数世咨询:网络靶场能力指南
2020年7月23 日,数字安全领域第三方调研机构数世咨询发布《网络靶场能力指南》报告。本报告中的能力点阵图从应用创新力与市场执行力两大维度,对国内主流网络靶场提供商进行了侧写。同时,报告还对国内网络靶场的市场规模、技术功能与应用场景等角度进行了梳理和描述,供业内人士参考。
一能力点阵图•入选本次网络靶场能力点阵图的安全厂商有12家,分别为:安码科技、博智安全、烽台科技、观安信息、锦行科技、绿盟科技、奇安信、启明星辰、赛宁网安、四叶草、易霖博、永信至诚。
•网络靶场在数世咨询定义的市场成熟度,概念市场、新兴市场、发展市场与成熟市场四个阶段中,位于新兴市场阶段。网络靶场在数据咨询发布的《中国网络安全能力图谱》中属于 “通用技术”维度中的“仿真”一级分类。
•据本次调研统计,2019年国内网络靶场市场规模约在5亿元左右,综合各家提供商的判断,预计2020年将达到8亿元左右。
• 如下图所示,国内各行业用户对网络靶场的投入情况,排名前三的为:教育/科研院(24%),政府部委(22%),监管机构(16%)。近几年,网络安全人才和实战化能力的缺乏,以及各类大型竞赛及演习活动的推动,有效促进了各行业用户对网络靶场的建设及应用需求, 网络安全建设正在从合规式的安全检查向重实战演练转变,用户采购网络靶场也已不仅限于安全竞赛和人才培养,还更加注重提升企业应急响应演练及安全运维能力。
• 因各行业对网络靶场的建设需求及成本投入不同,网络靶场交付模式可分为三种,靶场平台、解决方案和靶场即服务。靶场平台以“产品”形式交付占77%,多用于教育/科研院所,以及军队、公安等特种行业。靶场解决方案以“产品+服务”形式交付占15%,此类交付形式不仅采购成本较高,对网络靶场提供商的安全能力、业务经验和资源积累也提出了更高要求,用户多以金融、运营商以及关键基础设施提供商等信息化程度较高及业务流程较敏感的行业用户为主。靶场即服务以“服务”形式交付占8%,此类交付形式可满足预算和使用频率较低的中小型企业用户。
前言
随着网络安全重要性的提升和数字经济的发展,业界对网络安全理念的认知也开始进行转变,并对网络安全逐渐产生了新的需求。
首先,各类组织与机构对网络安全人才的需求日益增多,而随着法律法规的逐渐完善,如今的攻防技术爱好者或者相关的学习人员,不能再像以前那样任性地攻击实网目标。然而,网络安全技术却需要在实际操作中熟练并提升,这就产生了一个对非生产环境的攻防训练需求。
另一方面,组织和机构也发现需要对各类软件、系统,包括自身的应急响应计划等进行测试、演练、验证。显然,在生产环境中进行这些活动,极容易对业务带来负面影响,产生不必要的经济和时间损失。
为了解决这些场景中的需求,需要一个最大限度模仿真实的环境,从而在不对现实网络与业务环境产生影响的情况下,进行各种学习、训练、测试、验证等行为,网络靶场因而受到越来越多的关注。
“过去被称为虚拟世界的网络世界,正在和物理世界融为一体,因此要在对现实影响最小的情况下,最大限度的模拟真实。这就是网络靶场出现的本质原因,同时也意味着这项技术的无限想像空间。从靶场即场景,到靶场即网络,甚至是靶场即世界。”
--数世咨询创始人李少鹏
02关键发现
网络靶场的核心理念为仿真,仿真能力的强弱直接决定网络靶场的能力。
网络靶场的应用场景多样,主要有人员培养与技能提升、竞赛平台、研究检验、以及演习演练等。
网络靶场当前的交付模式以靶场平台和解决方案为主,未来基于公有云的靶场,以及靶场即服务的模式会逐渐增多。同时,接入实网环境的靶场接入平台也是靶场的一种延伸模式。
