作为网络空间中一种重要的基础设施,网络靶场在近些年逐渐从国防领域走向全行业,在攻防演练、竞赛实训、人才培养等需求中大展拳脚。除了这些我们耳熟能详的训练型应用场景,网络靶场在一系列试验型场景中,如:安全研究、安全测评、整改验证等,正逐渐成为不可或缺的重要支撑。近日,安全419邀请到启明星辰集团旗下的云众可信网络靶场产品负责人宋诚,为大家分享网络靶场在此类需求下的技术实现和应用价值。
传统安全测评手段已尽显疲态
美国作为全球信息化程度最高的国家,在2008年率先开展国家网络靶场(NCR, National Cyber Range)建设,将其作为网络攻击与防御的有效性评估、网络武器有效性评估、网络战术/技术/过程(TTP)的开发等提供靶场化解决方案的基础设施。我国网络靶场建设在2009年布局,中国科学院计算所同年启动网络靶场的技术和原型验证,研发了“天玑网络靶场”,开展部分科研实验室和行业专用实验靶场建设,用于研究电子信息对抗与仿真技术,对行业产品进行试验及检测等。
“因此,实现测评与验证类安全需求,正是网络靶场最起始的建设目标。”宋诚进一步阐述,将这类安全需求抽象提炼出来,可以投射到各行各业,即组织内部的信息化系统和设备随着IT技术发展、业务扩展以及安全建设完善而愈加庞杂,企业需要通过测评和验证手段了解新的技术实施、新的安全部署是否达成了建设目的,同时不能让正常的业务运行受到影响或中断。另一方面,基于网安法、等保条例、关基保护条例等法律法规以及行业内安全管理条例的规定,企业也必须完成诸如:入网检测、等保测评、安全密评等一系列的合规性测评。
可以看到,无论是主动的安全目标,或是基于合规的驱动,安全测评是一项传统、长期且持续的需求。据宋诚介绍,长久以来,业内采用安服人员搭配安全工具的方式,基于一个既定的标准,通过调研、扫描、渗透等多种技术及行政管理组合手段开展测评工作,并形成评估报告。在长期的实践中,逐渐暴露出一些现实问题。
技术与管理层面:测评工作依赖于客户的现网环境开展。为了保证业务正常运行,测评力度与深度受限,但为满足真实全面的测评而暂停业务运营,又极为不现实。业内倡导遵循无害化测评以及安全众测等理念,在执行中不能对系统造成破坏性影响,以尽力平衡测评效果与业务连续性的矛盾,但测评仅止步于表面问题的发现而不能利用问题做深层次的检查,是不符合真正的攻击方的动机与准则的,距实战化效果依然存在明显距离。同时,从管理角度上对参与测评的技术人员也很难做到真正的可管、可控。
成本与度量层面:随着业务的发展,安全测评是一项持续性工作,与后续的加固、整改、再验证等形成闭环的常态化的持续测评,但传统的安全测评服务往往是单次采购,不同安全厂商提供不同的安全工具、配备不同的安服人员,能力与经验水平各异,难以保证标准化、可度量且连贯的测评和改进效果,但成本投入却是持续的。另一方面,为了保障实网测评的有效并减轻其对业务的影响,许多客户在采购测评服务的同时还需要花费大量精力去做好相应的备份及恢复机制,成本也在无形中摊高。
在这样的契机下,网络靶场可谓正中要害,切入了安全测评的需求场景,基于真实的业务网络环境构建高度逼真的模拟仿真网络环境,通过模型之间的互动,分析各单元的行为表现,能反映真实环境中的安全状况,不用再为技术与管理问题犯难。同时,网络靶场基于平台化的建设理念,将测评中的方法、专家经验整合到模型中,固化为标准流程,保证每一次的检测基于同水位的能力和手段,有助于用户持续且清晰地进行评估并改进,长远来看,成本也能得到有效控制。
在宋诚看来,构建能够良好满足安全测评需求的网络靶场,需要具备三个核心能力,一是要素齐全,即网络靶场对现网环境建模,需要覆盖网络、设备、业务等关键因素,否则无法为现网提供全面的测评支撑;二是功能等效,例如现网的组件所具备的功能及联动情况,在网络靶场中需要等效复原,否则测评结果就不具备真实性;三是规模缩比,如果是按照1:1真实还原,相当于重建现网,构建成本得不到控制,在客户侧难以落地实施。
看云众可信如何构建适应安全测评需求的优质靶场
云众可信作为启明星辰集团旗下品牌,专注于网络靶场及相关平台的技术研发与产品方案落地,宋诚介绍,在靶场设计之初便将其定位为兼顾试验型场景和训练型场景的综合性靶场,基于高度逼真、高度灵活、高度开放的理念,力求帮助客户打造一个贴近实战注重实用并且能够持续建设的网络安全基座。
具体而言,包括了以下几大核心能力。首先是环境仿真,作为一个自研的底层仿真引擎,通过虚拟资源池和物理资源池提供丰富的靶标资源,涵盖:主机仿真、应用仿真、安全仿真、场景仿真、网络仿真、虚实结合等能力,可视化的场景及自主编排模式旨在为客户提供所画即所见,所见即所得的逼真环境。
