了解网络靶场：从炒作到现实

了解网络靶场：从炒作到现实

关于 ECSO

欧洲网络安全组织 (ECSO) ASBL 是一家根据比利时法律完全自筹资金的非营利组织，成

立于 2016 年 6 月。

ECSO 代表欧盟委员会实施网络安全合同公私合作伙伴关系 (cPPP) 的合同对应方。 ECSO 成员包括欧盟成员国、欧洲经济区/欧洲自由贸易联盟国家和 H2020 相关国家的各种利益相关者，例如大公司、中小企业和初创企业、研究中心、大学、最终用户、运营商、集群和协会以及欧洲成员国的地方、区域和国家行政部门。有关 ECSO 及其工作的更多信息，

请访问 www.ecs-org.eu。

有关本文档的查询，请使用 wg5_secretariat@ecs-org.eu。 有关本文件的媒体查询，请使用 media@ecs-org.eu。 免责声明 使用本文档中包含的信息的风险由您自行承担，ECSO 与访问或以其他方式使用本文档或其任何部分的任何人之间没有任何关系。 ECSO 不对因使用本文档或其部分而引起的任何性质的行为负责。 ECSO 或代表其行事的任何人均不对本出版物中包含的信息的使用负责。 版权声明

© 欧洲网络安全组织 (ECSO)，2020

只要确认出处，即可授权复制。

1 简介

本文档从靶场的定义、应用场景和功能开始讲起，旨在给出一个网络靶场的概要描述，同时也介绍了用于当前区分它们的不同类型的技术和商业模式。本文档的目的是让读者能更好地理解网络靶场，并提供一套标准，用于更好地识别和选择合适的网络靶场，以满足特定需求。

2 首字母缩略词

APT——高级持续威胁

API——应用程序编程接口

Bins——二进制文件或可执行文件

CDX——网络防御演习

CNCI——综合国家网络安全倡议（美国）

CN——计算机网络运营

CR——网络靶场

CRP——网络靶场平台

CTF——夺旗

DDOS——分布式拒绝服务

ICT——信息和通信技术

IoT——物联网

Libs——库

OS——操作系统

OT——运营技术

UI——用户界面

VM——虚拟机

3 定义

夺旗 (CTF) ：在计算机安全的背景下，CTF 是一种网络战争游戏，可以以团队或个人的形式进行。一种流行的 CTF 类型是攻击和防御，参与者通过竞争以破坏其他参与者的系统，同时保护自己的系统不受破坏。 能力：能力是一组属性，如成功完成特定任务所需的知识、技能和能力。 计算机网络作战（CNO）单位：隶属于一个国家的军事结构，任务是参与涉及计算机网络的作战。 网络能力：网络能力是国家可用于抵抗或通过网络空间投射影响的资源和资产 [1]。 网络防御演习：通常也称为 CDX，网络防御演习是一种特殊类型的网络演习，专注于测试网络防御能力。 网络演习：网络演习是指组织模拟网络攻击、信息安全事件或其他类型的干扰的计划活动，以测试组织的网络能力，从检测安全事件的能力到做出适当响应的能力并尽量减少任何相关

影响。 网络弹性：网络弹性是指对包括网络资源在内的系统进行预测、承受、恢复和适应不利条件、压力、攻击或妥协的能力[2]。 编排：编排是计算机系统和软件的自动配置、协调和管理。 虚拟机监控程序：虚拟机监控程序是硬件和虚拟机（VM）之间的软件层。它协调虚拟机，确保它们不会相互干扰，并且每个虚拟机都可以访问执行所需的物理资源。 平台——平台是一组技术，用作开发其他应用程序、流程或技术的基础[3]。 场景 – 场景是在网络靶场内使用的内容。一个场景可能仅包含一个供用户交互的虚拟环境，也可能包含具有特定目标、一些实际或理论挑战或不同类型问题的故事情节。 自助服务：自助服务，通常称为云自助服务，是许多云服务提供商的一项功能，允许其最终用户自行配置资源并设置或启动服务或应用程序，而无需专门的 IT 干预人员或服务提供商

本身 [4]。

虚拟机 ：虚拟机 (VM) 是模拟物理计算机行为的软件程序。

4 背景

在过去的两年中，许多网络靶场技术、产品以及国家和国际倡议得到了发展。这绝非巧合，抛开营销话术不谈，网络靶场突然变得越来越流行以及越来越多的私人和公共组织开始对其进行投资的原因有很多。在较高的层面上，对网络靶场需求不断增长的两个关键驱动因素是巩固网络作为一个单独的战争领域，以及云技术的发展和广泛传播，它们是网络靶场发展的主要推动力。

4.1 网络作为一个单独的军事领域

随着冷战的结束，获取核能力的军备竞赛已经转变为信息战和获取网络能力的竞赛，网络能力可以定义为一个国家可以通过网络空间抵抗或投射影响力的资源和资产。世界各国目前正在技术、方法和流程方面加大投资，以开发这些网络能力，网络靶场被视为传统靶场的等价物，未来几代网络士兵将在这里进行网络攻击和网络防御模拟演习。美国对外关系委员

会（Council on Foreign Relations）的一项研究显示，过去 15 年，计算机网络作战（CNO）部门的数量是如何增加的[1]。

在欧洲，北约合作网络防御卓越中心在爱沙尼亚组织了年度实弹网络演习“锁定盾牌” 和“交叉剑”，各国政府每年都投入越来越多的资金来发展北约网络靶场。其他例子包括

ENISA Cyber Europe 演习，该演习模拟了升级为网络危机的大规模网络安全事件。

4.2 云技术的商品化

随着计算机虚拟化和强大的计算资源高度的商品化，实践教育和培训的可扩展性达到前所未有的水平。这种商品化也正在改变培训教育的思路和交付方式，允许更详细的持续学习和持续专业发展形式，当然能力评估的方式也受到积极影响。

