从爱因斯坦计划到网络曼哈顿计划,全球网络靶场的发展历程折射出网络安全发展的趋势,从对设备、系统的仿真构建与安全性研究开始,逐步发展为在国防、科研、经济领域的关键系统。全球网络靶场经过14年的发展,已经呈现出军民两用、一超多强、各有壁垒的局势。
通用型靶场视图(From DIATEAN)
全球范围内,网络靶场因军事信息化作战而生。在我国,为保护各界网络设施免受恶意攻击,还网络空间一片安宁,网络靶场进入到民用领域“施展拳脚”:高校网络安全专业授课,政府、企事业单位等的攻防演练,行业网络安全建设等来自社会各界的需求,共同推动网络靶场向民用领域纵深发展。
通过国际视角来看国内网络靶场的发展历程,则呈现出3个主要特点:
国防应用是前沿核心
网络靶场的诞生是出于国防用途,这也是靶场的前沿方向与主流应用。当今国际局势下,如何在网络空间获取战略、战术优势,实现来则能战、战则必胜的目标,是网络靶场需要解决的核心命题。基于这个核心命题,需要靶场在理念、架构、业务、技术上不断有新的突破,紧跟网络对抗前沿,更好地发挥自己特训场、兵工厂、研究院的作用。
JCWA框架:网络靶场的最前沿应用
靶场厂家多种多样
国内靶场市场还处于增量阶段,入局的靶场厂家也越来越多且构成丰富,首先厂家背景不同,有专业网络靶场厂家,也有传统安全巨头扩展产品线,还有新入局概念玩家;其次产品形态种类多,随着定义泛化,各自不同业务、功能的产品也都戴上了靶场的帽子,如何研发出各行业通用的产品及服务是厂家需要重点关注的命题。
数字经济时代变化
在世界局势快速变化、网络热战成为主要对抗手段的情况下,如何在网络空间中为数字经济时代提供一个平静、稳定的发展环境是网络安全行业、网络靶场领域在新时代的责任与使命。在这个命题下,如何突破原有业务的限制,更好为数字经济发展助力,是靶场下一个5年需要解决的问题。
国内网络靶场3阶段技术演进
从技术代际划分来看,国内靶场行业起步相对较晚,跳过了物理靶场实物搭建的阶段,直接从仿真阶段起步。
1.仿真阶段:有几条不同的发展方向,一是以产品为核心,发展的重点是如何提升平台级仿真能力,从而使仿真系统以更好的开放性来支持不同靶场训练的构建;二是以场景靶标仿真为核心,在VM、EX等平台上搭建尽可能保真的靶标与拓扑关系。
网络空间仿真全层级视图
2.演练阶段:基于靶场平台与内容来为客户提供不同的安全能力,包括学习、训练、竞赛、比武、演练等。演练是基于仿真基础上的业务实践,来为不同的用户提供涉及工业网络、物联网、车联网等不同靶标仿真对象的演练业务,构建安全能力的实践与提升。
网络演习现场
3.智能阶段:要求厂家能够把基于靶场产生的数据、业务产生的数据管理起来,进一步做数据分析与量化评估。
在这个阶段,靶场要将在演练阶段积累的业务打通,能够闭环、清晰、量化地告诉用户通过何种路径和手段去实现安全能力的提升、业务可用性的增强以及通过数字模型与推演结果来明确安全韧性的实践方法。
基于以上,靶场运营如何与蓝队SOC运营、红队服务进行结合,也是在这一阶段需要解决的问题。
按照厂家类型来看,可以分为如下3个类型:
-
赛道玩家
专注于网络靶场领域的专业性厂家,具备国际视野与专业化能力,了解熟悉国际发展前沿趋势,可以为客户提供全靶场业务。目前赛道玩家相对较少,多是已经发展了6年以上的安全公司。
-
大厂扩线
安全大厂、网络设备大厂、教育行业厂家等综合性企业为增产盈利涉足靶场领域。这些厂家多以有限功能的标品依托突出的渠道能力来消化下沉市场。
-
院所机构
院所机构在所有厂家里面是较为特殊的一类。他们更多以解决方案集成总包的形式出现,推进厂家以项目的形式来完成技术的迭代与扩展。
3大核心技术路线
国内靶场发展至今,可以说是完成了自己技术路线的构建。这些技术路线又和靶场业务的开展与发展紧密结合。
路线No.1:靶场云
可以定义为依托于定制化私有云架构,为靶场业务开展提供了包括靶标仿真、复杂拓扑构建、自定义流表、交互式网络生成、实体设备接入等在内的基础能力,具备一定的开放性与可拓展性。
