丈八网安王珩:开创网络靶场技术及应用新思路

首页 / 业界 / 资讯 /  正文
作者:丈八网安
发布于:2022-08-03
2022年8月2日,ISC 2022互联网安全大会“网络空间靶场与实网攻防对抗论坛”在ISC元宇宙N世界中举办。丈八网安CEO王珩受邀担任演讲嘉宾,围绕丈八网安在网络靶场领域的探索与实践,以及网络靶场产品未来发展与应用方向的展望进行了分享。
 
 
王珩从四个方面深入浅出地向大家讲述了初代网络靶场的局限性、网络靶场能力图谱、衍生的新技术应用,最后引用了多个丈八网安的实践案例,实际地说明基于网络靶场能力衍生的更多可能。
 
应用场景传统、单一、设计与业务具有局限性,是王珩对于初代网络靶场的观点与理解。
 
“新生事物都或多或少的存在其局限性,在探索初代网络靶场的道路中,各个厂商和研究机构和很难超越传统培训教育系统设计理念的桎梏,从而无法做出抽象的业务,导致产品的应用方向和扩展能力比较有限。”
 
在他看来,虽然丈八网安并不是最早、最先进入网络靶场的业务领域的,但这恰恰是丈八网安能摆脱传统设计,扩展更多能力的机会。从底层架构设计方面来看,丈八网安摒弃了传统的云计算架构的条条框框,在前期投入大量资源开发更适合网络靶场发展的数据采集、数据建模、靶标管理、行为仿真、评估模型等可自由排列的创新模式架构,使网络靶场更好地支撑传统业务的同时,赋能其衍生出更多全新地应用方向。
 
王珩表示,初代网络靶场面临多重束缚,例如,初代网络靶场的架构过于沉重,使用成熟的框架可以降低产品研发的技术门槛,使更多精力投入到产品交付。但是当靶场产品进入了深水区,云计算架构变成了一个很大的历史负担。
 
云计算和网络靶场是完全不相干的产品,对于云计算来说,计算是它的核心本质,而对于靶场产品来说,仿真才是它的核心本质。所以如果仅仅以虚拟化、容器这些更偏计算的技术打底的话,对网络靶场的发展有很大桎梏。
 
另外,初代网络靶场的部署形态单一。云计算架构决定了靶场是一个集群化的部署模式,所以会使用到大量的物理设备,而且在产品实施期间,由于过于追求虚拟级的并发量等问题,导致网络靶场的成本居高不下,后续难以很好地对靶场产品的推广和应用。摆脱繁琐的物理设备堆砌,发展出接近SaaS化的网络靶场,是国内厂商重要的一个研究课题。
 
紧接着,王珩详细的展示了初代网络靶场与下一代网络靶场平台的能力对比:“一个设计完整的网络靶场系统,是汇集了多种能力的一个平台系统。一般来说靶场会有一个共用支撑的底层平台,包括计算虚拟化、网络虚拟化、实物接入、还有一些数据采集的能力。基于这个共用的支撑平台,可构建一些业务上的一些应用。比如,一个典型的实训系统,可能包含了靶标的管理、拓扑的管理、评估模型的管理等,如果是一个典型的竞赛系统,基于这些又增加了可视化的管理、裁判的系统、流量管理等功能,稍复杂的攻防演练的系统,在此基础上又会增加事件引擎、裁决引擎以及行为的仿真等功能。”
 
传统云计算架构的靶场平台能力排列
 
以上是一个很典型的产品架构,这样的架构看似合理,但其在靶场能力的排列组合方式上是死板和固化的,它将靶场的能力封印在了一个固定的形态里。如果能够将靶场的能力从这些封印的条条框框中解放出来,便会产生很多创新的应用。
 
“比如,将网络靶场的能力,拆解成各种模块构成的资源池,那我们可以基于计算虚拟化和数据采集的能力,很便捷地构建成一个动态分析用的沙箱系统,如果使用网络虚拟化、数据采集、数据分析的能力,则可以很便捷地去构建一个高交互蜜罐系统,像靶场的态势展示功能与市面上的态势感知系统是很接近的。像靶场的数据分析、漏洞管理等能力,都可以去构建一个类似IDS的一套系统。”王珩讲到。
 