5 什么是网络靶场？

多年来，网络靶场的含义和定义方式都发生了变化。根据世界各地私立和公共机构对网络靶场的现有定义和解释，大致确定了定义网络靶场的两种可能方式： 模拟环境：这种看法侧重于网络靶场传统上提供的功能，即模拟用于广泛用途的 ICT 或 OT 环境。有些定义将网络靶场视为包括连接到模拟环境的互联网服务。这种定义网络靶场的方式有些静态，因为它通常指的是一个模拟环境，该环境设计一次就可以满足特定的应用场景和要求，环境中的任何变化都需要耗费相当长的时间和精力。 平台：平台通常被定义为一组技术，用作开发其他应用程序、流程或技术的基础。在网络靶场的背景下，平台可以是一组用于创建和使用模拟环境的技术。这里的重点是“使用”这个词，因为要使网络靶场用于特定目的，网络靶场必须具有附加功能并向最终用户公开特定功能。这种网络靶场观点显然更具动态性，它意味着可以更容易地创建不同的环境，并且提供了一些功能来帮助使用模拟环境。动态创建不同模拟环境的难易程度以及所提供功能的广度将在不同的网络靶场内有所不同。例如，NIST 的定义属于对网络靶场的第一种解释，没有提及除模拟环境以外的网络靶场提供的服务与功能 [5]：

“一个组织的本地网络、系统、工具和应用程序的交互式模拟表示，这些表示连接到模拟的Internet 级别环境。它们提供了一个安全、合法的环境来获得实操网络技能，并为产品开发和安全态势测试提供了一个安全的环境。网络靶场可能包括实际的硬件和软件，也可能是实际组件和虚拟组件的组合。靶场可以与其他网络靶场环境互操作。靶场环境的 Internet 级部分不仅包括模拟流量，还根据客户的需要复制网络服务，例如网页、浏览器和电子邮件。” 纯粹从模拟环境的角度定义网络靶场的挑战，可以与根据汽车的一般技术特征定义汽车的挑战相类比，例如具有四个车轮、一个发动机、一个变速箱、一个供驾驶员和其他乘客使用的座椅等。剑桥字典将汽车定义为：

“一种有发动机、四个轮子和供少数人乘坐的道路车辆” 不过，在汽车方面，男性拥有近 200 年的经验，他们可以轻松区分跑车、F1 赛车、SUV、敞篷车、4x4 等，他们可以根据自己的具体需求在不同程度上轻松地寻找和选择合适的车。但是对于仅存在几年的网络靶场而言，情况并非如此。就像汽车一样，网络靶场可以用于不同目的和不同类型的用户。然而，与汽车不同的是，网络靶场已经发展到高度可配置的程度，虽然我们无法轻松地将 F1 赛车转换为家用车，但我们可以更轻松地将网络靶场用于多种用途，例如安全研究、安全培训、评估网络弹性等。公共和私营部门的绝大多数现有网络靶场都提供了超出单纯模拟环境的额外功能。此外，大多数网络靶场应用场景需要模拟环境之外的一项或多项功能。因此，将网络靶场定义为平台而不是模拟环境是合乎逻辑的。在此基础上，ECSO 将网络范围定义如下： 网络靶场是开发、交付和使用交互式模拟环境的平台。模拟环境是组织的ICT、OT、移动和物理系统、应用程序和基础设施的表示，包括攻击模拟、用户及其活动模拟，以及模拟环境可能依赖的任何其他互联网、公共或第三方服务的模拟。网络靶场包括实现和使用模拟环境的核心技术以及实现特定网络靶场应用场景所需的其他组件的组合。

5.1 目标用户和应用场景

网络靶场可用于多种用途，多年来，随着技术的变化和网络的重要性日益增加，尤其是作为国家军事能力（网络能力）的一个方面，靶场主要用途也发生了改变。本节中描述的应用场景未按重要性或市场需求的最高顺序排列。对于每个应用场景，重要的是要理解，为了完全满足应用场景的特定要求，网络靶场必须拥有或公开特定的功能或能力。因此，本节重点关注网络靶场可以用于什么用途，而不是提供最适合每个应用场景的特定网络靶场的功能、能力甚至技术。 网络靶场可供范围广泛的目标用户使用。然而，并不是每一个网络靶场都是开放的，也不是每一类用户都可以使用的。以下是网络靶场的目标用户和目标实体列表：

• 企业（私人和政府）

• 战略决策者（私人和政府）

• 安全专家

• 军事机构和 CNO

• 安全运营中心 (SOC)

• 教育工作者

• 学生

• 研究人员

• 活动组织者

5.1.1 安全测试

除了安全研究，安全测试是网络靶场最传统的使用案例之一，在靶场中对系统和应用程序模拟进行测试，并以可控的方式对其进行安全攻击，以便在其部署和使用之前识别潜在的

漏洞。

5.1.2 安全研究

网络靶场是在广泛的安全领域开展安全研究的基本手段。就其本质而言，网络靶场本身正在由世界各地的研究人员开发，用以研究新的攻击检测和缓解方法、恶意软件仿真等等。

5.1.3 能力建设

目前多数安全培训都是通过在线和面对面培训课程方式完成的。在这两种情况下，大多数学习都是通过视频或现场讲座，以及阅读笔记或幻灯片方式进行的。花在实操学习上的时间相对较少。而网络靶场的使用改变了这一点，因为它可以提供一种方便且更具成本效益的方式来提供实践培训，以及提供相关的培训评估和认证。根据 Gartner 的数据，到 2022 年， 15%的大型企业将使用网络靶场来培养其安全团队的技能，而目前这一比例还不到 1%[8]。

