《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 工業(yè)網(wǎng)絡(luò)靶場漫談(三)|工業(yè)網(wǎng)絡(luò)靶場的分類

工業(yè)網(wǎng)絡(luò)靶場漫談(三)|工業(yè)網(wǎng)絡(luò)靶場的分類

2021-11-10
來源:網(wǎng)空閑話
關(guān)鍵詞: 網(wǎng)絡(luò)靶場

  數(shù)字化轉(zhuǎn)型發(fā)展背景下,,IT/CT/OT新技術(shù)浪潮加速,,系統(tǒng)連接性復(fù)雜性激增,復(fù)合風(fēng)險因素增多,,網(wǎng)絡(luò)攻擊成本降低,,網(wǎng)絡(luò)安全形勢空前復(fù)雜,工業(yè)網(wǎng)絡(luò)已成為網(wǎng)絡(luò)空間攻防對抗的主戰(zhàn)場,。對關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊的嚴重后果,,對現(xiàn)實世界來說可能是災(zāi)難性或前所未有的。當前迫切需要一種成本效益高和可復(fù)制的方法來提高網(wǎng)絡(luò)防御團隊的安全意識,,增加OT網(wǎng)絡(luò)防御團隊的專業(yè)知識和技能,,檢驗網(wǎng)絡(luò)防御技術(shù)、產(chǎn)品,、方案的可行性和效能,,等等。試驗床或工業(yè)網(wǎng)絡(luò)靶場正是完成這一使命的戰(zhàn)略選擇,,即建立具有模擬工業(yè)流程的具有成本效益,、可配置和可擴展的,仿真工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)靶場平臺,。安帝科技在工業(yè)網(wǎng)絡(luò)泛在化,、數(shù)字化、智能化的背景下,,持續(xù)探索工業(yè)網(wǎng)絡(luò)安全跨域,、復(fù)雜、融合,、動態(tài),、協(xié)同的本質(zhì)特征,傾力打造虛實結(jié)合的工業(yè)網(wǎng)絡(luò)靶場平臺,,以期滿足當前工業(yè)網(wǎng)絡(luò)安全能力建設(shè)中利益相關(guān)方(運營方,、監(jiān)管方,、防御方)科研,、教學(xué),、培訓(xùn),、演練,、對抗,、比賽,、測試、評估,、演示等全方位需求。安帝科技工業(yè)網(wǎng)絡(luò)安全研究院結(jié)合近年來的實踐探索和前瞻技術(shù)跟蹤研究,推出《工業(yè)網(wǎng)絡(luò)靶場漫談》系列,,期待與業(yè)界同行探討工業(yè)網(wǎng)絡(luò)靶場能力建設(shè)之道,,共同推進工業(yè)網(wǎng)絡(luò)安全技術(shù)、能力,、生態(tài),、產(chǎn)業(yè)高質(zhì)量發(fā)展。

  隨著國家網(wǎng)絡(luò)空間安全戰(zhàn)略地位的確立,,從國家,、區(qū)域、行業(yè)各個層級的網(wǎng)絡(luò)靶場建設(shè)需求應(yīng)運而生,。作為網(wǎng)絡(luò)靶場的重要分支,,工業(yè)網(wǎng)絡(luò)靶場的研究和建設(shè)也呈現(xiàn)出方興未艾之勢。在工業(yè)網(wǎng)絡(luò)靶場相關(guān)技術(shù)快速發(fā)展的同時,,其在工業(yè)網(wǎng)絡(luò)安全人才教育培訓(xùn),、系統(tǒng)設(shè)備測試與檢驗、安全新技術(shù)評估與驗證,、防御體系規(guī)劃與推演以及系統(tǒng)效能分析與評估等方面越來越多地發(fā)揮著重要的作用,。

  在漫談系列的前兩期,安帝科技給出了工業(yè)網(wǎng)絡(luò)靶場的定義,,介紹了工業(yè)網(wǎng)絡(luò)靶場的主要用途,。在本文中我們將介紹工業(yè)網(wǎng)絡(luò)靶場分類的幾個主要維度,并對所有分類維度進行總結(jié),,最后提出自己的分類方法,。

  一

  工業(yè)網(wǎng)絡(luò)靶場分類

  1. 按技術(shù)實現(xiàn)分類

  網(wǎng)絡(luò)靶場中現(xiàn)有的仿真技術(shù)包括實物仿真、虛擬機仿真,、容器仿真和建模仿真等,。實物仿真直接采用實物設(shè)備接入工業(yè)網(wǎng)絡(luò)靶場;虛擬機仿真在硬件平臺基礎(chǔ)上部署Hypervisor等作為管理和運行虛擬機的平臺,,在虛擬機上部署操作系統(tǒng),、工控組態(tài)軟件或控制器仿真工具等,典型的如VMware,、KVM等虛擬機,,或者基于MATLAB進行過程仿真;Docker可以作為輕量級容器封裝工控相關(guān)應(yīng)用,;建模仿真通過對工業(yè)生產(chǎn)過程抽象建模,,模擬工業(yè)生產(chǎn)過程[1]。

