商业网络培训靶场的形态及思考
一、前言
这是一篇讲述商业网络培训靶场应用形态及延伸思考的文章。在前文《商业网络培训靶场的发展态势综述》中,我们已经大致探讨了商业网络培训靶场当前的发展态势。这些发展态势的背后驱动的是军方的需求转向民用商业化的结果。不管技术如何先进和发达,最终都需要落地的应用场景及相对应的产品形态来支撑产品化的运作及发展。在本文中,我将尝试结合两个典型的案例分析商业网络靶场的在安全竞赛方面的应用问题及创新。
二、两个典型案例
这两个案例分别是IBM X-Force Command网络战术运营中心和AWS Cyber Range。
2.1.IBM X-Force Command网络战术运营中心
2016年11月,IBM安全部门投资2亿美元,在马萨诸塞州剑桥市建立的新的IBM全球安全总部,并在该总部设置IBM的网络靶场(X-Force Command Cyber Range),构建真实场景来进行实时恶意软件和安全事件应急的培训教育。从历史上看,IBM网络安全团队一直专注于检测和防范网络安全事件。但是,随着威胁形势的发展,IBM网络安全团队认为现在已经意识到有必要增加计划和演练对安全事件的响应。因此开发专门的网络靶场(X-Force Command Cyber Range)从事安全事件的应急响应能力培训和演练工作。该网络靶场(X-Force Command Cyber Range)部署在一个封闭的网络中,模拟了一个虚构的公司,该公司由1PB的信息、3000多名员工/用户、一个可能遭受攻击的内部网络和模拟互联网组成。基于该网络靶场的安全事件培训流程是:IBM安全人员首先开始讲授网络安全概述及网络安全违规/响应内容,随后针对安全事件应急所需要的目标进行讨论,最后引导学员完成网络安全事件应急响应的动手练习并达成目标,然后会介绍安全演习的工作方式。每个练习的学员将会负责管理该网络靶场所构建的虚拟公司的网络资产环境,并对安全漏洞、攻击事件进行应对措施和调查取证的目标进行实践,在此过程中,学员需要尽可能的掌握所需的技能/技巧和方法。在练习阶段后,IBM网络靶场的安全事件应急响应将进行无剧本式的安全事件应急响应的实战化演习。在此过程中,学员没有任何提示,需要借助之前练习掌握的技能和方法来实现应急响应任务并最终完成演习目标。值得称道的是,为了尽可能的逼真,IBM会提供安全人员和安全工具来扮演各种应急响应关系中的各种人员和流程,随着危机的发展,学员将被要求迅速处理客户的强烈抗议、安抚客户情绪、保持与媒体的沟通,同时还要与监管机构打交道。演习结束后,IBM网络靶场将进行回顾性总结并点评学员的表现。
为了更加说明IBM的这个网络靶场在安全事件应急响应培训方面的成功,我结合该网络靶场在安全事件应急响应过程中使用和集成的一些工具进一步加以说明。首先在该网络靶场中集成有IBM Resilient Incident Response Platform (IRP),IBM Resilient(IRP)是事件响应SOAR平台,用于统筹协调并自动执行事件响应流程。它提供了一种以有组织的、类似于项目管理的方式通过违规流程进行协作的方法。此外还提供了一系列有效的“动态战术手册”,可助学员敏捷、智能、精确地对抗复杂的攻击。该软件甚至可以根据监管罚款来推断公司的财务风险(如果某些任务未在特定时间范围内执行,则罚款将成倍增加)。第二款软件是IBM i2可视化分析产品,IBM i2产品是一款专门为调查、分析、办案人员设计的可视化数据分析软件,可以将结构化、半结构化和非结构化数据转化为图形,为分析员提供一个直观的实体关系图,并提供丰富的可视化分析算法和分析工具,帮助分析人员快速找到破案线索和有价值的情报。在安全事件应急响应过程中,可为漏洞分析过程发挥重要作用。第三款产品是IBM QRadar SIEM,可通过实时分析快速检测网络中的高级安全威胁,并将收集的数据进行统一清洗和处理,并在特定的搜索查询规则中,根据安全事件响应的线索查询出可疑数据,并进一步输送到该网络靶场集成的人工智能分析平台(IBM Watson for Cyber Security)进行分析。IBM Watson是IBM构建的人工智能系统。其他的还有诸如IBM BigFix Detect等产品。