5.1.4 安全教育

安全教育专门指学术界，而不是专业人士离开大学后接受的终身学习和培训。业界经常抱怨的问题之一是年轻毕业生缺乏实践经验。造成这种问题的根本原因是在不削弱大学学位的教育价值的同时，为学生提供实践经验的成本和复杂性都很高。为此世界各地的大学已经开始将网络靶场视为改善教学和学习的一种手段。

5.1.5 网络能力开发

网络能力是国家通过网络空间用于抵抗或投射影响的资源和资产。在广泛的网络攻击和防御领域，从人的层面上看，网络能力与安全专业人员的技能是一致的。在此情况下，网络靶场是一个国家网络能力的一部分，可用于开发安全专业人员的能力，也用于研究和开发网络工具和其他资产，以及可以基于靶场持续开展网络演习，以测试这些网络能力。具体而言，网络靶场允许一个国家以完全不同的规模和效率水平进行网络能力开发。此外，在网络能力开发的背景下，网络靶场可用于组织涉及数百到数千人的大规模网络演习。

5.1.6 网络弹性开发

网络弹性指的是一个组织在保持其提供核心业务服务的能力的同时，应对和维持安全事件或网络攻击的能力。NIST 将网络弹性定义为“对包含网络资源的系统进行预测、抵制、恢复和适应不利条件、压力、攻击或妥协的能力”[6]。Gartner 将其定义为“……对数字商业生态系统的威胁或失效的适应和响应程度”[7]。总的来说，网络弹性适用于任何依赖 IT、 OT、物联网的流程、系统、业务和组织，几乎涵盖了一个国家的大多数组织，包括关键基础设施。在网络弹性的背景下，网络演习为组织提供了展示关键能力的机会，并揭示了他们如何有效地整合人员、流程和技术，以保护其关键信息、服务和资产。网络演习可分为“夺旗” （CTF）赛和实弹演习。CTF 通常以攻击和防御的方式组织，个人或团队必须发现并修复自己系统中的漏洞，同时攻击属于其他参与者的系统。实弹网络演习使团队能够培训网络专业人员，在不断受到黑客“红队”攻击的同时，检测并减轻大规模网络攻击。网络演习为测试一个组织同时处理涉及多个组织的复杂网络事件的能力提供了机会，从而模拟现代组织所依赖的与分包商、服务提供商、客户等的互动。网络演习还使组织能够在其流程、程序和技术中找到差距和发展领域。通过解决演习发现的问题，组织可以极大地增强其抵御现代网络攻击的网络抵御能力。

5.1.7 能力评估

所谓能力是指完成特定任务所需的一组属性，例如知识、技能和能力。随着安全技能缺口的扩大，组织需要一种有效的方式来评估和选择合适的人员。使用网络靶场可以让组织在基于多项选择题或理论模拟的传统测试之外进行能力评估。这种评估是基于实际任务的成功完成情况以及基于用户在执行实际任务时对其行为和选择的观察，因此使用网络靶场进行能力评估更具实用性。

5.1.8 招聘

随着网络靶场被用于能力评估，预计它也将改变招聘方式，让组织能够更好地识别、验证和雇佣合适的人员。该应用程序高度依赖于目前世界各地正在开发的国家和国际能力框架的开发。

5.1.9 数字灵活性

正如 Gartner 所定义的，数字灵活性是指“利用现有和新技术实现其业务成果的能力和愿望”[8]。用一种有趣且简单但有效的方式来描述与数字灵巧性相关的网络靶场的使用情况，就是将靶场视为一个增强型的开发环境。传统的软件开发方法和安全最佳实践建议使用不同的环境，例如开发、演示和生产使用不同的环境。随着持续的数字化转型和支持多种通信和业务挑战的需求，组织面临的挑战是在不同渠道上推广这些非常相同的传统最佳实践，同时支持更快的开发生命周期。类似 DevSecOps 等术语已经融入现代化组织的组织结构中，通过网络靶场的研究，可以提高组织的数字灵活性。

5.1.10 国家和国际网络安全竞赛

越来越多的国家正在组织国家网络安全竞赛，并参与国际网络安全竞赛，以发掘新的网络安全人才，并帮助填补安全技能缺口。此类比赛通常以 CTF 形式进行，涉及多种实际挑战。网络靶场正在改变此类比赛的组织方式，允许举办更大规模的比赛和更逼真的模拟。著名的

例子包括由 ENISA [9] 组织的欧洲网络安全挑战赛、Word Skills [10] 和 CyberStars 竞赛 [11]。

6 网络靶场的功能和能力

本节包含对网络靶场提供的功能的描述。这里的重点是可供给网络靶场最终用户或其管理员使用的嵌入网络靶场本身的技术能力。根据定义，网络靶场不需要包括本节中列出的所有功能，甚至不需要提供任何功能。然而，根据网络靶场的预期用途，某些功能可能被认为是可取的，甚至是事实上的强制性功能。如果网络靶场本身不支持这些功能，则需要集成第三方的系统和应用程序来提供。在这种情况下，必须仔细评估和解决可能出现的集成和兼容性问题。下图说明了网络靶场的常见架构组件和相关功能。值得注意的是，下图中的许多靶场功能也需要用户管理和场景管理功能，或者至少从这些功能中受益。

