近年来,作为支撑网络安全战略建设的重要基础设施,网络靶场正在成为世界各国抢先布局的数字化创新应用新高地。而在我国,新型网络靶场技术应用也开始快速落地,大规模、高仿真、数字化的网络靶场平台,已经成为网络安全技术研究、人才培养、实战演练、测试分析以及态势推演等不可或缺的支撑工具。
一、网络靶场的定义与内涵
自2008年美国国防部高级研究计划局(简称“DARPA”)正式提出建设国家网络靶场的构想开始,网络靶场技术已发展十多年。但迄今为止,很多人对网络靶场的理解仍然是管中窥豹,以偏概全。
认知一
网络靶场就是攻防对抗。基于字面理解,认为网络靶场是真实世界里的军事靶场在数字世界的映射,即利用数字化的方法搭建的攻防对抗模拟平台。
认知二
网络靶场就是培训竞赛。培养网络安全人才、提升实战技能是网络靶场常见的应用场景,很多人因为是通过参加培训、竞赛首次接触到网络靶场,就误认为网络靶场是用于培训和竞赛的系统。
认知三
网络靶场就是网络仿真。实际上很多靶场场景仅仅靠使用仿真环境是远远不够的,而是人员角色、工具脚本、仿真环境、业务流程、知识方法等等一系列要素的编排调度、检测评估与处理执行的结果。
作为一个具有划时代意义的新型基础设施,网络靶场自诞生以来它的功能和内涵一直在发展变化。如果只注重它某一方面的功能,就会产生认知偏差。实际上,从创建之初的构想到当前的应用实践,网络靶场的价值定位是非常清晰和明确的,它是用于网络空间安全领域“培养人,研究物,统筹事”的科学装置,是网络安全的基础设施。
DARPA在构想美国“国家网络靶场”(NCR)的时候,对其进行了明确的定位:从科学发展的角度看,生物学因为显微镜的出现而实现了大的发展,天文学因为有了望远镜而获得了长足进步,粒子物理因为有了粒子加速器而实现重大突破,网络空间安全也需要类似的科学装置推动科学研究、技术分析和突破。正因网络靶场具有如此高的战略意义,美国国家网络靶场成为近五十年来美国国会第一次直接批准预算给DARPA的项目,而上一次批准的项目还是“星球大战”。
欧洲网络安全组织(简称“OSCE”)则认为:网络靶场是一种开发、交付和使用交互式仿真环境的平台底座,可以与各行各业的数字化应用场景结合,支撑网络安全能力深入到行业的业务场景中。
二、网络靶场的发展与实践
网络靶场在迈向成为服务国防、政府和企业重要系统的网络安全公共服务平台的进化之路上取得了长足的进展,正在快速地提升平台能力,创新应用场景。
01 网络靶场发展历程
目前,美国国家网络靶场(NCR)、英国的联邦网络实验靶场、加拿大的国家仿真实验室、欧盟的网络靶场联盟、日本的星平台系统(StarBed),均是国家和相关行政部门长期重点关注和持续战略性投入的项目,承担了研究网络威胁、保护基础设施安全、支撑网络安全产业发展的重要任务。
全球主要国家、地区网络靶场发展历程
美国NCR项目2008年由DARPA主导设计、建设,2012年由美国防部实验资源管理中心(TRMC)接管,进入部署应用阶段,为国防部提供网络安全测试评估能力,以及为网络任务部队(CMF)提供培训、认证和演练能力。2016年TRMC启动了扩容计划,新建三个NCR节点与原有设施组成互联综合体(NCRC),以满足不断增长的测试评估和培训认证需求。
与TRMC管理的其他军用网络靶场不同,NCR是一个军民融合共建的综合性国家资源,涵盖了政府、国防、金融、电信、工业等领域对于网络空间基础设施安全体系建设与科研试验需求。现在,美国已将网络安全的全生命周期纳入网络靶场。除了基本的训演竞研测业务场景,网络靶场还被用于各类降低安全风险的活动、安全架构分析、取证分析等一些创新且更具价值的方向。
