【摘 要】 隨著網(wǎng)絡(luò)安全威脅技術(shù)持續(xù)發(fā)展,威脅影響日益加深,熟練掌握應(yīng)對安全威脅技能的專業(yè)技術(shù)人才成了當(dāng)前社會的剛性需求,而培養(yǎng)高素質(zhì)網(wǎng)絡(luò)安全人才離不開網(wǎng)絡(luò)靶場的支撐。本文主要從技術(shù)體系、分類和發(fā)展趨勢等方面對面向人才培養(yǎng)的網(wǎng)絡(luò)靶場進(jìn)行了分析和研究。
【關(guān)鍵詞】 網(wǎng)絡(luò)靶場 人才培養(yǎng) 技術(shù)框架 發(fā)展趨勢
1 引言
由于網(wǎng)絡(luò)安全威脅越來越復(fù)雜,越來越具有針對性和持久性,給網(wǎng)絡(luò)系統(tǒng)安全帶來了愈加嚴(yán)重的威脅。抵御越來越復(fù)雜的網(wǎng)絡(luò)威脅不能單純依靠各式各樣的網(wǎng)絡(luò)安全產(chǎn)品,還必須有訓(xùn)練有素的專業(yè)技術(shù)人員,根據(jù)網(wǎng)絡(luò)安全態(tài)勢適時地采取相應(yīng)的安全防御措施。這就要求專業(yè)技術(shù)人員必須具備豐富經(jīng)驗和專業(yè)知識。網(wǎng)絡(luò)靶場是幫助網(wǎng)絡(luò)安全人員提升應(yīng)對網(wǎng)絡(luò)安全威脅所需技能和經(jīng)驗的有效手段。網(wǎng)絡(luò)靶場能夠模擬實際的網(wǎng)絡(luò)安全威脅場景,提供可讓網(wǎng)絡(luò)安全人員扮演多種不同角色的訓(xùn)練環(huán)境,為了解安全漏洞利用技術(shù)、消除安全威脅影響等,提供實際經(jīng)驗。
網(wǎng)絡(luò)靶場可以為網(wǎng)絡(luò)安全管理人員培養(yǎng)其在威脅發(fā)生前、威脅發(fā)生中和威脅發(fā)生后采取有效行動能力提供支撐。在威脅發(fā)生前,網(wǎng)絡(luò)靶場可以提供構(gòu)建有效安全架構(gòu)所需的技能,包括部署防火墻、入侵檢測、訪問權(quán)限分割等。在威脅發(fā)生中,網(wǎng)絡(luò)靶場可以提供檢測早期告警信息及深入了解網(wǎng)絡(luò)安全威脅所需技能。在威脅發(fā)生后,網(wǎng)絡(luò)靶場可以提供清理和修復(fù)威脅影響所需技能,如追蹤威脅路徑、修復(fù)安全漏洞、消除威脅影響等。
2 網(wǎng)絡(luò)靶場技術(shù)體系
2.1 網(wǎng)絡(luò)靶場概述
網(wǎng)絡(luò)靶場是一種基于虛擬化技術(shù),對真實網(wǎng)絡(luò)空間中的網(wǎng)絡(luò)架構(gòu)、系統(tǒng)設(shè)備、業(yè)務(wù)流程的運行狀態(tài)及運行環(huán)境進(jìn)行模擬和復(fù)現(xiàn)的技術(shù)或產(chǎn)品,為實現(xiàn)與網(wǎng)絡(luò)安全相關(guān)的學(xué)習(xí)、研究、檢驗、競賽、演習(xí)等活動提供支撐,從而提高人員及機構(gòu)的網(wǎng)絡(luò)安全對抗能力與水平。通過網(wǎng)絡(luò)靶場,可實時評估網(wǎng)絡(luò)安全攻防進(jìn)程及態(tài)勢,為網(wǎng)絡(luò)安全訓(xùn)練提供實時反饋,增加訓(xùn)練的針對性和價值。
