【摘 要】 隨著網絡安全威脅技術持續(xù)發(fā)展,威脅影響日益加深,熟練掌握應對安全威脅技能的專業(yè)技術人才成了當前社會的剛性需求,而培養(yǎng)高素質網絡安全人才離不開網絡靶場的支撐。本文主要從技術體系、分類和發(fā)展趨勢等方面對面向人才培養(yǎng)的網絡靶場進行了分析和研究。
【關鍵詞】 網絡靶場 人才培養(yǎng) 技術框架 發(fā)展趨勢
1 引言
由于網絡安全威脅越來越復雜,越來越具有針對性和持久性,給網絡系統(tǒng)安全帶來了愈加嚴重的威脅。抵御越來越復雜的網絡威脅不能單純依靠各式各樣的網絡安全產品,還必須有訓練有素的專業(yè)技術人員,根據網絡安全態(tài)勢適時地采取相應的安全防御措施。這就要求專業(yè)技術人員必須具備豐富經驗和專業(yè)知識。網絡靶場是幫助網絡安全人員提升應對網絡安全威脅所需技能和經驗的有效手段。網絡靶場能夠模擬實際的網絡安全威脅場景,提供可讓網絡安全人員扮演多種不同角色的訓練環(huán)境,為了解安全漏洞利用技術、消除安全威脅影響等,提供實際經驗。
網絡靶場可以為網絡安全管理人員培養(yǎng)其在威脅發(fā)生前、威脅發(fā)生中和威脅發(fā)生后采取有效行動能力提供支撐。在威脅發(fā)生前,網絡靶場可以提供構建有效安全架構所需的技能,包括部署防火墻、入侵檢測、訪問權限分割等。在威脅發(fā)生中,網絡靶場可以提供檢測早期告警信息及深入了解網絡安全威脅所需技能。在威脅發(fā)生后,網絡靶場可以提供清理和修復威脅影響所需技能,如追蹤威脅路徑、修復安全漏洞、消除威脅影響等。
2 網絡靶場技術體系
2.1 網絡靶場概述
網絡靶場是一種基于虛擬化技術,對真實網絡空間中的網絡架構、系統(tǒng)設備、業(yè)務流程的運行狀態(tài)及運行環(huán)境進行模擬和復現(xiàn)的技術或產品,為實現(xiàn)與網絡安全相關的學習、研究、檢驗、競賽、演習等活動提供支撐,從而提高人員及機構的網絡安全對抗能力與水平。通過網絡靶場,可實時評估網絡安全攻防進程及態(tài)勢,為網絡安全訓練提供實時反饋,增加訓練的針對性和價值。
網絡靶場的概念內涵非常廣泛,在線網絡攻防學習環(huán)境、網絡安全競賽平臺、網絡安全技術測評研究平臺、城市級甚至國家級的網絡攻防演練平臺等,都可以歸屬于網絡靶場的范疇。在這些可以被稱為網絡靶場的環(huán)境與平臺中,也存在著很大的差異,如規(guī)模量級差異、模擬環(huán)境復雜度差異、應用場景差異、環(huán)境模擬逼真度差異等。
網絡靶場作為支撐網絡空間安全的技術驗證、裝備試驗、技能訓練、攻防演練和風險評估的重要基礎設施,已成為網絡安全領域技術發(fā)展和人才培養(yǎng)的重要支撐手段[1]。
網絡靶場系統(tǒng)中一般會包含若干團隊,每個團隊在靶場中都具有自己的角色定位。到目前為止,網絡靶場已經發(fā)展到了7種不同的團隊角色,如表1所示。各種團隊角色有不同的角色定位,有些角色還可以由智能化軟件實現(xiàn)自動化,代替真實的人來完成相應的角色功能。
2.2 網絡靶場技術框架
2020年6月,美國國家標準與技術研究院(NIST)發(fā)布《網絡靶場指南》,圍繞網絡安全教育、認證和培訓等領域,給出了一種網絡靶場的技術框架,如圖1所示。該技術框架基于靶場學習管理系統(tǒng)(RLMS),將網絡靶場劃分為編排層、底層基礎架構層、虛擬化層和目標基礎設施層4個層次[2]。
(1)編排層。該層從RLMS輸入信息,負責將網絡靶場所有技術或服務組件整合在一起,便于底層基礎設施、虛擬化和目標基礎設施的網格化,支持公有云、私有云和專用硬件基礎設施的動態(tài)網絡靶場擴展。
(2)底層基礎架構層。該層主要由網絡、服務器和存儲承載網絡靶場數(shù)據和信息的基礎設施構成。網絡靶場基礎設施可以是通用的硬件,也可以是虛擬化設備或云,也可以是專用的定制硬件。考慮可伸縮性、成本和可擴展性等需求,網絡靶場的底層基礎架構逐步轉向基于軟件定義網絡(SDN)技術的虛擬基礎架構。