图 1 网络靶场架构组件示例

6.1 编排

编排是计算机系统和软件的自动化配置、协调和管理。就网络靶场和虚拟化技术而言，编排指的是负责创建自动化工作流的技术，包括虚拟机的大规模配置、创建、修改和删除以及自配置，虚拟基础设施与其他网络靶场组件、网络靶场连接的其他系统之间的任务自动化。 从技术层面上讲，编排属于网络靶场的技术部分，对于访问网络靶场的最终用户来说是透明的。然而，使用编排器会极大地影响使用网络靶场的可用性和成本，以及对特定使用场景的支持。具有编排功能的网络靶场可以支持其他功能，否则将需要额外的手动工作和协调，从而增加网络靶场使用成本。 在最基本的层面上，编排包括虚拟环境的编排。最精妙的是，编排还可以用于网络靶场内不同组件之间的任务和交互的自动化，例如调度攻击和用户模拟的能力、启动用户活动集合的事件注入等，具体取决于具体的使用场景。 显然，任何涉及成百上千台虚拟机的网络靶场，无论使用何种场景，事实上都有编排的需求。

6.2 互联网服务模拟

互联网服务模拟是一个宽泛的术语，用于描述主要模拟环境之外的任何服务，模拟环境本身依赖于这些服务来实现特定功能。在此类别下，我们可以看到社交媒体平台（如

Facebook、LinkedIn、Twitter）、应用商店、互联网路由协议和不同层次的服务提供商的模拟，各种操作系统的受控更新和软件存储库、全球服务（例如域名解析、PKI、pgp）模拟、公共新闻网站和讨论论坛以及暗网和 TOR 网络模拟。 对互联网服务的模拟增强了网络靶场实施场景的真实性。现代攻击大量利用全球基础设施和服务来避免检测。因此，能够真实地模拟互联网及其服务，对于当今的网络靶场来说是非常重要的。然而由于为了保证模拟的真实度，却需要增加复杂性，因此在许多情况下并没有模拟互联网服务。

6.3 攻击模拟

攻击模拟指的是在网络靶场环境中模拟攻击的能力。攻击模拟是一个不断发展的领域，拥有许多参与者和工具[12]。然而，大多数攻击模拟工具和平台的业务重点是企业安全态势的（半）自动化测试。具体而言，攻击模拟属于目前所称的入侵和攻击模拟。传统的漏洞扫描技术侧重于识别系统、网络和应用程序的漏洞，而攻击模拟工具则更进一步，允许模拟安全杀伤链的不同阶段，同时提供有关如何保护漏洞的建议。近来，入侵和攻击模拟越来越关

注 MITRE ATT&CK™ 对手战术和技术知识库[13]，摆脱了传统的安全杀伤链模型。如何模拟攻击超出了本文的范围。可以说，模拟攻击的能力与网络靶场模拟 ICT/OT 环境的能力具有相当的复杂性，另外，事实上我们应该区分攻击的模拟和仿真的不同。在许多情况下，网络靶场内的攻击模拟仅限于在一定程度上定制回复/注入流量捕获的能力。这是因为入侵和攻击模拟领域仍在不断发展中，并由专门在该领域运营的供应商推动，尽管网络靶场的供应商对攻击模拟有比较强烈的需求，但在他们在这一领域投入并不普遍。关于攻击模拟的理想功能是攻击库的可用性，其中包含预定义攻击列表的功能，以及导入、创建自定义攻击的能力。

6.4 用户活动模拟

用户模拟是指在网络靶场环境中模拟正常用户的存在和行为的能力。虽然用户模拟所使用的技术、工具和方法可能与用于模拟攻击使用的技术、工具和方法类似，但如果需要描述真实环境的特定场景，则要对用户活动进行模拟。除了系统和应用程序的实际模拟之外，用户活动模拟是非常重要的，因为它使模拟环境更加逼近现实环境。用户模拟可以指的是被模拟环境的内部用户和虚拟客户端用户。例如，如果被模拟环境是银行公司网络，则用户模拟可能指模拟虚拟银行组织的员工，以及模拟虚拟银行的客户登录网上银行网站。用户活动模拟的例子包括：

•用户浏览互联网活动

•用户观看 YouTube 视频

•用户使用 P2P 文件共享应用程序下载文件

•用户发送电子邮件

•用户与 Office 365、Dropbox 等云服务交互。

用户活动模拟还包括对移动电话和桌面技术的模拟，通过这些技术可以模拟用户与目标环境的交互。关于用户模拟的理想功能是模拟库的可用性，其中包含预定义用户模拟的列表，以及导入、创建自定义模拟的能力。最终，通过网络靶场模拟的业务系统，对用户进行模拟和业务流程的跟踪，进一步实现了靶场的真实感。

6.5 场景和内容开发

网络靶场的用途最终与其的使用方式强相关，而使用方式又与使用场景相关。这点在某种程度上与使用电脑游戏控制台的体验差不多，而电脑游戏控制台与可用游戏的数量以及为该控制台开发游戏的第三方的数量密切相关。就网络靶场而言，游戏可以代表场景，支持第三方或用户自己开发场景的能力大大提高了网络靶场的实用性和附加值。因此，一些网络靶场已经开始为自己配备场景合成工具，这些工具可以实现包括从创建基本模拟环境的能力到对攻击和其他服务的全面定制模拟的能力。

6.6 能力管理

能力是成功完成特定任务所需的一组属性，如知识、技能和能力。长期以来，组织一直

使用 ISO17024 通过执行工作任务分析来认证工作概况，工作任务分析将识别与特定任务、特定工作相关的能力。最近，在国家和国际层面上开展了定义能力框架的工作，其中包括全面的能力分类和定义新工作简介或角色的模型。一些框架还提供了工作简介样本，展示了如

何应用该框架。著名能力框架包括 NIST NICE 框架[14]和欧洲电子能力框架（eCF）[15]。 能力管理系统 (CMS) 是一种组织对能力计划进行管理的系统，包含从技能差距分析和用户分析到学习路径和能力评估的定义。因此，能力管理系统还可以包括学习管理系统