靶标的更新、攻防手段的丰富、漏洞的迭代,以及场景的变换等等资源库的升级和扩充,都需要厂商的有力支撑,意味着客户需要网络靶场的持续运营服务。未来几年,“产品+运营”的模式有可能成为主流。
网络靶场的落地难点主要为,人才培养意愿不强;投资回报率不明显;需要更多的业务数据。
网络靶场的定义
网络靶场的覆盖面相当广泛:包含了在线网络攻防学习环境、网络安全赛事平台、网络安全技术测评研究平台,以及城市级,甚至国家级攻防演练平台等,都可以归属于网络安全靶场的概念。然而,在这些可以被称为网络靶场的产品中,差异也相当巨大:支持规模的量级差异、模拟环境的复杂程度、各行业应用场景的不同、网络靶场对现实的复现程度(即仿真程度)等等。基于各种因素,本指南报告中给出“网络靶场”的定义:
基于虚拟化技术,对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的技术或产品,以更有效地实现与网络安全相关的学习、研究、检验、竞赛、演习等行为,从而提高人员及机构的网络安全对抗水平。
04网络靶场的技术架构
数世咨询认为,网络靶场的架构可以分为四个层次:基础支撑层、核心资源层、平台控制层、综合应用层。
基础支撑层:基础支撑层由各类硬件组成,为整个靶场提供虚拟化能力、虚实结合能力、计算能力、存储空间等支持,包括服务器、各类安全设备、移动设备、甚至工控设备等硬件设施。
核心资源层:核心资源层为靶场提供内容相关的资源,包含攻防工具/策略库、漏洞库、靶标库、脚本库、场景库等。
平台控制层:平台控制层对整个靶场进行控制,包括靶场的人员和权限管理、安全设置、各类资源管理(靶标、场景、任务等)、数据采集等,同时对靶场中发生的攻防行为提供展示引擎。
综合应用层:综合应用层为靶场能力最终输出的形态,根据所需要的应用场景的不同,提供培训、竞赛、研究、演习等能力。
尽管不同厂商对自己靶场的技术架构分层方式都有所不同,但是本质上都包含了这四层。
4.1.网络靶场的交付模式
4.1.1.靶场平台
客户对靶场厂商直接提出相关需求,以购入的方式获取一整套网络靶场系统。网络靶场平台产品是现在最为主流的网络靶场能力交付模式。对于客户而言,该交付模式由于部署在自身的网络环境中,因此对靶场有极大的控制和管理能力。而另一方面,对部分客户而言,也有着靶场使用频率与成本之间的ROI效率的顾虑,以及对靶场日常运维的压力,会对采购靶场呈现一定的观望态度。
4.1.2.靶场解决方案
由于客户无法有效使用网络靶场平台,网络靶场的厂商需要给客户在网络靶场平台产品之上,提供运营服务:包括指导客户使用靶场、帮助用户建立与更新符合自身业务的各种应用场景等。
随着客户自身IT团队、安全团队对网络靶场使用能力的增强,从而会减少对厂商的依赖。但这并不代表客户不再需要厂商的靶场运营能力,靶标的更新、攻防手段的丰富、漏洞的迭代,以及场景的变换等等资源库的升级和扩充,都需要厂商的有力支撑,意味着客户需要网络靶场的持续运营服务。未来几年,“产品+运营”的模式有可能成为主流。
4.1.3.靶场即服务
客户可以完全摆脱网络靶场作为“产品”的存在形式,而是直接通过订阅的方式购买靶场的服务。靶场即服务可以由靶场厂商自行搭建云平台,以公有云的方式提供靶场即服务,也可以与第三方协同建立网络靶场,为相关企业、机构、人员提供靶场服务。相对于解决方案而言,靶场即服务可以减少在组织靶场上投入的产品和运维成本,但由于靶场即服务偏向于更为普及化或通用化的使用,因此对于有特殊环境需求,或者要求高程度复现业务环境的客户,解决方案依然是更合适的选择。
4.2.网络靶场关键能力