  工業(yè)網(wǎng)絡(luò)靶場可根據(jù)仿真程度進行分類,。通常根據(jù)其仿真程度可分為:虛擬工業(yè)網(wǎng)絡(luò)靶場,、實物工業(yè)網(wǎng)絡(luò)靶場、虛實結(jié)合工業(yè)網(wǎng)絡(luò)靶場3類。

 ?。?)虛擬工業(yè)網(wǎng)絡(luò)靶場采用虛擬機,、Docker或建模仿真的方式構(gòu)建工控場景。Koganti等[2]構(gòu)建電網(wǎng)配電斷路器系統(tǒng)工業(yè)網(wǎng)絡(luò)靶場,,靶場中SCADA系統(tǒng),、PLC及物理系統(tǒng)均采用虛擬方式實現(xiàn)。

 ?。?)實物工業(yè)網(wǎng)絡(luò)靶場則直接采用實物設(shè)備,,可一比一復(fù)制工控場景,具有很高的逼真度,,但造價昂貴,,擴展和推廣困難。典型的實物靶場如美國愛達荷國家實驗室圍繞電力,、水利構(gòu)建了真實SCADA測試靶場,,用于支撐真實世界SCADA系統(tǒng)和其他控制系統(tǒng)的攻擊測試。

 ?。?)虛實結(jié)合靶場將實物設(shè)備和虛擬設(shè)備相結(jié)合構(gòu)建工控場景,,兼顧前兩者的優(yōu)點。EPIC靶場[3]基于Emulab構(gòu)建網(wǎng)絡(luò)部分,,并接入實物PLC接入,,物理過程采用Simulink及其并行方案進行仿真。

  Chouliaras[4]等人對網(wǎng)絡(luò)靶場和測試床(Testbeds,,TBs)的廠商做了綜合調(diào)研,,結(jié)果如圖1所示,調(diào)研發(fā)現(xiàn)使用實物仿真實現(xiàn)靶場的數(shù)量最少,,使用虛擬模擬的數(shù)量最多,,虛實結(jié)合的靶場位于兩者之間。

  微信圖片_20211110093536.jpg

  圖1 網(wǎng)絡(luò)靶場和測試床技術(shù)實現(xiàn)調(diào)研

  Denis Donadel,、Federico Turrin[7]等的研究中,,對全球主要的50多個工業(yè)網(wǎng)絡(luò)靶場和測試床進行分類整理后,其中實物型的工業(yè)網(wǎng)絡(luò)靶場有18個,,虛擬型的工業(yè)網(wǎng)絡(luò)靶場為21個,,混合型的為22個。

  2. 按任務(wù)分工分類

  工業(yè)網(wǎng)絡(luò)靶場一般包括特定網(wǎng)絡(luò)環(huán)境下的多個任務(wù)團隊,,每個團隊依據(jù)承擔(dān)的角色被劃分為不同的類別并以特定的顏色來標記,,最多可以劃分為7種標記不同顏色的團隊,分別是紅隊,、藍隊,、綠隊,、黃隊、白隊,、灰隊和紫隊,。

  紅隊主要負責(zé)實施網(wǎng)絡(luò)攻擊,,如使用病毒,、惡意軟件等感染媒介攻擊用戶的計算機;藍隊主要負責(zé)保護網(wǎng)絡(luò)和防御攻擊,,管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施和應(yīng)用程序的可用性和安全性,;綠隊負責(zé)模擬合法用戶通過有線或無線網(wǎng)絡(luò)連接將其通信終端連接到紅隊管理的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上;黃隊負責(zé)監(jiān)控和報告網(wǎng)絡(luò)安全態(tài)勢信息,;白隊負責(zé)創(chuàng)建網(wǎng)絡(luò)安全訓(xùn)練演示場景,,并監(jiān)控和評判紅隊是否成功防御了由藍隊發(fā)起的網(wǎng)絡(luò)攻擊;灰隊負責(zé)維護正常的網(wǎng)絡(luò)流量和服務(wù)請求,;紫隊可以視為藍隊和紅隊的集成,,即同時模擬網(wǎng)絡(luò)進攻和防御動作和技能[5]。