IBM的这个网络靶场在安全事件应急响应的流程和工具模式方面,和思科的网络靶场类似,均是集成自身的安全产品用于支持特定应用场景的实现。区别在于,思科的网络靶场主要侧重于培训自身安全产品的操作和运营能力,而IBM侧是用于安全事件应急响应的培训和演练。
由于该靶场借助IBM体系化的IBM X-Force Command Centers(运营中心)安全产品能力构建安全事件应急响应培训和演练,具备很真实的沉浸式体验,因此该网络靶场构建之后广受赞誉。为了满足需求,特别是来自欧洲客户和无法将其整个团队派往剑桥的客户的需求,IBM花了一年半的时间建立了一个定制的移动网络靶场或网络战术运营中心(C-TOC)。
图1 IBM X-Force Command网络战术运营中心(C-TOC)示意
IBM于2018年10月15日在美国纽约布鲁克林举行的IBM安全峰会上演示了业界首个基于牵引式联结车内部的移动安全运营中心的功能(如上图所示)。IBM X-Force Command网络战术运营中心(C-TOC)建设用于在现场进行网络安全培训、教育和响应工作。基于这种牵引式联结车内部的构造设计的灵感,根据IBM的说法,其仿照军方使用的战术作业中心(TOC),以及警察/应变人员所使用的事件指挥站,军队和警察经常会使用战术作业中心(TOC)做为指挥所,让军官/警官和技术人员能够监视作业行动并保持通讯。现场的跃出战术作业中心(TOC)可以设在帐篷或卡车内。IBM X-Force Command C-TOC以这些功能做为设计核心进行建造。下面显示了IBM X-Force Command C-TOC建造的过程:
视频来源:IBM官网
在视频中看来,IBM是将整个网络靶场压缩到了一个定制的牵引式联结车内部。这个设在牵引式联结车内部的行动式设施提供由手势控制的网络安全观察室、20个工作站,网络通信设施(两颗卫星、四个专用的蜂窝上行链路、光纤电缆等),100 TB固态驱动器和靶场计算资源等以模拟大规模网络环境及攻击行为,47 kW的自发电功率以及手势控制的高清视频屏幕、资料中心与会议室等区域组成,里面可容纳20几位作业人员、分析师与事件指挥中心人员。该车重23吨,可部署在各种不同环境中,拥有自给自足的电力、卫星及蜂巢式通讯能力,可提供无病毒并具复原力的网络,以供调查与响应之用,同时提供最现代化的IBM平台以利进行网络安全训练。其详细规格(https://www.ibm.com/downloads/cas/DXGD7N9K)下图所示:
图2 IBM X-Force Command C-TOC规格图
根据IBM安全的计划,IBM X-Force Command C-TOC将移动式的在欧洲和美国进行巡回演出,主要进行:
1、安全事件响应培训和演练:IBM X-Force Command C-TOC越来越重视在重大网络安全攻击后改进事件响应的能力,可以帮助公司培训其团队在技术(技术和危机领导力)方面对攻击做出响应,同时模拟真实的情况黑客的攻击战术以及保护企业品牌和资源的关键策略。
2、现场网络安全支持:IBM安全设计的IBM X-Force Command C-TOC具有将移动设备部署为特定于客户的按需网络靶场和安全运营中心的功能。根据IBM安全公布的一系列案例,现场的大型赛事比如体育赛事或其他可能需要补充网络安全资源的大型现场聚会都是IBM X-Force Command C-TOC可以进行应用部署的场景。