4.2.1.仿真/复现
网络靶场的核心理念是仿真,在一个脱离或部分脱离生产环境和业务环境的情况下,对真实环境实现最大限度的模拟。
仿真能力从技术实现来看,主要有虚拟化和虚实结合两种情况。虚拟化技术在靶场环境中模拟硬件设备、系统的运行,从而实现在没有实际设备、系统的情况下,仿真出相关环境的需求,包括有容器虚拟化、数字仿真、模拟器、协议模拟等多种虚拟化技术。而对于一些暂时无法虚拟化模拟的设备(比如工控设备),或者要求进行实网攻防的情况(比如护网行动),则需要虚实结合的技术,将物理的设备以及真实运行的网络环境接入靶场环境之中。
对于网络靶场而言,仿真能力是衡量产品的一大重要标准:靶场能做到何种程度的仿真?能做到多少设备、系统、场景的仿真?能做到哪些领域的仿真?如何调节实体设备、真实网络环境对于靶场环境的接入?在新的产品、设备出现后,能多快通过虚拟化或者虚实结合技术将其在靶场环境中复现?可以通过这些问题对网络靶场的仿真能力进行评估。
从仿真对象来看,可以分为以下三类:
技术仿真:尽可能贴近实现原理地将设备、网络、系统等环境的运行逻辑、方式、效果高接近度甚至是“完美”的复制,越接近于真实,则越有价值。当然,对许多用户而言,不得不考虑成本投入的问题。
业务/场景仿真:不一定追求完美模拟设备、系统、环境的内在实现逻辑,而是将设备、系统、环境在现实中的运行状态在靶场中进行复现。这就需要大量的业务数据、场景数据作为积累,构建出符合现实的运行环境。
攻防仿真:对攻击工具、攻击手段、攻击行为、恶意程序等攻击行为,以及攻防双方的对抗过程进行模拟,从而复现入侵事件与对抗过程。
4.2.2.资源多样性
除了仿真能力之外,靶场自身承载资源内容的数量与质量也是一个靶场价值的所在。靶场中的漏洞库、攻防工具库、测试工具库、攻防策略库的数量能为相关人员带来极大的攻防选择面;而靶标库、场景库、代码库等则能让使用者更自由地搭建不同类型的靶场环境。
4.2.3.底层支撑
对于一些大型演习演练以及竞赛,往往会有很高的同时在线人数,这对网络靶场的底层支撑能力会有一定的要求。在选择所需的网络靶场能力的时候,需要根据自身的具体需求,考虑网络靶场的硬件配置、系统架构能否支撑自身需要的大并发流量与计算资源。
4.2.4.复盘重现
如果对于网络靶场的使用只局限在演习演练和竞赛的结果,那么对网络靶场的使用是不够充分的。只有对演习演练和竞赛中的攻防过程进行复盘,并进一步地分析,才能从中发现问题和优势,总结成败的经验。
而复盘的关键,就在于网络靶场的数据采集能力:不仅仅对整个攻防过程的流量数据、系统状态、交互信息等多个维度的数据进行采集,才能形成可靠的复盘重现。值得注意的是,数据采集不能以采集量为唯一指标,更需要对不同类型的数据进行精准采集,过多采集不必要的数据反而会影响后期的数据分析效果。
4.2.5.靶场运营能力
网络靶场不只是一个简单的产品,如果网络靶场厂商能够持续提供的运营和服务能力,才能充分发挥靶场的使用价值。
在产品交付后,除了持续地更新、丰富最新的漏洞库、靶标库等各类资源以外,辅助客户通过靶场进行人才培训,提供人才培养计划、教学内容也是靶场运营的方向之一。
另一方面,由于网络靶场在国内依然是新兴技术,许多组织在网络靶场的使用上依然缺乏经验,尤其是演习演练方面,自身缺少大规模组织演习演练的能力。网络靶场厂商可以协助组织和机构,规划演习演练方案,同时联系外部资源,如相关的战队、其他企业等,进行联合演习演练。
最后,针对特定时期发生的严重安全事件,网络靶场厂商还可以帮助客户就相关的环境进行复盘和演练,从中吸取经验以避免类似事件再次发生。
