編者推薦:
工業網絡靶場越來越受到學術界和工業界的青睞,反映出業界對工業網絡安全的關注度和重視度的日益提升。工業網絡靶場以零風險,低成本、易部署、可擴展、可重復以及監視、學習、管理、團隊、環境和場景等諸多鮮明特性,成為積極應對工業網絡安全威脅風險的不可或缺的重要手段和平臺。盡管當前工業網絡靶場的概念、技術、用途、目的不盡相同,用戶、規模、場景、效能差異較大,但主流的發展方向應該是更加聚焦實用性、可用性和易用性,由“酷、炫、看”向“演、測、練”轉變,其“試驗臺、測試床、檢測場、演武廳、練兵場”的功能定位將更加突出。
以下文章來源于安帝科技,作者安帝科技安全研究院
編者按
數字化轉型發展背景下,IT/CT/OT新技術浪潮加速,系統連接性復雜性激增,復合風險因素增多,網絡攻擊成本降低,網絡安全形勢空前復雜,工業網絡已成為網絡空間攻防對抗的主戰場。對關鍵信息基礎設施網絡攻擊的嚴重后果,對現實世界來說可能是災難性或前所未有的。當前迫切需要一種成本效益高和可復制的方法來提高網絡防御團隊的安全意識,增加OT網絡防御團隊的專業知識和技能,檢驗網絡防御技術、產品、方案的可行性和效能,等等。試驗床或工業網絡靶場正是完成這一使命的戰略選擇,即建立具有模擬工業流程的具有成本效益、可配置和可擴展的,仿真工業控制系統的網絡靶場平臺。安帝科技在工業網絡泛在化、數字化、智能化的背景下,持續探索工業網絡安全跨域、復雜、融合、動態、協同的本質特征,傾力打造虛實結合的工業網絡靶場平臺,以期滿足當前工業網絡安全能力建設中利益相關方(運營方、監管方、防御方)科研、教學、培訓、演練、對抗、比賽、測試、評估、演示等全方位需求。安帝科技工業網絡安全研究院結合近年來的實踐探索和前瞻技術跟蹤研究,推出《工業網絡靶場漫談》系列,期待與業界同行探討工業網絡靶場能力建設之道,共同推進工業網絡安全技術、能力、生態、產業高質量發展。
隨著網絡空間作為一個單獨的軍事領域被當作繼陸、海、空、天之后的第五域——美國國防部在2011年正式將網絡空間作為第五個軍事維度,而北約直到 2016年晚些時候才承認網絡空間是一個作戰領域——世界各國都在爭先恐后地制定網絡安全戰略,包括開發、利用、獲得網絡能力。網絡能力被認為是國家通過網絡空間對抗或投射影響力的資源和資產。基于這樣的背景,早先的網絡靶場是用于網絡戰訓練和網絡技術開發的虛擬環境。它提供的工具有助于增強政府和軍事部門使用的網絡基礎設施和IT系統的穩定性、安全性和性能。多年來,這些平臺已經從內部部署的硬件和軟件解決方案發展為由許多公司、大學和政府組織提供的云托管和內部部署平臺的復合體。網絡靶場的應用領域已經發展到包括安全教育、安全培訓和技能評估、網絡彈性的開發和評估以及數字靈活性的開發。
毫無疑問,作為在軍事領域首先開發應用的網絡靶場,早期是為非常特定的用戶群和非常特定的用例服務。隨著網絡靶場應用的數量和可擴展性要求的增加,其可用性與越來越多的附加功能密切相關,這些功能與價值已遠遠超出了提供ICT/OT模擬表示的原始基礎設施的能力與價值。
一、網絡靶場的概念
網絡靶場的概念大約出現在2006年,當時Cyberbit和Metova CyberCENTS等公司開始向客戶提供網絡靶場的平臺。網絡靶場近年來蓬勃發展的一個主要驅動力是虛擬化和云計算技術的商業化、服務化,加之網絡攻擊泛化的趨勢愈演愈烈,這使得網絡靶場已完全超越了信息戰、網絡戰等軍事應用需求的范疇。
網絡靶場可以用不同的方式定義。事實上,盡管當前越來越多的網絡靶場技術和產品進入國際市場,但網絡靶場彼此差異很大。技術百科(techopedia)在2012年6月更新的詞條中解釋,網絡靶場是用于網絡戰訓練和網絡技術開發的虛擬環境。它提供的工具有助于增強政府和軍事機構使用的網絡基礎設施和 IT系統的穩定性、安全性和性能。網絡靶場的功能類似于射擊或動能靶場,促進武器、作戰或戰術方面的訓練。因此,各個機構雇用的網絡戰士和IT專業人員培訓、開發和測試網絡靶場技術,以確保一致的操作和為現實世界部署做好準備。