欧洲防务局(EDA)自2013年启动网络空间靶场合作共享计划,开始建设网络防御训练和演习协调平台(CD TEXP)。2017年EDA正式启动欧洲网络靶场联盟(CRF)项目,在CD TEXP平台基础上扩展研究、模拟和测试等功能,并研究引入AI应用、提高自动化部署能力、创建联邦态势感知和数字取证等服务。该项目重点是开发一个欧洲层面的强大平台,实现成员国的国家网络靶场互连,推动分享知识和最佳实践,帮助成员国提高各自的网络防御力量。
日本国家信息与通信技术研究所(NICT)于2002年开始建设 StarBED,目标是提供一个可以进行多次大规模的模拟的试验台,支持研究机构进行基于互联网的研究和开发。利用该试验台,可以促进设备、工具和技术的共享和循环利用,降低研发成本,缩短研发周期。StarBED经历了面向有线网络、面向有线-无线混合网络、面向物联网技术的发展阶段,至今已进入第五代系统,利用仿真和实际环境相结合,对由事物、行为和ICT设备组成的环境进行评估。
从上述几个主要经济体的国家网络靶场发展历程,可以看到,能够实现全场景覆盖的新型靶场应用平台正在快速崛起:
技术进步不断赋予靶场新的功能和内涵,从以仿真能力为核心到注重自动化部署、多维对象评估等综合能力建设;
应用场景不断丰富,从最初的培训演练或测试验证,到支持联邦态势感知、数字取证等应用创新的多场景覆盖;
规模不断扩大、架构更加复杂,从单节点运行向多节点分布式互联发展,通过共建共享模式来满足更大规模的资源需求,并实现能力共享。
02 网络靶场最佳实践
基于平台定位的网络靶场,可以为企业用户网络安全建设注入了新的动能,提升企业网络安全治理的水平。
美国密歇根州是网络靶场技术应用的较早实践者。2011年,该州发布了“网络安全倡议”,致力于寻找一种创新的解决方案,以创建网络安全生态系统,解决网络安全领域人才需求,预防和应对网络攻击和威胁,网络靶场建设由此正式启动。目前,密歇根网络靶场已扩充到14个站点,成为美国最大的民用靶场,主要功能是进行防御训练及教学,允许密歇根州多所大学以及陆军国民警卫基地接入开展训练、演练与教学活动。该项目不仅有效地改善了密歇根州的网络安全防御和商业环境,同时也建立起一个可在美国其他各州实施的靶场建设框架。
美国国土安全部对密歇根网络靶场的实践进行了评估:密歇根州采用创新的网络安全方法,推动了网络安全从以合规为中心走向以风险管控为核心的能力建设,持续增强州政府对网络安全事件的管理能力;网络靶场体现出创新价值,提升了区域在网络安全人才、教育和安全事件反应等领域整体⽹络安全能力。
我国在网络靶场建设方面起步较晚,但在相关政策驱动下,技术发展和应用实践方面都在快速跟进,目前全国已有多省已经建有或正在建设网络靶场平台设施。而鹏城靶场是我国网络靶场理念、技术和实践的领导者之一。
鹏城靶场属于鹏城国家实验室,历经十年研究发展,已步入第四代——联邦靶场的发展建设模式。2020年,第三代系统成功实现国内首个单体超百万节点的大规模网络靶场,全面覆盖网络安全科研、安全性评测、攻防对抗训练、新技术验证等网络安全保障需求;2022年,第四代系统实现国内首个联邦靶场,集成一批关键信息技术基础设施分靶场,为各地智慧城市建设保驾护航。
目前,鹏城靶场已发展成为全球规模最大的民用级靶场之一,不断突破关键科学问题,在虚拟网络构建、联邦互联、多任务隔离以及攻击检测等多项关键能力指标全球领先。在思想理念上,牵引国内市场对网络靶场的认知和定位逐渐回归其基础性网安服务平台的本质,引领靶场建设转向以全栈能力为核心,关注业务场景化。
三、网络靶场的技术架构和核心能力
网络靶场之所以能够在众多新型网络安全技术应用实践中异彩绽放,离不开持续不断的技术创新和发展。
01 网络靶场的技术架构
网络靶场从技术架构和构建模式上可分为两大类:
自顶向下:目前市场上绝大多数公司是从培训、比赛等应用视角出发,自顶向下构建网络靶场。这类产品体量小、功能简洁、易部署,但它没有一个稳定可靠的底层平台,应对大规模复杂场景的能力弱,缺少面向未来业务的成长性。
自底向上:采用相反的逻辑,以平台层为核心,在平台层构建强大的资源管理、网络仿真、资源配置、任务导调、采集分析等能力,在此之上按需搭建应用层内容。这种模式在应对大规模复杂场景(如多任务并发、多级多维度协同)时更加从容,面向未来业务的开放性、包容性更强。
自底向上搭建的网络靶场技术框架
两种构建模式的形成与网络靶场的发展历程、市场认知的变化过程相关。目前行业普遍认为,以一个强大的平台为核心、自底向上搭建的网络靶场更接近其基础性网安服务平台的本质。从某种意义上说,网络靶场平台就是网络安全领域的“Android系统”,基于强大的平台才能生长出丰富的应用场景,实现业务价值的突破。
02 网络靶场的核心能力
构建以平台层为核心的网络靶场时应重点考虑如下问题:
能否实现大规模、多级、多维度的协同演练和应用需求?
如何灵活、快速实现大规模、高逼真的目标网络仿真模型构建?
如何实现复杂场景下的多任务并发,支持多资源融合、多任务安全隔离?
对于不同的靶场业务需求,能否快速便捷实现多维度的复杂任务编排和导调?
如何实现靶场业务活动过程的全数据实时采集,全面准确地复盘过程和量化评估?
一个强大的靶场平台必须具备全栈能力,才能从容应对日益复杂的需求。
网络靶场平台的全栈能力
全栈网络靶场的五大核心能力包括:
一栈全面仿真:支持大规模复杂网络灵活构建,按需实现四态对象(虚拟化节点、容器节点、离散事件仿真节点和实物节点)的网络互通,及异构环境下分布式靶标互联。
一键全程导调:通过细粒度的任务编排与导调能力,实现面向人员、环境、任务的灵活编排和导调,使培训、演练、测试过程可定义、可扩展、自动化。
一网全量采集:多模式数据采集,实时无损地获取靶场试验、测试和攻防演练的数据,以便进行精准的攻防事件检测、行为分析、威胁鉴定、态势分析等。
一屏全域评估:面向人、攻击武器、受保护系统、安全防护设备等多维对象进行安全效能的量化评估,并对评估结果进行可视化展示。
一体全局协同:集成融合各类资源,虚实结合,分布式互联共享,支持系统资源快捷的横向扩展和一体化运行状态监控。
四、网络靶场的应用发展
数字技术不断创新,数据资源日益丰富,未来攻防工具更加智能化,业务功能更加自动化,数据融合、资源协同,将为网络靶场平台不断注入活力,激发出更多的应用场景创新。面向未来,笔者认为,基于网络靶场平台,既能够推动车联网、密码应用进入发展快车道,也能够在破解数据要素流动与隐私保护的冲突中一展身手。
应用一、车联网测试
在智能交通“车-路-云”一体化的实现过程中,安全事件频发,网络安全问题尤为突出,严重制约了智能网联车的健康发展,建设安全合规的车联网迫在眉睫。
车联网测试靶场通过虚拟环境与真实设备相结合,构建出覆盖“人、车、路、云”全要素的高逼真度仿真环境,通过试验过程导调控制和业务环境安全隔离能力,满足对智能网联车进行实车众测、智能驾驶威胁场景验证等需求,为车企、测试机构进行安全攻防演练、新技术测试验证提供全方位的支撑,帮助车企及时发现安全漏洞,并通过深度数据分析,实现完整的网络安全测评闭环,全面提升智能网联车行业整体网络安全防护与研发能力。
应用二、密码应用及评估
随着《密码法》对密码管理、科研、生产、服务、检测、装备、使用和销毁全链条提出明确要求,如何简化密码技术实现复杂性,推动密码方案正确的应用成为密码产业链的关键。密码应用及评估网络靶场发挥场景复现、虚实结合、流程导控等优势,与各类密码专业化工具资源相结合,面向密码产业链“产、学、研、用” 上下游单位提供自动化的密码产品标准符合性检测,实战化的密码教学培训、攻防实训、应用开发与科研实验,在线式的密码应用检测评估等服务,提升密码应用及评估的规范性,助力中国密码应用产业高质量发展。