05主要应用场景
网络靶场的应用场景主要有人才培养、研究测评、竞赛平台和演练演习四个方向。但是,每个场景自身可能因为具体要解决的需求不同,对靶场的仿真能力也会有不同的要求。一般而言,一个靶场的仿真能力越强、可支持的仿真环境规模越大,能解决的场景需求就更多。
5.1.人才培养
人才培养主要由两方面组成:教学培训和技能提升。
教学和培训主要用于高校、各类网络相关课程的学院、以及网络安全竞赛的战队等。在如今网络安全相关法规日益完善的情况下,网络安全技术学生、学员、爱好者和极客们如果继续以互联网上的目标作为练手对象,很可能会触犯法律。网络靶场则能帮助这批人员在不影响实网的环境中熟悉网络系统的攻防,从而熟练并进一步磨炼网络安全技巧。在这一方面的人才培养场景中,靶场环境提供的自由度越高,所需的仿真程度也越高。另一方面,教学的网络靶场需要大量的教学场景资源库,提供全面的教学支撑。
技能提升是指企业或机构用户为自身员工提供进一步精进技能的环境。在靶场中不仅能够学习新的攻防技巧,以增强自身的安全技术能力,而且,由于企业自身的靶场环境往往和企业的业务环境接近,员工提升的技巧能力也更契合企业的安全需求。
5.2.竞赛平台
除了教学、研究之外,网络安全竞赛也是网络靶场的经典应用场景。早前的网络安全竞赛以CTF比赛为主,而近年来,参赛选手之间的攻防竞赛也逐渐开始成为主流。由于竞赛本身的性质,网络靶场在竞赛的应用场景中,除了需要对网络环境进行复现,还需要支持高并发应对大量的参赛选手,以及对比赛环境的快速部署。
5.3.研究检验
高校以及其他信息技术研究机构可以在网络靶场中对相关系统进行安全测试、漏洞挖掘,也可以对安全产品或网络攻击工具进行测试与研究。在研究的基础上,各类组织和机构能够通过网络靶场对产品进一步进行检验:如某系统是否能契合组织现有的环境,接入后是否会产生新的安全问题?对于相关安全产品,是否能在自身的网络环境中达到应有的安全效果?在这一场景上,网络靶场能够成为组织和机构在选购相关系统、安全产品时,衡量潜在选购物价值的一个测试标准。
如果需要有效的进行研究和测评,网络靶场需要很高的仿真度,尤其需要对各类设备、系统运行的高度复现。在测评场景下,网络靶场还需要虚实结合的技术,将被测的实际系统、设备接入到靶场环境中。
5.4.演练演习
在靶场应用场景中,对仿真度以及底层支撑技术要求最高的是演练与演习场景。
从政府和监管层面,通过网络靶场对关键企业、设施的实体系统进行攻防演习,可以有效地发现相关企业、设施存在的安全隐患。军队、公安可以通过在网络靶场进行演练,加强相关人员的攻防能力,提升相关人员的组队作战能力。另一方面,企业与企业之间,也可以通过网络靶场进行攻防演习,相互促进攻防能力。
从组织、机构自身来看,网络靶场能够在不影响业务系统的情况下,对自身响应方案进行测试,验证响应方案是否可行。也能通过在靶场环境中的攻防测试,发现组织内部存在的安全隐患。
由于演练、演习环境往往会涉及机密内容,同时仿真范围在落地场景中最大(从最低的企业级,到城市级,甚至将来国家级),因此网络靶场在演练、演习场景需要在强大的基础设施能力上提供接近现实的环境复现。另一方面,由于在一些情况下,演习目标会涉及真实运作的系统,网络靶场还需要限制在这种环境中对真实系统影响的同时,判断攻击是否有效。
06网络靶场的落地难点
网络靶场从当前来看,在实现仿真互联网技术的层面上的难点并没有太大影响。但是,客户对靶场的应用需求还存在以下难点:
6.1.人才培养意愿不足