(LMS)，用于管理、记录、跟踪、报告和交付学习和评估内容。

6.7 数据收集和分析

数据收集是指网络靶场收集用户与靶场交互的能力，如产生的流量、内存转储、使用的工具、目标系统等。在最基本的层面上，这种能力可能只包括收集用户提供的数据（例如任务或挑战的答案）。在最高级的级别上，它将收集所有用户交互。这种能力取决于网络靶场的核心技术以及模拟环境的创建方式，因为有些技术可能会为数据收集提供更好的本地支持，而其他技术则需要进一步开发、定制或集成第三方解决方案。 数据分析使网络博靶场能够更容易地分析所收集的数据，以了网络博靶场的使用方式、用户的表现等。在这方面，对自动收集的数据和用户活动的输出进行数据分析是向靶场用户提供有意义反馈的基础。分析部分也可能包括人工智能技术。鉴于人工智能技术的专业性，此类分析能力不太可能成为网络靶场核心技术，而更可能是集成在网络靶场内的第三方解决

方案。

6.8 评分和报告

评分是一种带外功能，根据用户的活动以及与网络靶场的交互对靶场用户进行评分。传统上靶场的重点是模拟环境本身，而不是用户管理及其与靶场的互动。评分系统可以简单到收集用户对问题和任务的输入，也可以是更复杂的攻击和防御系统，其中包括检查服务可用性、系统完整性等的自动测试。评分系统还包括监控用户活动进展和显示个人和团队绩效时间表的功能，同时强调团队中的不同角色。为了实现强大计分能力，网络靶场和计分系统之间需要强耦合和集成，以至于一些评分系统已经进一步开发集成到本地网络靶场能力中。报告方可能包括标准报告列表（例如，每个用户或每个参与场景的团队）以及创建新自定义报告的能力，组织可以根据这些报告更好地可视化其网络弹性或随时间变化的性能等。需要注意的是，大多数额外的网络靶场能力包括或需要在一定程度上的一些报告能力。最后，虽然不是严格意义上的报告，但报告还包括实时网络态势感知，以便清晰地可视化网络靶场的使用情况、所用工具产生的影响，以及网络靶场用户所采取的行动（尤其是在网络演习中）。

6.9 讲师工具

讲师工具是指讲师出于教育培训目的使用网络靶场所需要的能力。根据特定的网络靶场核心技术，某些功能（例如用户会话镜像）可能不可用，甚至通过第三方组件也不可用。此外，讲师工具应支持对用户及其操作的评估。这些数据对于在 CDX 和 CTF 期间提供反馈和评估目标至关重要。讲师工具的功能举例：

• 通讯设施（例如聊天、事件广播等）

• 显示示例答案的讲师模式功能

• 能够控制场景的工作流程（停止、暂停、中断场景的执行）

• 能够记录和回放用户的屏幕会话

• 能够记录和查看用户的操作（例如执行的命令）

• 能够分析记录的用户行为和其他收集的数据

• 进行用户评估的能力

• 提供用户评估和反馈以及相关报告的能力

7 功能与应用场景总结

下表将网络靶场功能与不同应用场景进行了比较。每个网络靶场能力都被标记为可取的 (D)。重要的是要强调每个网络靶场，无论提供的功能如何，都可能用于广泛的不同应用场景。网络靶场之间的区别主要在于每个网络靶场交付特定应用场景时所需的工作量。例如，在处理网络安全培训应用场景时，虽然需要本地编排功能，但同样可以采用不支持编排的网络靶场，其中编排由人工或通过调整网络靶场使用工作流程代替。最后，根据本文提供的定义和确定的网络靶场能力，一台包含虚拟化环境的功能强大的笔记本电脑，可以被视为网络靶场的一个极端例子，但它专注于交付对一小部分用户的培训和教育活动。最终，网络靶场的选择应基于预期的应用场景来进行。

表 1 网络靶场功能和应用场景关系

8 网络靶场技术

在谈论网络靶场技术时，讨论的焦点转移到虚拟化，因为它是唯一允许创建具有成本效益和高效模拟的技术。自然，并非所有事物都可以使用虚拟化技术进行模拟，并且模拟环境的某些部分可能确实需要物理组件。然而，网络靶场的大多数应用场景都可以通过虚拟化来实现。考虑到这一点，网络靶场可以根据用于开发它们的主要技术大致分为两种类型：

1) 传统网络靶场——这些是基于传统虚拟化的网络靶场 2) 基于云的网络靶场——这些是基于云技术的网络靶场 随着云技术和传统虚拟化的不断发展，基于不同技术的使用，第三种混合网络靶场也将开始发展。此类型不在本文中介绍。

8.1 传统虚拟化

下图说明了传统虚拟化的基本类型，包括传统的基于管理程序的虚拟化和容器技术。许多网络靶场依赖于其中一个或两者的组合。

图 2 传统虚拟化技术

值得注意的是，在上图中，容器技术以 Docker 为代表，而对于传统的虚拟化没有具体的示例的，这是因为与具有许多技术风格的传统虚拟化不同，容器技术实际上由 Docker 技术主导。

8.1.1 传统虚拟化

传统上，虚拟化是通过创建虚拟机来实现的，虚拟机是一个模拟物理计算机行为的软件程序。由于多个虚拟机可以在真正的硬件上运行，因此使用了一个额外的软件层，称为 hypervisor，它确保虚拟机不会相互干扰，并且每个虚拟机都可以访问它需要执行的物理资源。有两种类型的虚拟机监控程序[16]：

• 类型 1 或“裸金属”管理程序与底层物理资源交互，完全取代了传统操作系统。它们最常出现在虚拟服务器场景中，因此用于数据中心的开发。

• 类型 2 管理程序作为应用程序在现有操作系统 (OS) 上运行。它们最常用于端点设备以运行替代操作系统并带来性能开销，因为它们必须使用主机操作系统来访问和协调底层硬件资源。

