ThreatGEN:Red vs. Blue--在游戏中学习网络安全技能
ThreatGEN:Red vs. Blue--在游戏中学习网络安全技能
Derezzed Inc.(dbaThreatGEN)是一家美国小企业,位于休斯顿德克萨斯州,目前专注于新兴技术应用领域,从事网络安全(工控安全)培训、工控安全服务咨询及工控安全威胁监控的解决方案。在网络安全(工控安全)培训服务中,该公司使用先进的计算机游戏引擎构建了网络安全(工控安全)培训平台,使得该平台基于游戏化的规则结合开发的系列工控安全培训课程TGICS101、TGICS201和TGICS301进行工控安全培训。在其他的服务解决方案中,工控安全服务咨询及工控安全威胁监控均依托该公司的资深工控安全专家的经验进行实施,其创始团队成员编写《黑客大曝光--工业控制系统》一书,目前正在编写一本最新的工控安全渗透书籍,工控安全专家具有较深厚的工控安全实战经验。该公司创立时间比较久远,公司的产品和技术方向也跟随这最新技术的发展而不断变化。相对于工控安全领域,该公司是新人,在技术创新上,采用目前最流行的网络安全游戏化和人工智能化培训模式构建网络安全(工控安全)培训课程及体系。
Derezzed Inc.的工控安全培训平台历经了几个产品探索阶段,在最开始转型工控安全领域之初,该公司曾经以AR工业网络靶场的方式出现在工控安全领域,即通过3D建模/渲染、物理过程建模和仿真结合AR技术实现针对工业控制系统及物理环境的模拟仿真和可视化展现,通过攻防手段在模拟仿真环境中进行攻防对抗,最终展示模拟的控制系统及类真实环境的物理反应。从人机交互的发展历程看,该公司将模拟仿真产品通过AR这一人机交互技术进行应用,提升了网络安全攻防过程中的展示的可视化手段和沉浸式体验。在这个产品中,还主要以构建工业系统的仿真模拟和AR交互为主。
由于其仅仅是一种仿真模拟和呈现手段,因此产品的实际落地和应用场景还需继续优化。最开始该公司探索的应用场景即为工控安全培训。在当前的市场中,企业或组织均面临一个安全治理难题,即企业或组织是不是会受到攻击,而是何时受到攻击。各大信息安全厂商为各个企业及组织的安全治理问题建立了全方位的安全防护产品及技术体系,但远远不能解决问题,还需要企业或组织建立一个网络安全团队,该团队应该熟悉这些安全产品和技术体系并具备应对信息安全威胁的能力。因此,安全培训市场应是和安全产品市场等同的市场规模,具备较好的市场经济效益。于是在第二代产品推出中,该公司的AR工业网络靶场具备了落地的实际应用场景—工控安全培训。在工控安全培训应用流程中,利用AR工业网络靶场构建的模拟仿真和AR可视化展现场景,导入实验操作指导手册和具体的预置漏洞和攻击路径实现攻防操作培训,外加包括现场课堂培训、自定进度的在线学习、培训视频、知识库等完成第二代产品的迭代优化并推出市场。
在最近推出的第三代产品上,Derezzed Inc.集合计算机游戏化的网络安全培训趋势,利用计算机游戏引擎驱动仿真模拟技术,将培训课程场景化、剧情化和游戏化,进一步增强人机交互的丰富接口。众所周知,游戏是现目前交互性、沉浸式较强的产品,网络安全技能培训和游戏的结合,是目前世界上较为潮流的实训仿真趋势和技术之一。该技术趋势在2017年出现在美国,主要由美国军方的采购需求所驱动。游戏具有在规则范围内的强力趣味性,能够引导现在的青少年基于游戏化的方法掌握网络安全实战技能。最古老的游戏要追溯到棋盘游戏。棋盘游戏的起源可以追溯到几千年前,当时围棋在中国被发明,并且被认为是迄今为止还能够连续发挥作用的最古老的棋盘游戏。随着时间的推移,各种游戏工具已被指挥官和工作人员用于支持军事演习。今天的M&S环境(国防建模与仿真(M&S))的前身是在19世纪初设计的。最开始,基于中国的棋盘游戏,由Baron von Reisswitz于1812年基于国际象棋创建了军棋,用于训练普鲁士军队。后来,他的儿子LT Georg H.R.J. von Reisswitz在1824年为军棋游戏制定了一套书面规则,使游戏和结果更加一致。在美国,基于军事化的网络战采购需求和成熟的游戏化军事演习理论,诞生了基于游戏化思维培训网络安全战士的理论体系,并为其取名专有的名称“Serious Games”。该术语用于识别为娱乐以外的目的而开发的游戏和游戏环境。和军事演习不同,“Serious Games” 主要焦点是支持教育和培训。基于这样的趋势,该公司的产品在第三代上结合了游戏化的机制。现在的最新趋势认为,游戏化的网络安全培训是最完美的技能培训方法。身临其境的游戏化和模拟提供了一种有吸引力的娱乐方式!游戏化和模拟使学生处于有趣,引人入胜的故事情节和环境中,他们参与叙事(通常与其他学生竞争)、练习技能和执行工具,其操作和现实生活中一样。通过游戏化与沉浸式仿真模拟环境相结合,学员是游戏的一部分,他们的操作具有直接的反馈和结果,因此更能够引导学员深度参与其中。这不仅可以提高知识保留率,而且学员还可以在学习中享受这个游戏的过程!目前在美国,“Serious Games”年销售额为15亿美元。
Derezzed Inc.的游戏化安全培训平台全称为ThreatGEN™Redvs. Blue,是业界第一款多玩家策略计算机游戏,玩家可以相互竞争,控制/维持对计算机网络的控制。这不是像消费者游戏市场那样的基于虚构的游戏应用。这是一个基于模拟仿真现场工控环境,玩家与玩家“游戏化”的训练模拟器,旨在教授身临其境的互动应用学习环境中的网络安全技能。在该网络安全游戏中,具有很多传统游戏的功能,比如单人对阵计算机AI(红队或蓝队),1对1互联网和本地热门排行的多人游戏挑战、跨平台的多人组队游戏、初学者教程等等。ThreatGEN:Red vs. Blue是一款回合制战略游戏,与流行的棋盘游戏非常相似。“游戏板”不是世界地图,而是由计算机网络组成,玩家争夺控制权。玩家使用类似于交易卡游戏的“动作卡”来选择和提交动作,该计算机网络不是虚拟的计算机终端,而是基于真实服务器硬件仿真模拟的虚拟机和3D建模渲染的物理反馈。该计算机游戏完全继承了传统游戏的游戏化设计并结合到网络安全技能培训内容中。我很期待她的上市,网络安全的小伙伴们玩游戏吧!在游戏中学习。
该产品具有多个版本:
- Red vs. Blue
针对个人的网络安全训练游戏版本
- Red vs. Blue Corporate
针对企业的网络安全训练游戏版本,提供可定制的选项和企业培训方案
- Red vs. Blue CTF
用于支持CTF网络安全竞赛的游戏版本
- Red vs. Blue Tabletop
类似桌面棋盘推演的网络安全训练游戏版本
- Red vs. Blue Instructor Led Training
提前预览下部分游戏界面截图:
基于3D建模和渲染、物理过程建模和仿真出来的模拟工厂
蓝队操作界面
红队操作界面