一般情况下,员工进入组织、机构以提供自我能力为主。因此,组织和机构倾向于不断招募能力完备的人员,而非提升自己现有员工的能力。因此,以培训技能为主要用途的网络靶场,显然缺乏对客户足够的吸引力。
但是,从另一方面看,高端的技术人才在人才市场上始终都是稀缺资源,尤其是能够对特定业务环境较为熟悉的人才更加稀有。组织和机构即使能从人才市场上找到技术能力足够的人员,也很难让这些人快速融入自身的业务环境之中,实现自身的价值。而一个高度仿真业务环境的靶场,能让自身的员工在最适合自己业务的环境中得到能力的提升。
6.2.投资回报率较低
网络靶场除了人才培养、技能提升的功能外,还能进行分析验证、演习演练等功能。但是,对于很多组织和机构,这些功能并非是日常使用的功能,在使用频率上可能较低,因此购买靶场的意愿不足。另一方面,已购买的靶场作为自身信息资产的一部分,需要定期的维护,在一定程度上增加了成本。
这个问题一方面可以从未来靶场能力服务化之后,通过公有云靶场、靶场即服务等方式一定程度上解决。此外,网络靶场厂商自身可以加强自己的靶场运营能力,帮助客户将网络靶场的使用价值最大化。
6.3.需要更多业务数据
当前主要网络靶场厂商的聚焦点在虚拟化技术以及攻防仿真能力上,普遍缺乏业务场景的仿真能力。对于大型组织而言,如果能在复现自身网络环境的基础上,进一步复现具体业务层面的网络运行状态,则更加有利于帮助组织和机构进行贴近自身情况的人才培养、验证分析与演习演练。
然而,这一层面的仿真就需要对客户业务机制、流程、环境等知识的理解和积累,同时需要有大量业务数据的沉淀。从这一角度来看,拥有大量安全数据以及客户业务经验的安全厂商,在未来也有可能以此作为切入点,进入网络靶场市场。
07网络靶场案例
7.1.案例一:某城市网络靶场建设项目(本案例由永信至诚提供)
场景介绍
作为网络空间安全的重要保护对象,具有网络环境复杂、安全边界庞大、安全防御体系脆弱等特点,且城市中大部分关键信息基础设施的生产系统连续性要求极高,无法直接在实网环境中对整个城市网络空间的安全人员实战能力、装备风险、防御效果等进行有效验证。
客户需求
全场景仿真:对重要信息系统和关键信息基础设施的网络架构、业务行为、数据联动、工业区网络架构和业务逻辑等进行模拟仿真,建设安全可控的测试验证环境;
全任务支撑:训练全网人员实战防御技能和应急响应能力,支撑实战对抗、协同演练、安全实验、风险检测、方案推演、效能评估、实战风控等任务;
全生态聚合:支撑多种角色在同一复杂网络场景中完成任务,并对各类任务信息进行实时采集与分析,呈现高价值数据;
全空域联动:解决城市中已有攻防靶场、培训靶场、细分行业靶场等各类不同架构、不同模块的资源共享问题。
解决方案
1、部署了专项研制的具备大规模、高频次特点的靶场云平台,支撑底层虚拟化环境对计算、网络、虚拟、存储等海量资源平滑调度和分配;
2、基于平行仿真系列技术,对业务环境中的复杂网络架构、数据逻辑、人员行为等进行模拟仿真,利用平台海量的靶标库、场景库、攻防工具库、漏洞库、流量库等资源内容,快速构建任务场景;
3、基于多维度多层次的网络攻防评估模型,对训练、演习、推演、试验等各项任务进行全面评估,通过过程复现及指标运算,推演逆证在真实环境运行的可行性;
4、从设备、功能、运营及体系等方面与行业靶场及功能靶场深度融合,实现全方位资源共享。
用户价值
城市级场景仿真,覆盖能源、电力、金融、交通、电信等十余个关键信息基础设施行业的超十万网络节点的大规模场景复现,支撑了千人并发任务执行;
高仿真验证平台,实现八种角色的多场景任务设定,完成人才培养、攻防演练、测试验证、效能评估等各类任务执行;