網(wǎng)絡(luò)靶場的概念內(nèi)涵非常廣泛,在線網(wǎng)絡(luò)攻防學(xué)習(xí)環(huán)境、網(wǎng)絡(luò)安全競賽平臺、網(wǎng)絡(luò)安全技術(shù)測評研究平臺、城市級甚至國家級的網(wǎng)絡(luò)攻防演練平臺等,都可以歸屬于網(wǎng)絡(luò)靶場的范疇。在這些可以被稱為網(wǎng)絡(luò)靶場的環(huán)境與平臺中,也存在著很大的差異,如規(guī)模量級差異、模擬環(huán)境復(fù)雜度差異、應(yīng)用場景差異、環(huán)境模擬逼真度差異等。
網(wǎng)絡(luò)靶場作為支撐網(wǎng)絡(luò)空間安全的技術(shù)驗證、裝備試驗、技能訓(xùn)練、攻防演練和風(fēng)險評估的重要基礎(chǔ)設(shè)施,已成為網(wǎng)絡(luò)安全領(lǐng)域技術(shù)發(fā)展和人才培養(yǎng)的重要支撐手段[1]。
網(wǎng)絡(luò)靶場系統(tǒng)中一般會包含若干團(tuán)隊,每個團(tuán)隊在靶場中都具有自己的角色定位。到目前為止,網(wǎng)絡(luò)靶場已經(jīng)發(fā)展到了7種不同的團(tuán)隊角色,如表1所示。各種團(tuán)隊角色有不同的角色定位,有些角色還可以由智能化軟件實現(xiàn)自動化,代替真實的人來完成相應(yīng)的角色功能。
2.2 網(wǎng)絡(luò)靶場技術(shù)框架
2020年6月,美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布《網(wǎng)絡(luò)靶場指南》,圍繞網(wǎng)絡(luò)安全教育、認(rèn)證和培訓(xùn)等領(lǐng)域,給出了一種網(wǎng)絡(luò)靶場的技術(shù)框架,如圖1所示。該技術(shù)框架基于靶場學(xué)習(xí)管理系統(tǒng)(RLMS),將網(wǎng)絡(luò)靶場劃分為編排層、底層基礎(chǔ)架構(gòu)層、虛擬化層和目標(biāo)基礎(chǔ)設(shè)施層4個層次[2]。
(1)編排層。該層從RLMS輸入信息,負(fù)責(zé)將網(wǎng)絡(luò)靶場所有技術(shù)或服務(wù)組件整合在一起,便于底層基礎(chǔ)設(shè)施、虛擬化和目標(biāo)基礎(chǔ)設(shè)施的網(wǎng)格化,支持公有云、私有云和專用硬件基礎(chǔ)設(shè)施的動態(tài)網(wǎng)絡(luò)靶場擴展。
(2)底層基礎(chǔ)架構(gòu)層。該層主要由網(wǎng)絡(luò)、服務(wù)器和存儲承載網(wǎng)絡(luò)靶場數(shù)據(jù)和信息的基礎(chǔ)設(shè)施構(gòu)成。網(wǎng)絡(luò)靶場基礎(chǔ)設(shè)施可以是通用的硬件,也可以是虛擬化設(shè)備或云,也可以是專用的定制硬件。考慮可伸縮性、成本和可擴展性等需求,網(wǎng)絡(luò)靶場的底層基礎(chǔ)架構(gòu)逐步轉(zhuǎn)向基于軟件定義網(wǎng)絡(luò)(SDN)技術(shù)的虛擬基礎(chǔ)架構(gòu)。
(3)虛擬化層。大多數(shù)網(wǎng)絡(luò)靶場都希望通過某種程度的虛擬化來縮小物理設(shè)備的覆蓋范圍。實現(xiàn)虛擬化的方法主要有2種,基于虛擬化管理程序和基于軟件定義的基礎(chǔ)結(jié)構(gòu)。
(4)目標(biāo)基礎(chǔ)設(shè)施層。該層是模擬生成的目標(biāo)網(wǎng)絡(luò)場景的基礎(chǔ)設(shè)施。較完善的網(wǎng)絡(luò)靶場包含商用服務(wù)器、存儲、端點、應(yīng)用程序和防火墻的配置文件等要素。根據(jù)需要,目標(biāo)基礎(chǔ)結(jié)構(gòu)可以由RLMS利用生成腳本來指示編排層創(chuàng)建。生成腳本一般包括特定于目標(biāo)機的配置信息,如IP地址信息、路由信息、應(yīng)用軟件等。