虚拟机管理程序举例如下表所示：

表 2 虚拟机管理程序举例

基于传统虚拟化的建立的网络靶场是存在的，尤其是在云技术普及之前构建的网络靶场基本都是基于传统虚拟化技术。大多数此类网络靶场都建立在商业虚拟化提供商（大部分是 VMware）之上，这导致了与虚拟化软件年度许可相关的巨大投资成本和运行成本。就其本质而言，传统虚拟化没有高级的编排功能，因此网络靶场提供商需要在其之上进行开发。此外，传统的虚拟化技术在开发时考虑到了为数据中心场景，能够提供更高效、更经济地管理数百台服务器的能力。然而，传统虚拟化的主要使用场景是让服务器运行（启动一次并在需要时重新启动），而不是让大量服务器和客户端动态启动、关闭、删除、按需配置等。因此，建立在传统虚拟化基础上的网络靶场并没有强大的编排功能。然而，与基于公有云的网络靶场不同，基于传统虚拟化的网络靶场受益于高度的灵活性和控制能力，基于网络靶场提供商所做的开发工作，可以包括对不同能力的支持，最重要的是可以对靶场数据和信息进行控制。

8.1.2 容器技术

另一种传统的虚拟化方法，即基于容器化技术的方法近年来有长足的技术发展。与每个虚拟机运行自己的操作系统 (OS) 的传统虚拟化不同，容器共享机器的操作系统内核。具体来说，容器技术通过将应用程序代码与其运行所需的相关配置文件、库和依赖项捆绑在一起，促进和提高应用程序在不同计算环境中的可移植性。 容器技术使网络靶场供应商能够在同一虚拟机上运行多个容器。容器技术还提供了能够预配置复杂网络和容器间通信的编排功能，使其更具成本效益。然而，由于它容器技的本质决定了它并不模拟真实的系统，而是为运行应用程序而设计的环境的精简版本。因此，容器提供的模拟范围是有限的。例如，虽然容器技术已经在 Windows 系统上运行了很长一段时间，但它们在模拟完整 Windows 系统的能力方面受到了一定的限制。具体来

说，不能仅使用容器来模拟具有 Active Directory、Windows 服务器和 Windows 工作站的

完整 Windows 基础架构。考虑到这个原因，基于容器技术的网络靶场最常见的应用场景大多与安全培训和教育有关，但并非所有类型的培训都可以使用。在安全性方面，容器和虚拟化技术都存在固有问题。使用容器时，所有单独的应用程序都在同一主机下运行，并在软件级别由操作系统隔离。单个容器的错误配置或影响主机内核的漏洞可能会导致敏感数据暴露，甚至危及相邻容器。可以通过在单个容器主机上执行严格的配置和补丁策略来缓解此类攻击。容器技术的优势之一是可以轻松部署安全补丁，同时将业务中断降至最低。另一方面，传统的虚拟化技术主要在硬件层面发挥作用。虚拟机管理程序的错误配置是一种可能性，但非常少见。通过硬件或虚拟机管理程序级别的漏洞，攻击者能够破坏主机和在其上运行的任何相邻虚拟机。尽管此类漏洞的发布频率很低，但这并不一定意味着它们不存在。由于虚拟化技术通常允许主机迁移，并通过执行严格的补丁策略和程序，可以以最小的中断来实现缓解。

Gartner 预测，到 2022 年，超过 75% 的全球组织将在生产中运行容器化应用程序，而今天这一比例还不到 30% [17]。在未来几年，可以肯定地认为网络靶场将需要越来越高的模拟容器能力。

8.2 云虚拟化

使用传统的虚拟化，资源不能得到有效利用，事实上，传统虚拟化不能充分利用跨越整个基础设施的未用物理资源是很自然的事情。在传统虚拟化的基础上，云虚拟化抽象了整个基础设施（内存、磁盘空间、网络等）的底层物理资源，并使它们对管理程序透明可用，能更好、更充分地利用所有可用资源。因此，云虚拟化最直接的优势是通过提高效率来降低成本。然而，云虚拟化带来的另一个巨大优势是其原生编排能力，可以自动化和促进虚拟机的工作流程管理。值得注意的是，云技术为用户提供了传统的基于虚机监控程序的虚拟化和基于容器技术虚拟化。换句话说，可以在云上同时运行标准虚拟机和容器，这取决于特定的云技术及其供应商。 尽管并非适用于所有网络靶场场景，也不一定适用于各种类型的网络靶场用户，但对动态配置、提高效率和可扩展性的固有支持，使云技术成为现代网络靶场实施的自然选择。具体来说，与通常用于标准业务应用程序的云部署类型有三种类型一样，当前也存在三种类型的基于云的网络靶场。

8.2.1 公有云

在公有云环境中，云服务是向公众开放订阅的，用户只需要访问服务，而不必担心由云提供商建成的云基础设施的运行或维护。公有云主要运行在现收现付模式上，这使得网络靶场的开发可以在没有大量初始投资和硬件采购难题的情况下开始。通常，公有云提供商通过 API 提供对其云虚拟化的访问权限，而网络靶场提供商必须做的就是在其之上开发网络靶场平台，将所有繁重的工作留给云提供商。这可能就是为什么最近出现在市场上的