能够复现安全技术方案及响应方案,结合专业技术团队、技术工具及专业技战法等进行可行性、有效性和相关薄弱环节的安全检验;
实现了任务、行业、角色、数据、多架构等的深度融合及全链运营,增强城市全网风险验证能力,打造网络空间“朱日和”基地。
7.2.案例二:某能源行业用户案例(本案例由赛宁网安提供)
场景介绍
某能源行业用户需要对内部人员进行网络安全赋能,并基于网络靶场进行实网实战的安全演练,实现人员安全能力提升及企业内部系统安全提升。
客户需求
基于体系化的教程,快速提高人员的安全知识与安全技能。并通过多种演练模式,进行不同方向的人才选拔及培养,锤炼人员实战能力。
针对个人、团队进行实网演练,包括渗透测试、安全运维、应急响应等,形成安全人员的实战经验。
为网络安全研究人员提供弹性测试床环境,并有隔离、可控、批量操作、数据采集等特性,从而满足研究人员的各种载荷开发、测试、分析等一系列研究工作。
解决方案
1.靶场基于三层架构搭建:
a.基础资源层:提供所需的运行环境,包括相关硬件设备、安全设备等,并通过虚拟化以及虚实结合的方式构建各种逼真的攻防演练场景。
b.核心支撑层:核心支撑层包括靶标库、场景库、规划库等在内的各类资源库;同时,通过场景构建、裁决评估、过程管控与数据采集对整个平台进行管理、支撑。
c.应用层:实现防护技能训练:训练方式有单兵训练、团队协作训练、红蓝对抗等;系统/装备测试等目标。
2.演练前,管理员根据实际业务情况,搭建虚实结合网络环境,配置攻防演练资产,作为攻防演练的环境。
3.演练中,导演负责演练任务、安全事件的导调,提升演练的真实性。红方负责信息收集、漏洞挖掘、漏洞利用、内网渗透等工作,拿到目标资产权限。蓝方负责安全事件发现与业务恢复、系统加固、勘验取证、线索溯源等应急响应工作,对所有资产进行监控和防御。
4.演练后,裁判依据平台采集的关键数据,审核演练任务执行结果。演练全部过程通过大屏进行展示,采用3D形式对攻防演练的动作及状态进行态势展示。
5.复盘时,系统基于安全感知能力对该次实战演练的数据和流量进行统计与分析,生成活动报告,并通过图形化的方式对关键数据进行展示。同时,对全过程任务复盘,回顾演练中的所有攻防动作。
根据演练结果,梳理系统防御体系,发现系统防御中的薄弱点,有针对性对系统进行加固,提升业务系统的安全防御能力。
用户价值
提供各方向的安全课程,并通过大数据精准分析,形成完整的人才能力评价体系,学员通过体系化的学习可快速提高安全技能。
提供针对个人、团队业务的多种实网实战演练模式,在虚拟与真实环境中对实际案例进行还原,能培养人员的业务思维、锻炼解决实际问题的能力、积累实战经验、提升团队整体能力以及策略应用。
针对网络安全研究人员提供的弹性测试床环境,具有隔离、可控、批量操作、数据自动采集等特性。研究人员可在测试床中开展一系列研究性工作,挖掘系统潜在风险,并对攻防工具进行测评验证。
7.3.案例三:某城市级靶场(本案例由安码科技提供)
场景介绍
某城市建设城市级靶场,需要以靶场为平台支撑每年大规模攻防演练,针对实网攻防发现的问题,利用靶场平台进行安全整改,加固,测评服务等,实现靶场常态化运营及商业职能。
客户需求
通过靶场作为公共服务,为各方提供服务:
为科研单位院所提供研究环境,增强协同创新能力。
为地方监管单位提供针对实体目标的真实演练环境。
为大企业客户通过靶场服务的方式提供人才培养、产品测试等环境。
解决方案
该靶场的基于三层结构设计:
•基础层:基于超融合云计算平台,提供计算存储网络和安全的虚拟化、多租户管理及任务调度HA等。