与一般意义上的云计算架构相比,靶场云在靶标构建、对象仿真上具备明显差异:
·能支持更泛类型的设备,如物联网、电磁、卫星等;在仿真、交互、数据上存在明显差异,其核心是更逼真的模拟真实网络交互特性,这就包括应用、协议、分布特性、时长特性等
·在业务仿真、导调控制上具备自有特性,原生支持C4I的调控模式
·在架构上具备分布式特性与调度机制,可实现资源、数据、情报、算力、接入的统一管理与分配。
路线No.2:智能推演
可以定义为依托外部输入情报、内部活动数据、攻防知识图谱,针对特定业务场景下的数据模型构建,通过意图决策和自动化编排来从重复业务数据中找出当前特定业务的最优解。
智能推演是攻防能力的抽象,也是靶场发展到新一阶段的代表性应用。例如依托威胁情报、业务靶场活动数据来针对性做“核弹级”漏洞、热门勒索病毒、高危APT攻击的业务推演与复盘,将经过充分对抗后的最优安全策略部署到业务系统上,以实现“超前防御”的目的。
路线No.3:数字孪生
可以描述为依托靶场的网络仿真能力来拓宽原有数字仿真的边界,实现从网络域到数字物理模型、地理模型的联通与映射,进而能更好地描述网络空间的威胁对现实社会的影响及防御措施。
赛宁网安城市级数字孪生靶场
通过数字孪生的能力,厂家可以构建起城市级数字化靶场、关键基础设施靶场,以数字模型而非数据的方式来更直观呈现业务状态。
例如可将网络攻击从单纯的IP信息封装为包括了地理信息、IP信息、攻击流量、数字资产模型的直观展示,并将针对该攻击的影响范围、响应回复时间等后续联动业务进行直观展示与联动,方便决策部门从城市治理、公共治安、经济发展等宏观层面出发,针对网络安全进行监管与处置。
赛宁的前沿思考
作为入行10年的网安老兵,赛宁网安基于面向各行业客户的产品交付经验以及对于新型技术的前瞻性思考,在2021年全新升级产品体系,将底层基础设施部署在定制化私有云(靶场云)上,对所有产品进行统一调配与管理,形成“一云+六系”的产品体系。
从全球大安全的角度来看,未来靶场的发展方向会涉及5大应用方向:
方向1
城市安全运营
隶属于智慧城市运营,城市安全运营,或者说城市靶场安全运营,会成为重要的发展方向。这会把传统安全运营从被动响应、处理风险、修补漏洞的工作中剥离出来并倒退一步,基于主动防御来构建新的安全防线。
方向2
安全数据/数据安全运营
在数据成为重要生产资料之后,理论上是需要分层分级地建立数据安全管理与运营系统。在做好数据管理的基础上,依托数据来构建脱密的业务数字模型,并将业务模型赋能给一线业务单位,做到从数据中来,到数据中去的业务优化闭环。
方向3
先进国防技术验证
这需要依托靶场云的跨域能力与业务特性,紧跟前沿技术趋势,来做跨域、融合的先进技术验证与评估。
方向4
人员量化感知与管理
网络安全人才态势。在超级自动化技术取得重大突破之前,网络安全的技术无论怎么发展,其核心命题还是怎么通过技术化手段来弥补人的缺失,通过少量的人加大量的设备、系统来实现安全防护。基于这个前提,网络安全人才态势就可以很好地对人员、安全能力进行统筹管理,并根据实际安全业务进行调度与优化。
方向5
关基前置防护
在关基行业,网络靶场因其业务特性与人员匹配要求,并不需要重复性进行靶场建设。在这个基础上,如何实现靶场业务效能的最大化,就需要构建依托于靶场运营数据的关基前置防护系统。关基业务的建设规范与标准非常明晰,其在多单位间具有自相似性,可以依托前置防护装备来实现对安全威胁的“超前防御”。
赛宁锐评
讲了这么多的技术、发展之后,收回来看国内的发展趋势,正反两个方向来看。反面的话,长期还是要在美国靶场话语体系下做追赶,补齐差距;正面来看,国内靶场已经出现了独立技术路线的发展苗头与能力,未尝不可在基于现在技术之后,做到对于数据安全运营、数字城市管理等新赛道、新话语体系的构建与对外影响辐射。