3、安全教育和意识培训:利用灵活的IBM X-Force Command C-TOC在不同的大学和行业活动中进行网络安全培训和实操演练,甚至可以在现场进行网络安全意识教育活动,组织形式多样的其他技术活动等。
图3 IBM X-Force Command C-TOC内部培训实景图
除此之外,IBM X-Force Command C-TOC其实还可以进行用于现场招聘活动的技能评定、安全周宣传活动、现场的网络安全竞赛支撑等应用场景。
IBM X-Force Command C-TOC的培训内容是将在剑桥网络靶场的真实示例打包过来,使公司能够参与沉浸式游戏化网络攻击,使团队可以在逼真的高压模拟下测试事件响应计划。这些攻击情形的一些示例包括:
Ox Response Challenge:此挑战是为执行团队而设计的,旨在使各种利益相关者沉浸在真实的“协作团队”环境中。在此环境中,学员必须弄清楚如何以团队的方式应对网络攻击,涉及技术、法律、公共关系和新闻传播等方面的问题。
OpRedEscape:根据网络攻击者的攻击战术,学会像黑客一样思考;该练习将学员置于真实世界攻击者的“角色”当中,通过操作和观察并获得实际的攻击动手经验和了解黑客攻击网络的方式。
网络战争游戏:在这种动手操作的场景中,学员将发现一个网络犯罪团伙针对一家虚构公司领导的网络攻击行为。学员将在IBM X-Force Command C-TOC的虚构公司网络上运行,将使用技术工具来识别威胁并将其关闭,同时建立响应计划并发展领导能力和危机管理技能。
IBM X-Force Command C-TOC在网络培训靶场方面的应用形态的创新,是受到了认可的。在2018年,IBM X-Force Command C-TOC获得爱迪生奖。爱迪生奖最初成立于1987年,旨在表彰技术创新、新产品和服务开发,市场营销以及以人为本的设计方面的卓越成就。爱迪生奖有时被称为“创新奥斯卡”,并以托马斯·阿尔瓦·爱迪生(Thomas Alva Edison)的名字命名,象征着他所坚持的创新精神的坚持与卓越。
2.2.AWS/Azure Cyber Range
在2019年6月,开源AWS Cyber Range的作者Cappetta在伦敦的Bsides上首次分享了AWS Cyber Range,使其第一次为广大安全群体所熟知。这是一组开源的基于AWS的网络靶场的虚拟机和网络场景构建脚本,基于AWS的AWSCLI工具进行构建。Cappetta是全球最佳网络曝光公司Tenable的漏洞研究工程师。作者最初目标是使用DevOps工具、方法和框架,为社区提供可信赖的开源AWS Cyber Range框架,供红蓝团队成员使用。现在通过不断的版本完善和迭代,这个框架也将支持更多功能、甚至平台化、支持更多的云平台等。目前开发针对Azure的支持。
图 4 开源AWS Cyber Range示意图
这种形态的部署就是上文《商业网络培训靶场的发展态势综述》提到的网络培训靶场即服务(CyRaaS)。据我所知,Cyberbit的网络培训靶场即服务(CyRaaS)产品、美国SimSpace公司的网络培训靶场即服务(CyRaaS)以及美国的弗吉尼亚网络靶场也是基于Amazon Web Services的。而上文中提到的另一家美国公司circadence侧转向微软公司,并实现和Azure的集成和合作。
根据作者的分享视频及材料内容,作者利用虚拟机及容器实现靶场所需的各种资源程序的构建,这些资源主要包括一个靶场仿真所需的企业网络环境资产及攻击和防御工具。通过脚本,在权限无障碍的情况下可在5分钟内实现该环境的复制部署。下图显示了开源AWS Cyber Range框架所部署的虚拟机及容器资源列表,其中包括了所需的攻击/防御性工具。
图5 开源AWS Cyber Range框架部署实例