•中间层:中间层主要提供模拟复现和资源库能力,中间层在基础设施上,模拟出多种类型的设备和系统,包括网路设备、安全设备、主机设备、操作系统等,满足各个领域的复现需求。另一方面,中间层集成各类镜像资源、靶标资源、工具资源、漏洞知识资源及任务资源等,以服务总线ESB方式向上层应用层提供服务支持,实现不同服务之间的通信与整合。
•应用层作为最终输出层面,向用户提供各类应用服务,实现人才培养、分析研究、演习演练等多方面需求。
用户价值
通过实网演练,发现重点企业存在的安全风险,及时进行修补。
为当地网络安全研究人员提供先进、一流的虚拟环境,满足各种方面的研究需求。
基于演练的数据进行分析,进一步形成和丰富网络攻防实验模型和实验数据库,从而提供更高质量的靶场服务。
为当地企业提供靶场能力支持,即使其他企业并未购买靶场产品,依然能通过“靶场即服务”的方式,通过靶场能力满足相关的安全需求。
7.4.案例四:某工业网络安全响应中心靶场(本案例由博智安全提供)
场景介绍
一带一路沿线某国信息安全响应中心,位于地缘政治敏感区域。其关键基础设施行业如电力、化工等行业的工业网络设施经常遭受周边国家和境外团体的网络攻击,对正常的工业生产造成严重影响,而日常运维人员技术能力不足,严重缺乏工控网络风险事件处置经验,无法应对当前面临的威胁。
客户需求
迫切需要一个满足演训实操要求、覆盖自身实际工业环境下典型场景的工控网络安全攻防环境,同时需要完善的教学课程和配套攻防工具。能够通过自行编排不同维度和不同级别的演练场景和模式,全面提高安全人员的技能水平,加强工控网络攻防水平与事件响应能力。
解决方案
该解决方案包含一套训练中心与一套便携式训练套件。
训练中心采用固定式部署方式,部署于训练大厅和数据中心:训练大厅部署相关操作平台与展示信息的视频墙;数据中心部署服务器、网络交换设备、网络设备及UPS等,保证系统运行的安全、稳定。
便携式训练套件包括便携式服务器群、网络交换设备、UPS、笔记本电脑、便携式攻防套件及其他配件等。笔记本电脑以及其他外部计算机通过有线或无线连入便携式服务器集群,通过利用客户现有训练资源,构成训练平台,实现异地便携式部署。
系统由四个部分组成:IAAS支撑云平台、业务支撑层、数据支撑层和应用可视化层:
IAAS支撑云平台基于服务器、存储设备、网络设备等物理设施,整体上采用OpenStack技术架构实现基础设施资源的云部署。IAAS支撑云平台通过虚拟化的方式,以资源池和服务的形式供上层的业务应用调用。另一方面,IAAS支撑云平台除了提供基础设施和资源的虚拟化服务外,也支持将实物设备接入到系统中,通过虚实结合,作为目标环境构建的一部分,包括工业控制网络中的控制设备等。
业务支撑层实现不同模块之间的消息交换,并为上层的应用可视化提供基础的支撑模块服务。在该层面,系统首先通过不同的接口适配器传输来自不同模块和系统的数据,并通过数据交换模块实现最终的消息流交换。
数据支撑层在分布式文件系统的基础上,提供分布式存储和分布式计算服务,以满足在攻防演练过程中快速的数据查询和实时计算需求。同时,提供各类资源库支持,包括漏洞库、病毒库、恶意代码库等。
应用可视化层基于攻防演练的业务逻辑需求,将最终攻防结果以可视化的形式呈现出来。
用户价值
提供包括工控系统攻防场景、卫星导航场景等特殊场景在内的攻防模拟。
客户根据自身需求自由构建典型攻防场景。
为客户的员工提供全面的网络安全技术体系课程。
基于训练过程数据和结果数据,对人员能力进行分析评估。
未来趋势