丈八网安自研底层架构的灵活性
 
 
在他看来,跳出固化的思维模式,通过新颖的系统模块组合方式,靶场可产生很多全新的应用方向,使业务能够向深水区发展。
 
随后,王珩基于丈八网安在网络安全技术上的积累,分享了在网络靶场研发上的创新思想与应用。“新技术不代表它是一个尖端前沿的技术,而是未在网络靶场领域中广泛应用的、更适合与靶场相结合的技术。”
 
第一点,仿真建模技术:建模技术已经是一项成熟的技术,是一种广泛解决现实问题的方法,它最大的特点是能通过简单的交互式操作,能够将大家“最关注”的重要细节进行抽象提取,去除那些不关注的细节。比如,构建一个仿真病毒模型,则把病毒会感染的操作系统、平均感染时间、感染临界点的概率、加密策略等,这些已经抽象提取的“最关注”要素放进去即可完成构建。这种技术没有原始系统复杂,却能通过低成本构建一个非常复杂的网络靶场场景。
 
仿真靶标、仿真病毒构建过程
 
第二点,人工智能技术的赋能:在网络靶场领域,人工智能技术应用也可以非常宽广。人工智能技术虽然不是新鲜概念,但是应用到网络靶场具备很显著的优势,它的原理是基于已经学习的流量特征,通过决策引擎,生成类似人类在网络空间里产生的行为流量与事件流量,具备很高的真实性和不可预测性。反应在靶场的业务层面,是在各行业网络靶场的攻防演练、竞赛过程中,生成一个接近人类的AI自动化对手辅助训练。对企业来说,能省去大量组建“攻击队”的成本,对科研来说也有很大的价值。
 
连接AI技术至仿真网络
 
第三点,宏编程技术的赋能:office中的VBA编程组件技术功能是强大的典型的宏语言,有相当长的一段时间,成为了黑客写病毒的工具。如果将这项技术应用到网络靶场里,便能加大网络靶场产品的灵活性。比如将靶场的靶标管理功能抽象成一个靶标对象,去开放信息采集、文件注入、拓扑、事件,通过宏脚本串联起来,能够实现灵活性的应用场景。
 
在演讲最后,王珩利用几个案例,详细分享了丈八网安在网络靶场业务上的理解,以及利用新技术的网络靶场应用方向。
 
· 10分钟构建一个多引擎病毒检测系统:利用宏编程写一个简单脚本,将靶标上的文件上传至宏编程里,如果上传至靶标上的文件被清除,则可以判定是被病毒软件检测出了,如果未被清楚,则可判定未被检出。与宏编程技术的结,表明网络靶场适合构建一个动态的沙箱环境,衍生出病毒检测相关的业务领域。
 
· 10分钟构建一个高仿真高交互的密网:丈八网安在网络靶场里构建了接近200个仿真节点的大型网络,实现了硬件、操作系统、应用和网络四层架构的仿真,具备完整交互的功能,表现出来的特性和真实节点非常接近,这种仿真技术的资源占用率非常低,结合网络靶场自身的一些精细化数据采集与分析能力,形成了一个易用性非常高的高仿真交互式密网系统。
 
· 10分钟完成勒索病毒传播推演过程:丈八网安定义的网络“推演”区别于传统的网络攻防演练,它通过建模仿真环境里开展的攻防演练活动,可以将红蓝双方的动作变成一个“卡牌式游戏”,比如,作为攻击方可以去种植病毒,相反防守方可以去打补丁、建防火墙。推演过程中的红蓝双方不需要深入了解网络攻防技术,就可以去开展一次大型网络推演,“什么时机”、“什么场合”、“以什么策略出牌”,是导致推演结果不一样的因素。适合企业在宏观上分析网络安全策略的有效性,包括遭受网络攻击的损失、阻断威胁的最佳方法等。

丈八网安推演控制页面与态势展示
 
王珩最后总结了对网络靶场未来发展的看法,以及自己在网络靶场领域从一而终的决心。
 
“从我的角度看,网络靶场在未来的应用方向上,会从现阶段能力提升为主的需求,延伸到网络安全实际业务需求上来。从产品形态上看,网络靶场也会从现在成本高昂的本地集群部署,逐渐转向SaaS化的模式。总而言之,网络靶场并不局限于现阶段的认知范围,在未来在应用方向和产品形态方面将会开阔出更广泛的应用空间,丈八网安的使命是在网络靶场领域开创出更多可能,做出更好的产品。“