整个过程是自动化部署的,通过DevOps工具根据设定的脚本参数进行配置,其主要的示例部署脚本如下图所示:
图6自动化部署脚本
根据作者的部署实践,通过AWS经费计算结果,下图显示了开源AWS Cyber Range框架所部署资源的经费使用情况:
根据图中显示的数据,开源AWS Cyber Range框架所部署在AWS上资源每运行1个小时需要花费大约1.102美金。按照6.9xxx的汇率计算,约等于8元人民币。也就是说开源AWS Cyber Range框架所部署的靶场资源在AWS上每运行1个小时所需要收取的运行费用是8元人民币。如果一天运行24小时就是192元人民币。
根据开源的AWS Cyber Range框架,我们可以核算出商业公司基于AWS开发的网络靶场即服务(CyRaaS)版本的资源大小及资费的大体情况。作为基于AWS的安全增值服务,网络靶场即服务(CyRaaS)肯定是需要扣除相关的AWS运营成本,所以类似AWS Cyber Range框架规模的资源,商业网络靶场即服务(CyRaaS)每小时的运营成本至少在10元人民币以上。当然这个并不精准,因为AWS的服务不同,虚拟机类型不同,收费也不同。这个仅当作为我们的参考。
三、给我带来的思考和启发
我们地理上来看,IBM X-Force Command网络战术运营中心和AWS/Azure Cyber Range等网络培训靶场即服务(CyRaaS)似乎都在解决一个共同的问题:地理位置因素的制约。
从IBM X-Force Command网络战术运营中心官方页面来看,这是一个牵引式联结车内部的移动安全运营中心,据多位IBM技术人员的反馈,IBM X-Force Command网络战术运营中心里面使用的硬件平台和软件平台跟IBM剑桥的网络靶场是完全一致的,包含了IBM最新的硬件平台架构和安全软件堆栈结合。整体压缩到一台移动式车厢中而不是当做一个解决方案去客户现场部署,也不是做成硬件盒子一台一台的卖。
我认为,IBM X-Force Command网络战术运营中心首先要解决的问题是将IBM安全的能力实现可随时随地的交付,也就是说通过IBM X-Force Command网络战术运营中心,IBM可以突破地理位置的制约,实现IBM安全能力的移动式扩展,同时也能够实现IBM安全能力的“一致性体验”。
那么解决这种地理位置因素有什么好处呢?或者说现在的发展趋势为什么会去解决这种问题?我觉得用三个不同的角度来尝试解释一下这个问题,首先是时间成本,比如部署一套网络靶场或采购相应物资的流程等的周期太长,客户遍及全世界,没有时间来进行集中统一的训练和演练等。其次是用户体验,我们要交付给客户一个最具体验性的产品跟服务,最好的方式就是以包装好形式提供给用户使用,如果在这个过程中还需要添加入客户的一些自定义元素,整个过程的输入变量变多就会增加不可控,从而降低产品的整体稳定性和可靠性,从而影响用户体验;最后是人力成本。这些因素可能导致我们需要提供一个整体的解决方案,并且具备灵活的及时访问和现场支持能力。
从安全攻防竞赛的应用场景来看,IBM X-Force Command网络战术运营中心和AWS/Azure Cyber Range能够解决传统解决的时间成本问题。比如说组织或举办一场工控安全攻防竞赛活动,在远离团队所在的地理空间中,竞赛的组织者需要在短时间内构建出竞赛所需的资源及环境,由于涉及到工控设备及环境业务的复杂性和非标准化,每次攻防竞赛的环境资源需重新采购,重新部署且工作繁重,时间周期较长,导致工控安全攻防竞赛活动部署成本居高不下。就拿我们协同组织的竞赛活动来说,一个工控设备的现场总线接线、组态及业务逻辑编程,整个时间非常长,一般需要提前几个月进行规划,进行方案设计、物资采购,然后在到货后还得在现场进行部署实施,工控环境完毕后,还得结合安全攻防的脆弱性组织进行测试和验证,确保设计的安全攻击链路和预置的安全攻防达到预期设计的目标,并且功能保持正常运行状态,这个测试的过程也非常的耗费时间成本和人力成本。