(3)虛擬化層。大多數(shù)網絡靶場都希望通過某種程度的虛擬化來縮小物理設備的覆蓋范圍。實現(xiàn)虛擬化的方法主要有2種,基于虛擬化管理程序和基于軟件定義的基礎結構。
(4)目標基礎設施層。該層是模擬生成的目標網絡場景的基礎設施。較完善的網絡靶場包含商用服務器、存儲、端點、應用程序和防火墻的配置文件等要素。根據需要,目標基礎結構可以由RLMS利用生成腳本來指示編排層創(chuàng)建。生成腳本一般包括特定于目標機的配置信息,如IP地址信息、路由信息、應用軟件等。
3 網絡靶場分類
網絡靶場的分類方法有多種,既可以按照實現(xiàn)技術分類,也可以按照目的用途分類。
3.1 按照實現(xiàn)技術分類
按照實現(xiàn)技術,網絡靶場可以分為4類:模擬類、仿真類、疊加類、混合類。
3.1.1 模擬類
模擬類網絡靶場是指基于真實網絡組件重建的一個虛擬網絡環(huán)境,模擬運行在虛擬實例中,不需要任何物理網絡設備。模擬類網絡靶場首先對真實網絡環(huán)境及用戶行為進行建模,然后通過驅動模型進行信息互動,進而分析各模型單元的狀態(tài)變化。模擬類網絡靶場易于部署,安裝和維護成本較低,但模擬實驗結果準確性難以保證。模擬類靶場的典型案例是美國空軍的SIMTEX網絡安全模擬器。
3.1.2 仿真類
仿真類網絡靶場將已構建的網絡/服務器/存儲基礎設施等映射到物理基礎設施上,作為網絡靶場的物理基礎設施。仿真類網絡靶場使用獨立的物理測試臺,配置出需要測試的環(huán)境,運行真實的軟件。仿真類靶場要求能對硬件進行重新配置,可根據測試需要,采用不同的拓撲結構。仿真類網絡靶場使用真實的計算機、操作系統(tǒng)、應用軟件和資源,能較全面地復現(xiàn)真實環(huán)境。仿真類靶場的典型案例是美國國防高級研究計劃局(DARPA)的國家網絡靶場(NCR)。
3.1.3 疊加類
疊加類網絡靶場是運行在真實網絡、服務器和存儲設備之上的網絡靶場,即利用現(xiàn)有的生產環(huán)境資源而建立的網絡靶場。這類靶場在實際的生產現(xiàn)場軟件上進行測試,使用實際的生產資源,在規(guī)模、成本和逼真度等方面有一定優(yōu)勢,缺點是靶場試驗控制性較差,可能對實際網絡造成不利影響。疊加類靶場的典型案例是美國國家科學基金會資助的網絡創(chuàng)新全球環(huán)境(GENI)。
3.1.4 混合類
混合類網絡靶場是由上述模擬、仿真、疊加三種靶場特性組成的網絡靶場;旌项惏袌龅牡湫桶咐敲绹ゼ醽喚W絡靶場。
3.2 按照目的用途分類
按照目的用途,網絡靶場可以分為3類:服務于國家與國防安全類、服務于網絡空間安全人才培養(yǎng)類、服務于企業(yè)和商業(yè)組織安全類。
3.2.1 服務于國家與國防安全類
政府機構和軍事部門需要專業(yè)網絡安全力量,具備應對復雜網絡威脅及網絡恐怖主義的能力。因此,一些國家的軍事和國防部門建設和部署了大量網絡靶場,如美國的國家網絡靶場(NCR)、國防信息系統(tǒng)局網絡安全靶場(CSR)、國防部信息安全靶場(IAR)、聯(lián)合網絡空間作戰(zhàn)靶場(JCOR)、海軍網絡空間作戰(zhàn)靶場(NCOR)、聯(lián)合信息作戰(zhàn)靶場(JIOR)、戰(zhàn)略司令部網絡空間作戰(zhàn)靶場(SCOR)、持續(xù)網絡訓練環(huán)境(PCTE)等。目前世界上大部分國家和國際組織的軍事和國防部門都開展了服務于國家與國防安全的網絡靶場建設,如英國聯(lián)邦網絡靶場(FCR)、北約網絡空間靶場(NCR)、歐洲聯(lián)合網絡空間靶場等。
服務于國家與國防安全類的網絡靶場一般具有規(guī)模龐大、技術復雜、功能全面、任務多樣、綜合管控等特點,全方位支撐網絡空間安全技術驗證、網絡武器裝備試驗、攻防對抗演練、網絡風險評估、網絡安全人才培養(yǎng)等任務,主要服務于國家級網絡空間力量的發(fā)展。