  Chouliaras[4]等對參與靶場的用戶進行了調(diào)查,,結(jié)果如圖2所示,,正如預(yù)期的那樣,用戶主要參與的隊伍是藍色方和紅色方,。

  微信圖片_20211110093539.jpg

  圖2 網(wǎng)絡(luò)靶場隊伍參與調(diào)研

  3. 按場景目的分類

  基于使用的場景和目的,,目前的工業(yè)網(wǎng)絡(luò)靶場可以大致分為軍事國防類、科研教育類,、企業(yè)商務(wù)類,、政府機構(gòu)類、其他應(yīng)用類這5類,。Ukwandu[6]等人對網(wǎng)絡(luò)靶場的場景目的做了調(diào)研,,形成了如圖3所示的餅狀圖,可以看出用于科研教育的工業(yè)網(wǎng)絡(luò)靶場占了所有工業(yè)網(wǎng)絡(luò)靶場總數(shù)的31%,,用于軍事國防和企業(yè)商務(wù)的靶場各占24%,,用于政府機構(gòu)的靶場占16%,其他的一些應(yīng)用如開源,、服務(wù)提供商加起來占到5%,。

  微信圖片_20211110093541.jpg

  圖3 場景目的占比餅狀圖

  4. 按支持協(xié)議分類

  不同的工業(yè)網(wǎng)絡(luò)靶場和測試床會支持不同的工業(yè)協(xié)議,根據(jù)支持的工業(yè)協(xié)議的類別,,可以把工業(yè)網(wǎng)絡(luò)靶場和測試床分為不同的類別,。Conti[7]等人在論文中對各類型的工業(yè)網(wǎng)絡(luò)靶場和測試床對不同工業(yè)協(xié)議的支持做了詳細的總結(jié),在此我們以餅狀圖的形式呈現(xiàn)各種協(xié)議在工業(yè)網(wǎng)絡(luò)靶場和測試床上的百分比分布情況,。

  微信圖片_20211110093544.jpg

  圖4 工業(yè)協(xié)議占比餅狀圖

  二

  分類方法分析

  除了上述重點介紹的幾個分類維度外,,工業(yè)網(wǎng)絡(luò)靶場還可從行業(yè)場景(電力,、冶金、港口,、智能制造等),、管理方式、監(jiān)控方式等維度進行分類,。

  安帝科技收集整理了工業(yè)網(wǎng)絡(luò)靶場和測試床所有可用于分類的維度,,并形成了如圖5所示的思維導(dǎo)圖,希望能對大家從不同維度理解工業(yè)網(wǎng)絡(luò)靶場和測試床有所幫助,。

  微信圖片_20211110093546.jpg

  圖5 工業(yè)網(wǎng)絡(luò)靶場所有維度思維導(dǎo)圖

  監(jiān)控方式是指工業(yè)網(wǎng)絡(luò)靶場如何去監(jiān)控用戶的操作,、輸入路徑選擇和團隊組成,需要在不同的場景中捕捉進度并評估性能,,并負責(zé)遠程用戶與平臺的連接,,還需要驗證平臺的運行狀況以及提供的各種服務(wù)和場景。

  管理方式是指管理層為各種用戶提供一系列接口,,用來管理描述場景和用戶交互的數(shù)據(jù)的收集,、存儲和分析。通過儀表板向用戶提供信息,,以及每個場景的可用場景和攻擊類型,。該層還管理用戶及其角色,并負責(zé)生成報告,。

  恢復(fù)組件確保所有策略和補丁都是最新的,。該組件負責(zé)維持網(wǎng)絡(luò)靶場的運行狀態(tài),執(zhí)行定期備份,,并限制網(wǎng)絡(luò)攻擊從網(wǎng)絡(luò)靶場泄露,。該功能對于靶場事故和網(wǎng)絡(luò)攻擊后的數(shù)字取證至關(guān)重要。

  攻擊類型組件包含對不同攻擊的描述,,包括場景中漏洞的安全配置,,建立漏洞數(shù)據(jù)庫,以及針對OSI模型映射的每個漏洞的高,、低級別描述等,。

  場景組件被細分為5個子組件,專注于(1)敘述,,場景必須有一個目標以及任何行動的結(jié)果,,也可以加入困境和沖突來豐富學(xué)習(xí)環(huán)境。(2)領(lǐng)域定義了當前正在模擬的場景的上下文,。(3)教育支持用戶學(xué)習(xí)完成場景所需的技能,,通過指導(dǎo)、評分,、演示,、分析和以角色為基礎(chǔ)的方式與用戶一起回顧動作或通過具體的案例研究學(xué)習(xí),。(4)游戲化用于嵌入游戲機制,以推動和維持用戶粘性水平,。(5)場景的類型可以是帶有單一目標的靜態(tài)場景,,也可以是伴隨著用戶的每次行動而動態(tài)演變的場景。