许多网络靶场都是基于公有云的原因。常见公有云提供商包括 Amazon Web Services

(AWS)、Microsoft Azure、Google 和 Rackspace。

虽然设置和操作简单，但基于公有云的网络靶场确实存在一些必须考虑的缺点。第一个是对流经网络靶场的数据的缺乏控制。另一个主要缺点是网络靶场供应商在开发和配置定制场景并提供本文中描述的一些网络靶场功能时所需的灵活性较低。除了创建和管理模拟环境的核心能力之外，每一项新的网络靶场能力都必须面对云提供商的技术限制。出于这个原因，大多数可用的公有云网络靶场主要集中在培训和教育使用场景上，在这些使用场景中，能够快速有效地管理模拟环境的工作流程是一个很大的优势。基于公有云的网络靶场的其他缺点与公有云提供商对提供模拟攻击场景的限制有关，包括但不限于 DDOS 攻击或可能影响公有云基础设施的任何其他破坏性类型的攻击。最后，虽然按需付费模式可能是有利的，但公有云因根据磁盘空间、互联网带宽等不同因素向用户收费而备受诟病，如果管理不当，这些因素很快就会失控。

8.2.2 私有云

私有云由私有组织创建和维护，供其私人使用或向其客户提供服务。要构建私有云，组织必须承担设置、维护和运营云基础设施的所有成本。运行私有云的另一个好处是可以完全控制云基础架构内的应用程序、数据和信息流。出于这个原因，私有云网络靶场以及基于传统技术的网络靶场可能是更合适的选择，其中隐私和机密性是强制性要求，例如政府或军事应用。与基于传统技术的网络靶场一样，无论是通过供应商自己开发，还是通过集成第三方系统和应用程序，私有云网络靶场在开发靶场核心功能之外的其他功能方面也具有很大的灵活性。这些因素的结合还使基于私有云的网络靶场供应商能够为网络靶场提供本地部署功能，这是基于公共云网络的靶场无法做到的。 与传统的网络靶场一样，私有云网络靶场非常适合为广泛的网络靶场应用场景提供支持，并能够发挥云技术编排的额外好处。私有云上的网络靶场可以建立在商业和开源解决方案上。基于商业云技术的供应商可能会承担与他们所依赖的技术许可相关的更高价格，但他们也可以从云供应商获得更强大的技术支持。用于构建私有云的最常见的开源技术包

括 Openstack 和 OpenNebula。

8.2.3 混合云

顾名思义，混合云融合了两全其美。混合云是一种基础设施，包括由组织管理的私有云和至少一个由第三方（例如亚马逊、微软等）管理的公共云之间的链接。混合云提供更强大的控制能力，尤其是在关键数据、资产和操作的安全性方面，同时利用公共云基础设施的天然可扩展性。基于混合云技术构建的网络靶场可以更好地控制与靶场相关的敏感数据。虽然云提供商竭尽全力保护客户的数据，但从根本上说，公共云是比私有网络更开放的环境，这使得它们更容易受到网络攻击和各种形式的数据泄露。网络靶场的使用产生的数据可以提供对组织或国家网络能力的洞察。这是一个主要考虑因素，尤其是在使用在公共云上开发的网络靶场时。因此，一些组织，尤其是来自军方和政府领域的对隐私敏感的组织，可以从基于混合云技术的网络靶场的优势中受益。最终，需要非常小心地决定哪些服务在公共基础设施上运行，哪些信息必须保留在本地。

9 靶场互联互通

将多个网络靶场结合在一起，以增加或改进靶场的模拟能力以及单一网络靶场无法提供的其他功能，这样的建议正逐渐被提出来。

9.1 网络靶场联盟

在信息技术中，联盟是一组计算或网络提供商以集体方式就操作标准达成一致。关于网络靶场，操作标准包括场景描述语言、网络靶场能力描述以及联邦内部网络靶场服务的请求和提供。例如，对于场景，可以使用一种通用的方式在不同的网络靶场内描述它们，允许每个网络靶场以自己的特定方式实施和交付它们。联盟的概念是基于这样的假设：一个特定的网络靶场能够提供所有必需的能力和功能是非常复杂和昂贵的，因此可以想象多个网络靶场，每个靶场都有自己的专业领域，可以协同工作，为最终用户提供实现多个应用场景和不同类型场景的能力。网络靶场联盟可以为用户提供满足其所有需求的一站式服

务。

需要注意的是，联盟并不意味着集成，集成要求两个或多个网络靶场必须能够相互通信才能交付场景。联盟中的网络靶场很可能能够进行通信。但是，集成并不是联盟存在的

必要条件。欧洲国防局 (EDA) [18] 和欧盟资助的项目 ECHO [19] 在欧洲开发了网络靶场联盟，这是靶场联盟值得关注的例子。 CyberSec4Europe [20] 项目将展示 2020 年和 2021

年网络靶场联盟的要求、规范和应用场景。

9.2 网络靶场集成

与联邦的概念相比，集成确实需要网络靶场相互通信。网络靶场集成是指一组两个或多个网络靶场，它们可以相互通信，以提供遍布网络靶场的模拟环境。网络靶场之间的集成通常通过传统的集成方法来实现，例如 V**隧道。使用此类技术要求来自不同网络靶场的集成 IP 地址空间不同，以使网络靶场能够在彼此之间传输数据。换句话说，集成需要在规划技术网络环境时遵守约定。网络靶场的整合比网络靶场的联盟带来更多的技术和后勤挑战。基于潜在不同技术上运行的网络靶场的编排能力，这是集成靶场所需要面临的技术挑战，另外 IP 寻址、互联网带宽等问题也是要面临的挑战。此外，场景设计必须考虑不同的网络靶场技术和潜在的依赖关系。换句话说，使用网络靶场集成的好处在很大程度上取决于为利用这些好处而设计和开发的场景。