3 網(wǎng)絡(luò)靶場分類
網(wǎng)絡(luò)靶場的分類方法有多種,既可以按照實現(xiàn)技術(shù)分類,也可以按照目的用途分類。
3.1 按照實現(xiàn)技術(shù)分類
按照實現(xiàn)技術(shù),網(wǎng)絡(luò)靶場可以分為4類:模擬類、仿真類、疊加類、混合類。
3.1.1 模擬類
模擬類網(wǎng)絡(luò)靶場是指基于真實網(wǎng)絡(luò)組件重建的一個虛擬網(wǎng)絡(luò)環(huán)境,模擬運行在虛擬實例中,不需要任何物理網(wǎng)絡(luò)設(shè)備。模擬類網(wǎng)絡(luò)靶場首先對真實網(wǎng)絡(luò)環(huán)境及用戶行為進(jìn)行建模,然后通過驅(qū)動模型進(jìn)行信息互動,進(jìn)而分析各模型單元的狀態(tài)變化。模擬類網(wǎng)絡(luò)靶場易于部署,安裝和維護(hù)成本較低,但模擬實驗結(jié)果準(zhǔn)確性難以保證。模擬類靶場的典型案例是美國空軍的SIMTEX網(wǎng)絡(luò)安全模擬器。
3.1.2 仿真類
仿真類網(wǎng)絡(luò)靶場將已構(gòu)建的網(wǎng)絡(luò)/服務(wù)器/存儲基礎(chǔ)設(shè)施等映射到物理基礎(chǔ)設(shè)施上,作為網(wǎng)絡(luò)靶場的物理基礎(chǔ)設(shè)施。仿真類網(wǎng)絡(luò)靶場使用獨立的物理測試臺,配置出需要測試的環(huán)境,運行真實的軟件。仿真類靶場要求能對硬件進(jìn)行重新配置,可根據(jù)測試需要,采用不同的拓?fù)浣Y(jié)構(gòu)。仿真類網(wǎng)絡(luò)靶場使用真實的計算機、操作系統(tǒng)、應(yīng)用軟件和資源,能較全面地復(fù)現(xiàn)真實環(huán)境。仿真類靶場的典型案例是美國國防高級研究計劃局(DARPA)的國家網(wǎng)絡(luò)靶場(NCR)。
3.1.3 疊加類
疊加類網(wǎng)絡(luò)靶場是運行在真實網(wǎng)絡(luò)、服務(wù)器和存儲設(shè)備之上的網(wǎng)絡(luò)靶場,即利用現(xiàn)有的生產(chǎn)環(huán)境資源而建立的網(wǎng)絡(luò)靶場。這類靶場在實際的生產(chǎn)現(xiàn)場軟件上進(jìn)行測試,使用實際的生產(chǎn)資源,在規(guī)模、成本和逼真度等方面有一定優(yōu)勢,缺點是靶場試驗控制性較差,可能對實際網(wǎng)絡(luò)造成不利影響。疊加類靶場的典型案例是美國國家科學(xué)基金會資助的網(wǎng)絡(luò)創(chuàng)新全球環(huán)境(GENI)。
3.1.4 混合類
混合類網(wǎng)絡(luò)靶場是由上述模擬、仿真、疊加三種靶場特性組成的網(wǎng)絡(luò)靶場。混合類靶場的典型案例是美國弗吉尼亞網(wǎng)絡(luò)靶場。
3.2 按照目的用途分類
按照目的用途,網(wǎng)絡(luò)靶場可以分為3類:服務(wù)于國家與國防安全類、服務(wù)于網(wǎng)絡(luò)空間安全人才培養(yǎng)類、服務(wù)于企業(yè)和商業(yè)組織安全類。
3.2.1 服務(wù)于國家與國防安全類