3.2.2 服務于網絡空間安全人才培養(yǎng)類
網絡空間安全人才除了要掌握大量理論知識,更需要具備扎實的實踐動手能力。由于許多網絡安全方面的實踐活動可能造成嚴重的破壞性后果,難以在真實網絡環(huán)境中實施,網絡靶場可為網絡安全實踐能力培養(yǎng)提供安全隔離的模擬仿真環(huán)境。服務于網絡空間安全人才培養(yǎng)的網絡靶場既有面向培訓和競賽的商業(yè)化靶場,也有面向個體和組織的開放訓練環(huán)境。
面向培訓和競賽的商業(yè)化靶場一般能夠提供較為完善的訓練、競賽環(huán)境,支撐較大規(guī)模的網絡安全培訓與競賽活動。
面向個體和組織的開放訓練環(huán)境主要提供針對各種網絡安全漏洞場景的目標環(huán)境,供個體或組織訓練網絡安全實踐技能,靶場結構通常較為簡單。典型的開放訓練環(huán)境有Vulnhub、Vulhub和Hackthebox。Vulnhub是一個提供漏洞環(huán)境的靶場平臺,大部分環(huán)境是做好的虛擬機鏡像文件,鏡像預先設計了多種漏洞,需要使用VMware或者VirtualBox運行。Vulhub是一個基于Docker技術的漏洞環(huán)境集合,可以非常方便地啟動一個全新的漏洞環(huán)境,讓漏洞復現(xiàn)變得更加簡單。Hackthebox是一個在線式的通關型網絡滲透技術訓練平臺,集成了大量的網絡安全訓練環(huán)境,可供全球范圍的個人、企業(yè)、機構等開展網絡滲透技術的訓練,不斷提高網絡滲透技能。
3.2.3 服務于企業(yè)和商業(yè)組織安全類
目前在企業(yè)等商業(yè)組織中,網絡靶場主要用于構建網絡安全培訓和模擬中心,提供網絡安全的模擬和演練解決方案,以提升企業(yè)人員技能及安全防護措施的有效性。典型的服務于企業(yè)和商業(yè)組織安全的網絡靶場有Cyberbit Range、IBM X-Force Command Center、Cisco Cyber Range等[3]。
Cyberbit Range主要為客戶提供網絡靶場的網絡安全模擬與培訓解決方案;IBM X-Force Command Center主要為業(yè)務事件處理程序和操作連續(xù)性提供事件響應解決方案;Cisco Cyber Range主要通過虛擬對戰(zhàn)環(huán)境,提高網絡安全管理人員應對復雜網絡威脅的經驗和方法。
4 網絡靶場發(fā)展趨勢
面向人才培養(yǎng)的網絡靶場越來越注重用戶的學習體驗,網絡安全培訓游戲化和人工智能(AI)輔助管理成為其當前重要的發(fā)展方向。
游戲一般具有較強的交互性、趣味性和沉浸式特點,能夠顯著吸引用戶的注意力。將網絡安全技能培訓和游戲相結合,是利用網絡靶場開展網絡安全技能培訓的一個重要發(fā)展趨勢。通過游戲化與沉浸式仿真模擬環(huán)境相結合,能夠提供身臨其境的交互體驗,引導學員深度參與其中,在游戲中培養(yǎng)技能。
將人工智能技術應用于網絡靶場,一方面可以實現(xiàn)網絡靶場白隊部分導調功能的自動化、智能化;另一方面基于人工智能的AI聊天機器人,可以部分承擔靶場指導教員的職責,在模擬訓練過程中指導用戶處理各種事件與問題。
目前,Cyberbit Range網絡靶場已經開始引入虛擬教練員和游戲化機制。虛擬教練能夠根據學員任務完成情況,自動進行數(shù)據采集分析和評估評價。通過引入游戲化機制,擴展網絡安全訓練的游戲場景,提高學習網絡安全技能的趣味性。
5 結語
在網絡空間安全人才培養(yǎng)中,網絡靶場是網絡安全實踐能力訓練的重要支撐,具有不可替代的作用。面向人才培養(yǎng)的網絡靶場在形態(tài)與規(guī)模方面呈現(xiàn)出多樣化的特點,大如NCR,小至單臺靶機,都可以服務于實踐能力訓練。隨著人們對學習網絡安全技能方式方法心理預期的不斷提高,游戲化和智能化已成為面向人才培養(yǎng)的網絡靶場發(fā)展趨勢。
(原載于《保密科學技術》雜志2021年6月刊)