10 网络靶场交付模型

在定义了网络靶场是什么之后，如何对靶场进行访问呢？可以通过以下两种可能的方式之一广泛访问网络靶场：

1) 网络靶场即服务 2) 本地部署网络靶场 如何访问网络靶场与用于实施网络靶场的技术无关。例如，虽然很多人可能很自然地将 靶场即服务交付模式与使用云技术联系起来（毕竟 SaaS 作为交付模式是一个云技术概念），但也存在可作为服务访问的网络靶场并不是使用云技术开发的，也不是在线提供的。 随着网络靶场技术的成熟，混合模式网络靶场将变得更加主流并开始在市场上出现，在组织内部提供一些本地部署功能，同时将其他功能作为一项服务提供（主要是在线提供，但也可能来自靶场提供商的物理站点）。

10.1 网络靶场即服务

在此模型中，网络靶场由提供商拥有和管理，通过基于网络靶场提供商、特定功能和能力以及最终提供的服务的收费模型向第三方提供。存在两种主要类型的网络靶场即服务：

- 在线：在这种情况下，网络靶场由客户远程访问，并且很可能是在云技术上开发的（尽管不一定是基于云技术的）。

- 物理：在这种情况下，网络靶场托管在客户需要访问才能使用它的物理位置。网络靶场通常会提供体能训练设施、休息室和汇报室，它们构成了服务产品的一部分。 如前文所述，网络靶场的底层技术的类型可能会有所不同，早期的网络靶场是使用传统虚拟化技术开发的，而最近的网络靶场是使用云技术开发的。

10.2 本地部署网络靶场

本地部署网络靶场物理上部署在组织本地。这通常是最昂贵的网络靶场选项，因为它需要与网络靶场硬件和软件相关的更大的前期投资成本。内部部署选项虽然价格更昂贵，但更适合满足有安全性需求的组织，可以更好地控制与网络靶场使用相关的数据。随着虚拟化技术的发展和模拟领域的拓宽，本地网络靶场的成本将会逐渐降低。根据定义，本地部署网络靶场不能建立在公共云上，只能基于传统的虚拟化技术或私有云技术来部署。

11 结论

本文概述了网络靶场和相关应用场景，强调了网络靶场可以提供的不同能力以及支持网络靶场开发的不同技术类型。具体来说，本文介绍了一系列标准，读者可以使用这些标准更好地评估不同网络靶场的能力，因为它们与满足特定应用场景要求的能力有关。最后，本文简要描述了支持网络靶场开发的不同技术，强调了每种技术的内在局限性和潜在

能力。 作者认为，当今的网络靶场技术和网络靶场已经非常成熟，能够提供多种应用场景，但在交付网络靶场旨在实现的一些市场预期和最终承诺方面还不成熟。由于市场目前对网络靶场以及相关技术和应用场景缺乏清晰的了解，因此选择网络靶场的目的是为了满足特定的应用场景，只是为了认识到并非所有网络靶场都是相同的，从而导致预期的失败。通常情况下，当一种新兴的流行技术开始在市场上普及时，用户会做出仓促的决定，从而导致无法实现预期的投资回报。作者希望打算获取、选择或开发网络靶场的读者，会发现本文的信息是有用的指南。

参考文档

[1] Council on Foreign Relations (2018), Understanding the Proliferation of Cyber Capabilities [online], https://www.cfr.org/blog/understanding-proliferation-cybercapabilities

[2] NIST (2018), Developing Cyber Resilient Systems: A Systems Security Engineering

Approach [online] https://csrc.nist.gov/publications/detail/sp/800-160/vol-2/draft

[3] Techopedia, Platform definition, https://www.techopedia.com/definition/3411/platform

[4] Techopedia, Self-provisioning definition,

https://www.techopedia.com/definition/29433/self-provisioning

[5] NIST (2018), Cyber Ranges,

https://www.nist.gov/system/files/documents/2018/02/13/cy-ber_ranges.pdf

[6] NIST (2019), Developing Cyber Resilient Systems: A Systems Security Engineering

Ap-proach, https://csrc.nist.gov/CSRC/media/Publications/sp/800-160/vol-

2/draft/documents/sp800-160-vol2-draft-fpd.pdf

[7] Gartner (2018), Organizational Resilience Is More Than Just the Latest Trend, https://www.gartner.com/en/documents/3875514/organizational-resilience-is-more-thanjust-the-latest-t

[8] Gartner (2020), Digital Dexterity, At Gartner Digital Workplace Summit, https://www.gart-ner.com/en/conferences/na/digital-workplace-us/featured-topics/digitaldexterity

[9] ENISA (2020), European Cyber Security Challenge, https://europeancybersecuritychal-lenge.eu [10] WorldSkills (2019), https://worldskills.org

[11] Cyber Stars (2019), https://www.cyberstars.pro

[12] Geekflare (2018), 8 Cyber Attack Simulation Tools to Improve Security, https://geekflare.com/cyberattack-simulation-tools/

[13] MITRE ATT&CK, https://attack.mitre.org

[14] NIST, NICE CYBERSECURITY WORKFORCE FRAMEWORK RESOURCE

CENTER, https://www.nist.gov/itl/applied-cybersecurity/nice/nice-cybersecurityworkforce-framework-re-source-center

[15] European e-Competence Framework, A common European framework for ICT

Professionals in all industry sectors, https://www.ecompetences.eu/

[16] IBM (2019), Virtualization, https://www.ibm.com/cloud/learn/virtualization-acomplete-guide

[17] Gartner (2019), 6 Best Practices for Creating a Container Platform Strategy, https://www.gartner.com/smarterwithgartner/6-best-practices-for-creating-a-containerplatform-strategy/

[18] European Defence Agency (2018), Cyber Ranges Federation Project reaches new

mile-stone, https://www.eda.europa.eu/info-hub/press-centre/latestnews/2018/09/13/cyber-ranges-federation-project-reaches-new-milestone [19] ECHO Project, https://www.echonetwork.eu

[20] CyberSec4Europe Project, https://cybersec4europe.eu/