政府機構(gòu)和軍事部門需要專業(yè)網(wǎng)絡(luò)安全力量,具備應(yīng)對復(fù)雜網(wǎng)絡(luò)威脅及網(wǎng)絡(luò)恐怖主義的能力。因此,一些國家的軍事和國防部門建設(shè)和部署了大量網(wǎng)絡(luò)靶場,如美國的國家網(wǎng)絡(luò)靶場(NCR)、國防信息系統(tǒng)局網(wǎng)絡(luò)安全靶場(CSR)、國防部信息安全靶場(IAR)、聯(lián)合網(wǎng)絡(luò)空間作戰(zhàn)靶場(JCOR)、海軍網(wǎng)絡(luò)空間作戰(zhàn)靶場(NCOR)、聯(lián)合信息作戰(zhàn)靶場(JIOR)、戰(zhàn)略司令部網(wǎng)絡(luò)空間作戰(zhàn)靶場(SCOR)、持續(xù)網(wǎng)絡(luò)訓(xùn)練環(huán)境(PCTE)等。目前世界上大部分國家和國際組織的軍事和國防部門都開展了服務(wù)于國家與國防安全的網(wǎng)絡(luò)靶場建設(shè),如英國聯(lián)邦網(wǎng)絡(luò)靶場(FCR)、北約網(wǎng)絡(luò)空間靶場(NCR)、歐洲聯(lián)合網(wǎng)絡(luò)空間靶場等。
服務(wù)于國家與國防安全類的網(wǎng)絡(luò)靶場一般具有規(guī)模龐大、技術(shù)復(fù)雜、功能全面、任務(wù)多樣、綜合管控等特點,全方位支撐網(wǎng)絡(luò)空間安全技術(shù)驗證、網(wǎng)絡(luò)武器裝備試驗、攻防對抗演練、網(wǎng)絡(luò)風(fēng)險評估、網(wǎng)絡(luò)安全人才培養(yǎng)等任務(wù),主要服務(wù)于國家級網(wǎng)絡(luò)空間力量的發(fā)展。
3.2.2 服務(wù)于網(wǎng)絡(luò)空間安全人才培養(yǎng)類
網(wǎng)絡(luò)空間安全人才除了要掌握大量理論知識,更需要具備扎實的實踐動手能力。由于許多網(wǎng)絡(luò)安全方面的實踐活動可能造成嚴(yán)重的破壞性后果,難以在真實網(wǎng)絡(luò)環(huán)境中實施,網(wǎng)絡(luò)靶場可為網(wǎng)絡(luò)安全實踐能力培養(yǎng)提供安全隔離的模擬仿真環(huán)境。服務(wù)于網(wǎng)絡(luò)空間安全人才培養(yǎng)的網(wǎng)絡(luò)靶場既有面向培訓(xùn)和競賽的商業(yè)化靶場,也有面向個體和組織的開放訓(xùn)練環(huán)境。
面向培訓(xùn)和競賽的商業(yè)化靶場一般能夠提供較為完善的訓(xùn)練、競賽環(huán)境,支撐較大規(guī)模的網(wǎng)絡(luò)安全培訓(xùn)與競賽活動。
面向個體和組織的開放訓(xùn)練環(huán)境主要提供針對各種網(wǎng)絡(luò)安全漏洞場景的目標(biāo)環(huán)境,供個體或組織訓(xùn)練網(wǎng)絡(luò)安全實踐技能,靶場結(jié)構(gòu)通常較為簡單。典型的開放訓(xùn)練環(huán)境有Vulnhub、Vulhub和Hackthebox。Vulnhub是一個提供漏洞環(huán)境的靶場平臺,大部分環(huán)境是做好的虛擬機鏡像文件,鏡像預(yù)先設(shè)計了多種漏洞,需要使用VMware或者VirtualBox運行。Vulhub是一個基于Docker技術(shù)的漏洞環(huán)境集合,可以非常方便地啟動一個全新的漏洞環(huán)境,讓漏洞復(fù)現(xiàn)變得更加簡單。Hackthebox是一個在線式的通關(guān)型網(wǎng)絡(luò)滲透技術(shù)訓(xùn)練平臺,集成了大量的網(wǎng)絡(luò)安全訓(xùn)練環(huán)境,可供全球范圍的個人、企業(yè)、機構(gòu)等開展網(wǎng)絡(luò)滲透技術(shù)的訓(xùn)練,不斷提高網(wǎng)絡(luò)滲透技能。