最后还得根据安全攻防的竞赛演练流程进行整体排练、预先流程检查、梳理等等工作。因此整体来看,IBM X-Force Command网络战术运营中心可能为安全竞赛活动待带来什么?首先我觉得IBM X-Force Command网络战术运营中心可解决安全攻防竞赛最大的痛点问题,即举办地点的频繁变化问题。可根据不同的竞赛举办地点,随时移动随时接入进行安全竞赛活动。交付的场景资源并不需要重新采购和部署,只需根据软件定义的方式设定相应的竞赛场景,即所见即所得的快速资源编排设定场景和竞赛的流程、制度和管理方式即可。因此IBM X-Force Command网络战术运营中心可以为安全竞赛攻防应用场景带来变革性的创建和体验,降低竞赛的是时间成本、人力成本,提高竞赛的用户体验。AWS/Azure Cyber Range其实也是一样,在解决了网络可能的不稳定因素和带宽问题外,云同样也能够带来类似的好处。举个例子:比如一场60人的场景实战竞赛活动,引用开源AWS Cyber Range框架的资源来计算,60个场景一天运行24小时大概费用为11040元人民币(不考虑带宽和其他监测服务的情况下)。如果要进行现场部署网络靶场进行攻防竞技,光是现场部署的网络所需购买的费用也不止这点钱。
因此展开来说,这种模块化、整体模式交付的方式除了改变因为地理位置因素导致的时间成本、体验及人力成本外,人们还可以获取更多的其他价值:
云服务或安全体系化创新的能力:云的创新或者能力是有目共睹,IBM安全的产品体系化应急响应方面的先进技术和流程也毋庸置疑。因此采用这种方式还可以额外获取云服务或安全体系化创新的能力,这种能力在现场部署的环境在资源受限或时间受限的情况下是很难完全复制的。
极高的可靠性和稳定性。由于是整体模块化的复制与公有云的一致性,在长期的测试过程中已经不断完善和改进,因此产品和服务整体上保持较高的可靠性和稳定性。
零天交付。完全不需要漫长的采购部署周期、项目流程、测试验证等环节通通可以不用。在比赛当天或者前一天,把汽车开到指定的竞赛场地或在云杉部署好部署脚本后,竞赛当天即可立即投入生产使用。对于IBM X-Force Command网络战术运营中心来说,本地不需要准备电源和网络环境。
当然这种情况可能在现阶段,IBM X-Force Command网络战术运营中心或开源AWS Cyber Range框架只实践IT环境的攻防竞赛,对于工控环境来说,思路其实是类似的。非标准化的工控环境也可以根据架构设计,变成标准化的模块在竞赛进行按需组合。
参赛人员攻防能力评估:每次攻防竞赛活动的组织,往往聚焦于监测选手的正常操作、答案提交及可能的作弊行为。缺乏在攻防的数据收集和针对参赛人员的攻防能力评估分析。使用集成化的这种方案,其承载的强大的数据分析能力和服务,其实就可以实现每次竞赛数据和留存及相应分析系统的安全行为分析,最终汇总评估结果。不管是对于IBM X-Force Command网络战术运营中心还是基于公有云来说都是如此。
“以赛促炼”的后续指导:网络安全攻防竞赛作为国家体系化建设和培育网络空间安全人才的重要途径,全国每年至少举行数百场次的攻防竞赛活动。这些竞赛活动往往举办仪式结束后就就地解散,尚未达到“以赛促炼”的后续指导工作的开展。而基于类似形式的攻防竞赛组织和纽带作用,还能真正践行“以赛促炼”的后续指导工作的开展,包括后续赛事的总结分析、回溯推演、讨论及培训工作等内容。
通过这几年的竞赛活动,其实大家都已经形成了固定的套路和模式,现在是时候考虑如何降低企业举办竞赛的成本,以更好的促进网络安全竞赛产业的发展,并将主要精力用于提升竞赛创新上面。