從廣義上講,網絡靶場可通過以下兩種方式之一定義。
模擬環境——網絡靶場的這種觀點側重于網絡靶場傳統上提供的內容,即用于多種目的的ICT和/或OT環境的模擬。例如,美國國家標準與技術研究所 (NIST) 提供的解釋,它通過將網絡靶場稱為模擬環境來定義,而沒有提及由其提供的服務和/或功能,即沒有特指用于產品開發和安全態勢測試的模擬環境的通用目的。
NIST 將網絡靶場定義為:“一個組織的本地網絡、系統、工具和應用程序的交互式模擬表示,這些表示連接到模擬的Internet級別環境。它們提供了一個安全、合法的環境來獲得動手的網絡技能,并為產品開發和安全態勢測試提供一個安全的環境。網絡靶場可能包括實際的硬件和軟件,或者可能是實際和虛擬組件的組合。靶場可以與其他網絡靶場環境互操作。靶場環境的互聯網部分不僅包括模擬流量,還包括客戶需要的網頁、瀏覽器和電子郵件等網絡服務的復制。”
平臺——在網絡靶場的背景下,平臺可以是一組用于創建和使用模擬環境的技術。這里的重點是“使用”這個詞,因為要用于特定目的的網絡靶場,網絡靶場必須具有附加功能并向最終用戶公開特定功能。
歐洲網絡安全組織 (ECSO) 網絡靶場的定義:“網絡靶場是一個開發、交付和使用交互式模擬環境的平臺。模擬環境是組織的ICT、OT、移動和物理系統、應用程序和基礎設施的表示,包括模擬攻擊、用戶及其活動以及模擬環境可能依賴的任何其他互聯網、公共或第三方服務。網絡靶場包括用于實現和使用模擬環境的核心技術以及附加組件的組合,這些組件反過來又是實現特定網絡靶場用例所需要或必需的。”
無論是將網絡靶場定義為模擬環境還是平臺,事實上,大多數網絡靶場用例都需要一種或多種超越單純模擬環境的能力。
二、定義工業網絡靶場
隨著關鍵信息基礎設施成為網絡攻防對抗的最前沿,工業網絡靶場的應用需求逐步擴大,成為在工業網絡安全領域支撐網絡安全技術驗證、網絡工具試驗、攻防對抗演練、科研試驗、教育培訓和網絡風險評估等工業網絡安全能力建設的重要手段。
通過文獻調查,發現不同機構對工業網絡靶場的描述不盡相同,外文文獻中常用的相關詞條有ICS cyber range、Industrial cyber range、IoT cyber range、 Cyber-physical range、Testbeds等,而中文文獻中的詞條則為“工控網絡靶場”、“工業網絡靶場”、“工業安全靶場”。無論是從組成要件、基礎架構、構建技術、功能和服務、應用對象等方面的描述,對工業網絡靶場或工業控制系統靶場和測試床,目前還沒有一個規范、標準的或權威的定義,這也恰恰說明這是一個新興的細分領域,也是一個可以各顯其能、大有可為的新舞臺。
按照美國國家標準與技術研究所(NIST)對網絡靶場的定義,即與組織的本地網絡、系統、工具和應用程序相關的交互式和模擬表示,它為培訓信息和通信技術(ICT)專業人員以應對廣泛的網絡攻擊和網絡戰場景提供了現實世界的平臺。
相應地,測試床(TBs)被定義為“具有模擬工業過程的可配置和可擴展的網絡靶場。測試床是最接近工業網絡靶場的概念。網絡靶場和測試床能夠培訓面對網絡攻擊的操作技術(OT)網絡人員,以提高網絡態勢感知能力。二者應該是互補的,因為OT和ICT網絡與通信的進步、各行業物聯網(IoT)和工業物聯網(IIoT)的采用相互交織整合。可以建立復制一系列網絡攻擊的場景,在可識別的環境中加強對操作人員和用戶的培訓,以識別和緩解策略來獵殺網絡入侵。模擬環境中的培訓加速了最佳實踐的有效學習,”實時“動態互動促進了對任何行動后果的更深層次的理解。測試床可根據訓練階段,促進建立具有不同復雜程度的擴展范圍的攻擊場景。用戶群體還可以在遠程可訪問的平臺上進行培訓,以定義、優化和評估協同應對網絡攻擊的影響。小組培訓包括多個團隊,包括不同的知識集,提高組織的網絡態勢意識,并提高識別和獵殺網絡攻擊的響應時間。