3.2.3 服務(wù)于企業(yè)和商業(yè)組織安全類
目前在企業(yè)等商業(yè)組織中,網(wǎng)絡(luò)靶場主要用于構(gòu)建網(wǎng)絡(luò)安全培訓(xùn)和模擬中心,提供網(wǎng)絡(luò)安全的模擬和演練解決方案,以提升企業(yè)人員技能及安全防護(hù)措施的有效性。典型的服務(wù)于企業(yè)和商業(yè)組織安全的網(wǎng)絡(luò)靶場有Cyberbit Range、IBM X-Force Command Center、Cisco Cyber Range等[3]。
Cyberbit Range主要為客戶提供網(wǎng)絡(luò)靶場的網(wǎng)絡(luò)安全模擬與培訓(xùn)解決方案;IBM X-Force Command Center主要為業(yè)務(wù)事件處理程序和操作連續(xù)性提供事件響應(yīng)解決方案;Cisco Cyber Range主要通過虛擬對戰(zhàn)環(huán)境,提高網(wǎng)絡(luò)安全管理人員應(yīng)對復(fù)雜網(wǎng)絡(luò)威脅的經(jīng)驗和方法。
4 網(wǎng)絡(luò)靶場發(fā)展趨勢
面向人才培養(yǎng)的網(wǎng)絡(luò)靶場越來越注重用戶的學(xué)習(xí)體驗,網(wǎng)絡(luò)安全培訓(xùn)游戲化和人工智能(AI)輔助管理成為其當(dāng)前重要的發(fā)展方向。
游戲一般具有較強的交互性、趣味性和沉浸式特點,能夠顯著吸引用戶的注意力。將網(wǎng)絡(luò)安全技能培訓(xùn)和游戲相結(jié)合,是利用網(wǎng)絡(luò)靶場開展網(wǎng)絡(luò)安全技能培訓(xùn)的一個重要發(fā)展趨勢。通過游戲化與沉浸式仿真模擬環(huán)境相結(jié)合,能夠提供身臨其境的交互體驗,引導(dǎo)學(xué)員深度參與其中,在游戲中培養(yǎng)技能。
將人工智能技術(shù)應(yīng)用于網(wǎng)絡(luò)靶場,一方面可以實現(xiàn)網(wǎng)絡(luò)靶場白隊部分導(dǎo)調(diào)功能的自動化、智能化;另一方面基于人工智能的AI聊天機器人,可以部分承擔(dān)靶場指導(dǎo)教員的職責(zé),在模擬訓(xùn)練過程中指導(dǎo)用戶處理各種事件與問題。
目前,Cyberbit Range網(wǎng)絡(luò)靶場已經(jīng)開始引入虛擬教練員和游戲化機制。虛擬教練能夠根據(jù)學(xué)員任務(wù)完成情況,自動進(jìn)行數(shù)據(jù)采集分析和評估評價。通過引入游戲化機制,擴展網(wǎng)絡(luò)安全訓(xùn)練的游戲場景,提高學(xué)習(xí)網(wǎng)絡(luò)安全技能的趣味性。
5 結(jié)語
在網(wǎng)絡(luò)空間安全人才培養(yǎng)中,網(wǎng)絡(luò)靶場是網(wǎng)絡(luò)安全實踐能力訓(xùn)練的重要支撐,具有不可替代的作用。面向人才培養(yǎng)的網(wǎng)絡(luò)靶場在形態(tài)與規(guī)模方面呈現(xiàn)出多樣化的特點,大如NCR,小至單臺靶機,都可以服務(wù)于實踐能力訓(xùn)練。隨著人們對學(xué)習(xí)網(wǎng)絡(luò)安全技能方式方法心理預(yù)期的不斷提高,游戲化和智能化已成為面向人才培養(yǎng)的網(wǎng)絡(luò)靶場發(fā)展趨勢。
(原載于《保密科學(xué)技術(shù)》雜志2021年6月刊)