尽管网络靶场在近几年来才在国内逐渐得到更多关注度,但是在国外已经有相当成熟的土壤。从技术上来看,国内网络靶场的建设能力不会和国外网络靶场厂商差距很大,但是从市场层面来看,国内外客户对靶场的理解有着一定的区别。因此,国内网络靶场的发展趋势,不仅仅是会有技术层面、应用层面的变化,还会有因此而带来的需求层面的变化。
总体来看,数据咨询认为,靶场交付多样化、靶场能力多样化、靶场范围数字化,是未来网络靶场的三个发展趋势。
8.1.靶场交付多样化
尽管上文提到了多种靶场的交付模式,但是在如今环境中,企业级靶场的交付模式依然以客户直接购买定制化或者标化产品为主。但是,以网络靶场平台交付的模式来看,往往不能给机构、组织或企业带来直接的经济效益,并且使用的次数频率也相对较低,却依然需要进行维护,从而增加了日常成本。因此,完全购买整套靶场产品对许多组织和机构而言是一个需要斟酌的决定。
数世咨询认为,在将网络靶场作为产品购买的交付形式之外,“靶场即服务”在未来会逐渐成为趋势。一种方式可以通过网络靶场运营方(可以是网络靶场厂商,也可以是和第三方协同运营)使用网络靶场的设施,另一种则是直接通过云端接入的方式订阅靶场服务。
靶场交付形式的多样可以解决不同客户的需求:需要长期使用繁多、复杂环境的大型组织和机构可以直接购买定制化的靶场产品;对于自身缺乏靶场运营能力的客户,或者需要更多外部资源(如外部攻防团队)的客户,靶场运营能力也可以满足这一方面的需求;而对网络靶场使用频率一般,甚至只需要标准化产品的中型组织和部分大型组织则使用靶场服务即可;同时,对于需要能够支持多种环境的网络靶场,但是使用频率和范围相对局限,并且运维能力与成本相对有限的组织和机构,也能够通过靶场服务满足需求。
网络靶场在未来的交付模式必然是多种形式共存,且各有市场。
8.2.靶场能力多样化
除了通过“靶场即服务”,降低靶场带来的成本,从而提升靶场的经济效益之外,拓宽靶场的能力也是一种途径。
靶场的核心理念是仿真,在对现实环境的复现下实现前文提及的各类需求,而仿真理念的另一个应用方向则是蜜罐,或视规模而言称蜜网、蜜阵。对于能够高度复现业务环境或者技术环境的靶场而言,与企业的现实网络相结合,能够在靶场和蜜网之间相互切换,甚至可以将靶场的一部分永久作为蜜网进行使用,从而通过靶场对网络环境进行保护。另一方面,进入蜜网的攻击者对于企业而言,更是天然的实战训练对手,而在以靶场为基础的蜜网环境进行真实的攻防,对企业而言,也能将危害减小到最低。
同时,靶场并不是一个“一次性”的交付产品。即使以解决方案形式交付的靶场,靶场厂商依然会持续性地提供服务——比如靶场能力的更新、资源库的升级等等。加上通过靶场训练、竞赛、演练产生的大量数据,靶场自身也可以为态势感知体系提供客观的数据来源。
8.3.靶场范围数字化
从未来来看,靶场很可能不是分离的网络靶场、工控靶场、以及物联网靶场,而是相互之间的结合。尤其到数字城市时代的来临后,城市的各类物联网设备和互联网紧密相连,甚至融合到一起。在那样的环境下,我们对城市、国家的网络空间防御,也绝对不能将两者分开。因此,对网络安全攻防的学习、训练、研究、演习也必然需要能在一个融合多环境的情况下进行——即靶场需要能融合互联网、移动互联网、工业互联网、物联网,甚至未来更多的行业环境与应用场景。
从这个层面来看,未来靶场的发展方向将不再是“网络靶场”,而是更广阔的数字世界的“数字靶场”。
作者:
产业与市场分析师:左晶
技术与应用分析师:潘颉阳
机构简介:北京数字世界咨询有限公司,中国数字安全领域中立的第三方调研机构,以数字时代为背景,提供网络安全行业的调查、研究与咨询服务。
联系邮箱:dw@dwcon.cn
相关链接数世咨询:网络安全态势感知能力指南