類似于網絡靶場的不同描述維度,工業網絡靶場也可以從不同的角度來描述或定義。比如從構建目的(研究,訓練,演習,教學,測試,操作/作戰,演示,開發)、針對的行業(學術,教育,軍事,政府,企業)、環境(演示,開發,測試,仿真,模擬,混合/信息物理)、平臺技術(基礎設施平臺,VM,OpenStack,Virtualbox,Docker,公有云AWS,QEMU/KVM,Opennebula, Proxmox , Minimega)、數據集(有/無,按需提供,在線)、云計算部署方式(私有云,公有云,社區/行業云,混合云,Infrastructure as code (IaC))等。
基于工業網絡安全的行業特殊性和復雜性,結合近年來的實踐探索,安帝科技將工業網絡靶場定義為:
一個能夠映射真實的IT/OT運營環境的可配置和可擴展的成本效益比高的混合平臺,能夠批量整合(虛擬、實體)OT環境特定的硬件資源(如來自不同供應商的PLCs、HMIs、RTUs、歷史數據庫、SCADA、服務器等),同時模擬出IT/OT的各種工業流程場景和攻擊場景,將虛擬化IT/OT網絡與工業流程仿真模型相結合,提供安全可靠的科研、教育、培訓、演練、對抗、比賽、演示等功能和服務。采用的技術包括軟件定義網絡、數字孿生、OT環境的SIEM、資產管理、網絡可見性、威脅追蹤、移動目標防御等等。比如攻擊效果演示,可讓使用者親身體驗網絡操控效應可能對正在運行的過程產生的物理影響。
雖然針對不同的行業不同的用戶有不同的應用需求,但工業網絡靶場通常的終極目標至少有三個,一是提高OT操作員的網絡安全意識,這包括提高對攻擊者戰術、技術和過程(TTPs)的認識,以檢測和響應網絡攻擊。二是提高IT運營者的工業網絡安全意識(工業設備、工業協議、業務連續性),這包括理解系統操作、物理過程的相互依賴和可視化攻擊的效果。三是對IT和OT團隊的技術、流程和文化施加影響,從而系統性地提高工業網絡彈性。
三、工業網絡靶場的發展方向
由于數字化轉型的加速發展,IT與OT呈”你中有我、我中有你“之勢,現代工業網絡靶場還應不斷增加新的能力,如各種電信功能、模擬智能電網、自動化車輛、虛擬網絡運營中心、無線傳感器網絡、實時入侵檢測系統、蜜罐、新型認證機制、零信任安全策略、移動安全場景,以及一些隱私保護機制。通過添加這些特性,將更多新的攻擊場景方便地部署到測試平臺上,揭示各種系統的漏洞,從而使研究人員有機會開發創新的防御機制。如果工業網絡靶場能夠與各種現實世界的設備連接到網絡上,使其成為發起攻擊和測試各種系統的防御機制的理想方式。另外一個關注點就是能夠以半自動化的方式在有限的人工干預下創建可測量數據的能力。
工業網絡靶場應當實現便攜性,方便于演示,并便于在各種網絡安全事件中作為現代教學工具部署。此外,以工業網絡靶場構建形成的研究中心能夠為研究人員提供遠程訪問能力。最后,從傳統的網絡靶場轉移到數字雙胞胎的需求是一種趨勢,在不久的將來將成為主導,特別是在復制關鍵基礎設施方面。
安帝科技的實踐表明,工業網絡靶場要充分發揮作用和效用,需要具備6個方面的特性,即監視、學習、管理、團隊、環境和場景。未來,安帝科技的工業網絡靶場建設能力將全力聚焦實時自動化配置技術、智能化、移動化、集成化技術、增強現實技術、5G通信技術、容器化技術等的創新應用,突破關鍵難點技術,不斷提升靶場平臺的可用性、實用性和易用性,適配智能信息物理系統、智慧城市、航空航天和衛星工業等更加廣泛的工業場景。