  測試床作為一種類型的工業(yè)網(wǎng)絡(luò)靶場,,優(yōu)先應(yīng)用于OT環(huán)境,。根據(jù)前面討論的工業(yè)網(wǎng)絡(luò)靶場分類法,我們也對測試床維度進行了總結(jié),。如圖6所示,,這些維度也反應(yīng)了測試床未來的發(fā)展和技術(shù)方向,。

  微信圖片_20211110093549.jpg

  圖6 測試床所有維度思維導(dǎo)圖

  教育部分用于探索新的安全場景,,最常用于開發(fā)和確認場景,以獲得最佳的學(xué)習(xí)效果,。

  建模組件在新建案例中提供控制并指導(dǎo)流程,,新建案例是在滿足一組約束條件的受控環(huán)境中創(chuàng)建和處理的。

  生成組件提供了有關(guān)基礎(chǔ)技術(shù)和供應(yīng)商的綜合信息,,并告知部署特征,。

  執(zhí)行組件提供實時、基于配置的,、遠程等不同場景,,可深入了解其對建模或測試系統(tǒng)行為的影響,,可以對不同執(zhí)行場景下的行為進行評估,。

  評估:測試床內(nèi)的模型評估可以手動或自動完成。前者通過人工干預(yù)執(zhí)行,,后者需要利用考慮了系統(tǒng)關(guān)鍵變量的算法,。

  事后組件確保事件后程序的完整性,作為調(diào)查新案例的基礎(chǔ),,以及確認用于測試攻擊或新案例失敗的流程的有效性,。標準調(diào)查和取證調(diào)查是兩種事后調(diào)查,前者用于提供詳細審查,,有助于從開始到結(jié)束了解事件的每個階段,。取證調(diào)查采取一種經(jīng)過科學(xué)推導(dǎo)和驗證的方法能夠收集、驗證,、識別,、分析和解釋來自數(shù)字來源的證據(jù)。

  學(xué)員組件包含特定模塊和績效衡量所需的特定域知識,,并記錄每個學(xué)員的進度,,報告通常顯示在學(xué)員儀表板中,。

  三

  小結(jié)

  隨著數(shù)字化轉(zhuǎn)型的加速發(fā)展,在工業(yè)領(lǐng)域推進網(wǎng)絡(luò)安全能力建設(shè)過程中,,我們越越多地感受到了IT和OT之間的鴻溝是多么的根深蒂固,。IT代表了敏捷性、可伸縮性和弱實時性,,而OT則會優(yōu)先考慮實時性,、確定性、牢不可摧的功能安全性/可用性,。IT與OT融合的融合是大勢所趨,,但二者在人員、技術(shù),、流程,、文化上差異的彌合與取齊仍然是一個緩慢的過程。工業(yè)網(wǎng)絡(luò)靶場的出現(xiàn),,正是展現(xiàn)這些差距和認知,,推進二者融合的有力抓手。

  安帝科技的研究和實踐表明,,工業(yè)網(wǎng)絡(luò)靶場要充分發(fā)揮作用和效用,,技術(shù)實現(xiàn)、任務(wù)團隊,、場景目的,、工業(yè)協(xié)議、監(jiān)控方式,、管理方式這6個方面是工業(yè)網(wǎng)絡(luò)靶場最重要的維度,。如圖6所示,我們可以從這6個維度給出工業(yè)網(wǎng)絡(luò)靶場的不同分類,,這6個維度也支撐起了工業(yè)網(wǎng)絡(luò)靶場的建設(shè)和應(yīng)用,。

  微信圖片_20211110093552.jpg

  圖7 工業(yè)網(wǎng)絡(luò)靶場6個重要維度

  工業(yè)網(wǎng)絡(luò)靶場作為工業(yè)網(wǎng)絡(luò)安全問題研究的基礎(chǔ)平臺,具有重要的研究價值和應(yīng)用價值,。工業(yè)網(wǎng)絡(luò)靶場作為一項相對較新的,、仍在發(fā)展中的技術(shù),可以從不同的維度被分為不同的類別,,并根據(jù)這些類別制定關(guān)于該主題的當前的研究趨勢,。本文重點論述了工業(yè)網(wǎng)絡(luò)靶場分類、構(gòu)建方法等問題,,詳細介紹了工業(yè)網(wǎng)絡(luò)靶場分類的幾個主要維度,,并對所有分類維度進行了總結(jié)歸納,最后提出了自己的6維分類方法,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。