应用三、基于靶场的数据使用权交易平台
自2014 年“大数据”第一次写入政府工作报告起,大数据相关的政策文件密集出台,为数据作为生产要素在市场中进行配置提供了政策土壤。数据必须要开放流通才能释放价值,而开放流通的前提是解决数据隐私保护问题。
网络靶场为解决数据隐私保护提供了新思路。网络靶场能够全面的集成人工智能、深度学习等相关能力,通过网络靶场的网络环境构建,灵活快速的构建可信的数据开发运行环境和测试环境,并用任务导调实现数据的智能编目、环境的自动编排、程序的集成编目和结果的协同编审,在整个业务活动中,全量采集和检测数据资源开发利用的行为数据,评估展示数据资源的利用情况和安全风险。最终平衡数据要素流动与个人信息保护的冲突问题,基于“数据不动程序动,分享价值不分享数据,数据可用不可见,保留所有权释放使用权”的原则,实现“数据使用权交易”的数据要素价值变现。
结语
网络靶场是一个具有划时代意义的新型网络安全基础设施,是构筑数字世界安全底座不可或缺的科学装置。
从各国网络靶场的发展历程,可以看出共性的发展趋势:网络靶场功能和内涵不断延展,从以仿真能力为核心向注重综合能力建设转变;应用场景持续创新,从最初的培训演练、测试验证向多场景覆盖发展;规模不断扩大、架构更加复杂,从单节点运行向多节点分布式互联发展。
从靶场的技术架构和核心能力看,以一个强大的靶场平台为核心、自底向上搭建的网络靶场具有更强的开放性和成长性,强大的平台是实现应用场景突破的基础。在构建靶场平台时,应注重环境仿真配置、自动编排导调、实时数据采集、多维评估展示、分布式互联与综合资源管理等全栈能力建设。
展望未来,智能化、自动化、可视化技术加持,网络靶场的核心能力将更加强大,不断激发应用场景创新。
参考文献:
https://cloud.tencent.com/developer/article/1547711
https://zhuanlan.zhihu.com/p/487836865
https://www.secrss.com/articles/43937
https://eda.europa.eu/news-and-events/news/2018/09/13/cyber-ranges-federation-project-reaches-new-milestone
https://eda.europa.eu/docs/default-source/eda-factsheets/2021-07-05-factsheet-cyber-ranges.pdf
https://starbed.nict.go.jp/en/aboutus/index.html
https://cyberscoop.com/industry-cybersecurity-autonomous-vehicles-waymo-google-home/
https://cset.georgetown.edu/publication/downrange-a-survey-of-chinas-cyber-ranges/
作者简介
郑志彬,鹏城国家实验室鹏城靶场副总师,北京邮电大学客座教授,担任中国网络空间安全协会副理事长,中国通信标准化协会网络与数据安全委员会副主席等。长期从事网络安全、智慧城市、云计算、大数据等领域的研究,曾任科技部863“十二五”“中国云”专项组专家,拥有发明专利150多项,获得国家技术发明二等奖2项。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。