,就要有一定的要求才能发挥真实作用,那就是实战化、体系化、常态化的要求。实战化,以真实网络为靶标,运用真实的国家级和APT级战术战法、武器工具,展开真实的攻防对抗,就是实网+实兵+实战;体系化,就是网络攻防两端的能力体系之间展开充分的对抗;常态化,攻防技战能力要追踪最新发展,系统性的积累与持续性输出。一是如何实现攻击端能力体系全面有效的覆盖国家级/APT级战术战法与武器工具?不是一两种工具几种战术战法,而是尽量全的覆盖。二是如何在安全管控的情况下,攻防两端能力还能发挥主动性和能力水平开展充分的对抗?三是如何追踪网络中不断涌现的战术战法、漏洞隐患、创新工具等积累起来,并且在实战演习中有效的输出应用?
以360安全大脑为核心的新一代网络安全能力体系
以系统思维为指导,以安全大数据为基础,构建的新一网络安全能力体系。其中,360安全大脑相当于一个网络空间预警机。以安全大脑为中枢搭建的10套安全基础设施,包括实战靶场、资产测绘、漏洞管理、威胁情报、安全防护、安全运营、应急响应、业务恢复、人才培养、安全开发等。
其中实战靶场,就是基于360安全大脑的网络攻防实战演习平台,它与安全专家团队、积累成熟的实战演习机制形成一套实战演习体系,支撑攻防两端能力体系的对抗,实现实战化、体系化、常态化的实战演习。全景安全知识库
360持续十余年实战对抗,形成了国内唯一融合全网C端和B端且能回溯10年以上的EB级安全大数据。360狩猎40多个境外APT组织,与网络强敌一线对抗,积累了大量具有高度实战价值的技战法与能力。知识从实战中来,就应该到实战中去。实战演习,重要的是攻击端能力体系的数字孪生,这独一无二的全景知识库,是最好的支撑。
基于360安全大脑的可信可控网络攻防体系对抗空间
以安全大脑的全网安全大数据汇聚、全视监测分析等能力为基础,结合虚拟化全封闭终端以及攻击源动态实时隐蔽等技术,构建了“攻击者-物理终端-虚拟攻击终端-云管控中心-实网目标”全链路可信可控封闭环境,以供攻防两端能力展开实战对抗。演习过程中对攻击源、攻击路径、攻击武器等进行全程监测、精准管控,防止过度攻击、非法攻击等情况发生,同时要确保所有人员的行为、工具等在演习的“事前、事中、事后”全程可管可控,最大限度保证关键信息基础设施安全稳定,并发现重大安全风险隐患。
实战演习平台的实践应用
这套演习平台还有网络环境模拟、可变时空尺度指挥控制、攻击网络构建等等系统。基于安全大脑的实战演习平台,专业的安全团队、成熟的演习机制构成的实战演习体系,已经支撑历年来的国家和各行业的网络攻防实战演习,为评估和提升关键信息基础设施安全防护能力,构建国家网络安全综合防控体系,提供了重要支撑,推动建立国家超大规模的网络安全社会化协同与动员能力。
2019年来,已经有重庆、天津、青岛等地与360签订合同,建设城市安全大脑区域节点与国家级网络靶场,在当地开展实战攻防演练及人才培养等高端安全服务和安全托管运营,这一套演习体系能力仍然在持续的系统化积累与常态化输出中。目前,360是国内唯一一家拥有“城市级”网络安全解决方案的公司。“未来,我们希望360这套安全能力框架体系能够最大程度的帮助民航业提高网络安全应急响应能力,防范风险,守护数字孪生时代的民航业新安全。”
研究合作,请联系:dipperresearch@360.cn