查看原文
其他

丈八网安王珩:带你重新认识网络靶场

丈八网安 安全419
2024-09-16

2022年8月2日,ISC 2022互联网安全大会“网络空间靶场与实网攻防对抗论坛”在ISC元宇宙N世界中举办。丈八网安CEO王珩受邀担任演讲嘉宾,分享了丈八网安在网络靶场新领域的探索与实践,以及网络靶场产品未来发展与应用方向的展望。



王珩从四个方面深入浅出地讲述了初代网络靶场的局限性、网络靶场能力图谱、衍生的新技术应用,最后引用了多个丈八网安的实践案例,生动的描述了基于网络靶场的基本能力衍生出的全新应用方向。


初代网络靶场产品应用场景单一、产品设计与业务适配具有局限性。


“新生事物都或多或少的存在其局限性,在探索初代网络靶场的道路中,各个厂商和研究机构和很难超越传统培训教育系统设计理念的桎梏,从而无法做出抽象的业务,导致产品的应用方向和扩展能力比较有限。”


在王珩看来,虽然丈八网安并不是最早、最先进入网络靶场的业务领域的,但这恰恰是丈八网安能摆脱传统设计,扩展更多能力的机会。从底层架构设计方面来看,丈八网安摒弃了传统的云计算架构的条条框框,在前期投入大量资源开发更适合网络靶场的可自由排列的创新模式架构,使网络靶场更好的支撑传统业务的同时,有能力衍生出更多全新的应用方向。


初代网络靶场面临多重束缚,例如,初代网络靶场的架构过于沉重,使用成熟的框架可以降低产品研发的技术门槛,使更多精力投入到产品交付。但是当靶场产品进入了深水区,云计算架构变成了一个很大的历史负担。


云计算和网络靶场是完全不相干的产品,对于云计算来说,计算是它的核心本质,而对于靶场产品来说,仿真才是它的核心本质。所以如果仅仅以虚拟化、容器这些更偏计算的技术打底的话,给网络靶场产品的发展带来很大的局限。


另外,初代网络靶场的部署形态单一。云计算架构决定了靶场是一个集群化的部署模式,所以会使用到大量的物理设备,而且在产品设计过程,由于过于追求虚拟机的并发量等表面化能力,导致网络靶场的实施成本居高不下,很大程度上影响了网络靶场产品的推广普及。。摆脱繁琐的物理设备堆砌,构建SaaS化的网络靶场,是国内厂商重要的一个研究课题。


紧接着,王珩详细的展示了初代网络靶场与下一代网络靶场平台的能力对比:“一个设计完整的网络靶场系统,是汇集了多种能力的一个平台系统。一般来说靶场会有一个共用支撑的底层平台,包括计算虚拟化、网络虚拟化、实物接入、还有一些数据采集的能力。基于这个共用的支撑平台,可构建一些业务上的一些应用。比如,一个典型的实训系统,可能包含了靶标的管理、拓扑的管理、评估模型的管理等,如果是一个典型的竞赛系统,基于这些又增加了可视化的管理、裁判的系统、流量管理等功能,复杂一些的攻防演练系统,在此基础上又会增加事件引擎、裁决引擎以及行为的仿真等功能。”


传统云计算架构的靶场平台能力排列


以上是一个很典型的产品架构,这样的架构看似合理,但其在靶场能力的排列组合方式上是死板和固化的,它将靶场的能力封印在了一个固定的形态里。如果能够将靶场的能力从这些封印的条条框框中解放出来,便会产生很多创新的应用方向。


“比如,将网络靶场的能力,拆解成各种模块构成的资源池,那我们可以基于计算虚拟化和数据采集的能力,很便捷地构建成一个动态分析用的沙箱系统,如果使用网络虚拟化、数据采集、数据分析的能力,则可以很便捷地去构建一个高交互蜜罐系统,像靶场的态势展示功能与市面上的态势感知系统是很接近的。像靶场的数据分析、漏洞管理等能力,都可以去构建一个类似IDS的一套系统。”王珩讲到。


丈八网安自研底层架构的灵活性


在他看来,跳出固化的思维模式,通过新颖的系统模块组合方式,靶场可产生很多全新的应用方向,使业务能够向深水区发展。


丈八网安的“火天网境”网络靶场平台,正是践行了上述理念的新一代网络靶场的代表产品。王珩基于丈八网安在网络安全技术上的积累,分享了在网络靶场研发上的创新思想与应用。“新技术不代表它是一个尖端前沿的技术,而是未在网络靶场领域中广泛应用的、更适合与靶场相结合的技术。”


第一,仿真建模技术:仿真建模是一项成熟的技术,是一种广泛解决现实问题的方法,它最大的特点是能通过简单的交互式操作,能够将大家“最关注”的重要细节进行抽象提取,去除那些不关注的细节。比如,构建一个仿真病毒模型,把病毒会感染的操作系统、平均感染时间、感染临界点的概率、加密策略等,这些已经抽象提取的“最关注”要素放进去即可完成构建。模型总是没有原始系统复杂,但很容易低成本构建出极为复杂的仿真场景,而且不会引入真实对象所具备的安全风险。


仿真靶标、仿真病毒构建过程


第二,人工智能技术的赋能:在网络靶场领域,人工智能技术应用也可以非常宽广。人工智能技术虽然不是新鲜概念,但是应用到网络靶场能够使产品具备很显著的优势。深度学习算法是最值得快速适配的人工智能技术,一方面,它能够基于已经学习的流量特征,生成类似人类在网络空间里产生的行为流量与事件流量,具备很高的真实性和不可预测性。另一方面,可以通过输入大量的攻防技战法样本数据训练出一个接近人类的AI自动化对手,应用在攻防演练、竞赛的过程中,作为辅助训练的对手。对企业来说,能省去大量在演练过程中组建红蓝队的成本,对科研来说也有很大的价值。


连接AI技术至仿真网络


第三点,宏编程技术的赋能:office中的VBA编程组件技术功能是强大的典型的宏语言,有相当长的一段时间,成为了黑客写病毒的工具,现在类似的技术有了更时髦的称呼“低代码”。如果将这项技术应用到网络靶场里,便能加大网络靶场产品的灵活性。比如将靶场的某项功能抽象成一个可编程对象,去开放各种编程接口,通过低代码脚本串联起来,能够实现非常灵活性的应用场景。


在演讲最后,王珩利用几个案例,分享了丈八网安在网络靶场业务上的理解,以及一些全新的网络靶场应用方向,如多引擎病毒检测系统、高仿真高交互蜜网、网络攻防仿真建模推演等。


丈八网安推演控制页面与态势展示


王珩最后总结了对网络靶场未来发展的看法,以及自己在网络靶场领域从一而终的决心。


“从我的角度看,网络靶场在未来的应用方向上,会从现阶段以能力提升为主的需求,延伸到网络安全实际业务需求上来。从产品形态上看,网络靶场也会从现在成本高昂的本地集群部署,逐渐转向SaaS化的模式。总而言之,网络靶场并不局限于现阶段的认知范围,在未来在应用方向和产品形态方面将会开阔出更广泛的应用空间,我们的使命是在网络靶场领域开创出更多可能,做出更好的产品,满足各行各业用户更加多样化的需求。”


THE END


// 推荐阅读
修改于
继续滑动看下一个
安全419
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存