有了底层的仿真引擎,在此基础上可以实现人才培训、实战演练、安全测评等具体的业务功能,比如:人才培训,依托于启明星辰强大的安全培训资源,以丰富的课程资源基础,通过理论教学与实训教学的充分结合,开展不同知识梯度的安全教学,深度结合不同行业业务信息安全人才需求,提供面向不同专业领域的信息安全课程体系。又如实战演练,通过对客户真实网络环境进行仿真,结合攻击流量拟真、事件场景拟真,还原网络安全事件发生时的实战化场景。通过组织攻防演习或应急演练,协助客户发现系统威胁、隐患、检验并提升其网络威胁监测、安全事件应急处置、网络攻击溯源等网络攻防实战能力和应急响应协同水平。
此外还配备了综合管理系统,作为靶场的统一门户和管控中心,将靶场的资源和模块进行有机整合,可灵活兼容并扩展三方安全资源、能力和产品,为客户提供一体化的使用平台。这也践行了靶场建设的工程化思想,是一个可以灵活开放可持续扩展的平台,而不是一个一次性交付的工具。
基于该靶场的整体框架,针对我们今天特别关注的安全测评板块,宋诚进一步为大家介绍了云众可信在该场景中的功能设计与实现。
针对测评环境,与上述的人才培训或实战演练不同,更多面向通用环节。安全测评面向客户具体的、特定的运行环境和业务系统,为了实现高度还原,云众可信在过往的项目中积累了大量的、面向各个行业的、典型的网络环境、业务靶标以及攻防场景,利用底层的仿真引擎,帮助客户快速构建高度逼真并且可以灵活调整的环境。
针对测评能力,一方面,依托于启明星辰专业卓越的安全能力赋能,在安全扫描、核查、检测等多个维度具备全面和领先的安全测评基础能力,另一方面,运用BAS入侵与攻击模拟、AI加持的自动化渗透测试等新兴技术,从攻击者角度尝试破坏和利用,而不仅是在防御视角进行被动检查,旨在为客户提供足够真实、足够深入的安全测评。
针对测评结果,不同的靶标系统叠加了多维度的测评项目。若直接给用户呈现流水式的结果,其实无法清晰掌握安全态势或有效辅助决策。云众可信网络安全靶场为此建立了一套评估指标体系,将经过论证的技术手段和经验沉淀为科学、专业的算法进行决策分析,在庞杂繁复的测评结果中,有侧重、有优先级地为客户输出客观又直观的评估结果。
针对测评体验,面对不具备专业技术与人员储备的客户,通过靶场内置的环境模型、任务模型、能力模型,用户即可根据自身的业务场景进行快速匹配,比较低门槛地开展安全测评工作;面对IT和安全技术水平较为成熟的客户,可提供环境自编排、工具自集成、指标和算法自设计等深度配置能力,方便客户根据自己的需求灵活设计并开展特定的安全测评工作。
在实际的使用中,宋诚表示,网络靶场带给客户最大的改善,就是从技术、人员、流程上极大地节约了实施和管理成本,并且可以得到一个真实、客观的结果,可以说,是网络靶场让安全测评这项工作真正发挥出了应有的价值。
与人才培训、攻防演练等更加热门的靶场应用相比,宋诚坦言,通过网络靶场开展安全测评的业务占比还处于低位。但随着行业的普及发展,已经有越来越多的行业客户,尤其是重要的关键基础设施行业,已经充分意识到网络靶场在能力提升和应用前景方面的价值,显现出旺盛的产品需求。
发展网络靶场成为未来的安全基础设施
面向未来,当网络靶场已经逐渐被定位为网络安全基础设施,理论上它应该是所有企业最终都需要建设配备的,宋诚表示,网络靶场向前发展,需要朝着智能化和轻量化方向进化,而这两方面现存的短板,恰是目前影响网络靶场在更大范围普及应用的阻碍。
网络靶场由于仿真了现网的环境和功能,真实的背面对应的是复杂,技术底座包括云计算、虚拟化、自动化编排等。应用层面囊括了前述的安全测评、人才培训、攻防演练等,不可避免这是一个重型平台。即使针对具体的使用场景构建解决方案,依旧需要客户具备基本的专业知识技能,才能着手应用。AI技术浪潮的涌入,为这一挑战带来希望,将专业知识和实战经验沉淀,通过与网络靶场中的智能助手对话,传达需求即可按需搭建配置,开展各类安全业务。
也正是因为网络靶场力求逼真,即使在虚拟化、规模缩比等技术的加持下,其造价成本不可避免地还是比一般安全标品更加高昂,因此目前网络靶场的主要客户集中于各行业头部企业。未来的趋势,是提供云化的网络靶场,基于云上的技术与资源,让客户可以按需订购和使用。这种轻量化的服务模式,是网络靶场能够在更广阔的市场中铺开的重要因素。
宋诚最后透露,云众可信网络靶场未来将朝着智能化和轻量化方向发展,立志让网络靶场成为更多客户愿意使用并负担得起的安全基础设施。