郭金所
(最高人民检察院检察技术信息研究中心 北京 100726)
(gjs616@126.com)
网络靶场是开展专业化网络攻防对抗、研发网络安全高新技术和提升网络攻防技术能力的重要基础设施和平台.在网络空间这个没有硝烟的战场,敌我双方围绕制网权、制信息权的对抗日益激烈,新技术、新手段、新应用、新方法、新策略等不断出现.建立面向实战对抗需求的实网攻防支撑环境,在不影响业务正常运营的前提下,直接在真实网络环境开展对抗,这种方式更加真实、贴近实战[1].也是提升网络安全技术能力、促进网络安全管理工作长远发展的重要举措.
实网攻防靶场环境是针对网络攻防演练和网络新技术验证评测的重要基础设施,世界各国均将网络攻防靶场平台建设作为支撑网络空间安全技术演示验证、攻防对抗演练和网络安全风险评估的重要抓手:美国政府率先开始了网络安全靶场的设计和运营,不但在各行业构建了小型靶场,还设计组建国家网络安全靶场[2-4];英国自行创建了国家网络安全靶场,还将部分靶场与美国“国家网络安全靶场”实现了联网运行,建立了联合网络安全靶场;欧洲防务署也专门批准了网络攻防测试靶场的建设计划[5].我国中科院计算所、北京邮电大学、国防科技大学、四川大学、CNCERT、哈尔滨工业大学等研究机构已经建立了网络安全靶场[6];电力行业、交通行业、电子行业等也建立了基于行业特点的攻防靶场平台.这些平台主要是基于网络安全仿真技术,开展产品试验和检测以及攻防对抗演习等模拟性、仿真性、测试性的工作[7-9].真正意义上的基于实网环境下的攻防平台目前国内还没有成熟的案例,这是因为我国攻防平台技术发展起步相对较晚,还处于起步发展阶段.现阶段国内各安全厂商主要围绕基于仿真和虚拟化技术开展网络靶场平台产品及技术研发.网络靶场涉及大规模网络仿真、网络流量/服务与用户行为模拟、试验数据采集与评估、系统安全与管理等多项复杂的理论和技术[2].这些网络靶场在建设成本、网络规模、环境复杂度、复现仿真程度和行业应用场景上存在巨大差异[10].
经过长期的研究探索和归纳总结,本文认为基于仿真和虚拟化技术的网络靶场平台在新网络空间真实目标、真实对抗的实网环境下存在以下主要问题:通过虚拟化仿真技术模拟的业务系统相对真实业务系统存在数据实时流转滞后性、基础网络环境局限性、内置攻击路径和漏洞利用单一固化性.无法满足在实网环境下“事前、事中、事后”实现“全程监控、全程审计、全程录屏、全程录像”安全需求;无法开展实网数据分析和挖掘以及分析研判网络安全态势工作;整个攻防演练全流程工作无法达到近似或者等同实网环境下的业务系统演练防护效果.
真实环境下的实网攻防是网络安全中最能检验安全防御能力、发现当前网络环境存在安全风险的有效方式.本文致力于研究设计一套基于实网环境的攻防平台,用于支撑实网环境下的攻防实战演练工作,实现持续性监控与分析,主动式威胁探索,通过实战演练切实提升安全人员的网络安全综合防御能力.基本设计思路是:
实网攻防平台立足于从仿真模拟技术向实网对抗技术升级的技术理念.首先,平台技术架构应满足安全可靠、自主可控,可以支撑海量流量数据,实现海量数据的实时分析、实时建模、实时管控的目标.其次,平台具备智能化和自动化的能力,可基于历史攻防数据进行深度挖掘并多维度关联分析,支撑体现APT级别技战法;基于“人地网关系”模型,具备网络空间的“挂图作战”能力,可以实时展示攻防对抗过程及安全能力.最后,通过实网攻防平台开展实战演练可以有效检测安全防护体的系防护效果,为安全能力缺陷查找和补齐安全短板工作提供支撑.
根据实网攻防平台建设思路和设计要点,实网攻防平台技术架构设计如图1所示.
图1 实网攻防平台技术架构
实网攻防平台由攻防能力对抗空间、攻防对抗安全管控、安全态势分析展示、指挥调度挂图作战、安全大数据平台5大模块组成.5大模块协同工作支撑基于实网攻防平台的实演活动.
在实网环境开展实战化的攻防对抗能够真实再现攻击方和防御方2端的安全能力,因此实网攻防平台应围绕以人为本的攻防对抗理念展开设计[11].
为了保证演习中攻击方、防守方、支撑队伍等所有参与人员行为和武器工具等在“事前、事中、事后”全程可管可控,本文首先构建了可信可控的实战攻防能力对抗空间.
攻防能力对抗空间设计结构与实战相结合,分为攻击体系、对抗技术、防御体系3个维度.每个维度从认证授权、终端接入、武器审查、行为及影响控制等全链路关键技术研究入手,形成了基于安全能力的零信任架构访问控制、基于可信架构与安全能力的云管端全封闭安全管控体系,以及基于攻击源实时动态隐蔽的攻击网络,以实现演习全程安全可控[12].
第一,以零信任的安全理念进行关键的访问控制技术设计,打造攻防对抗信任基础.
第二,基于云管端进行攻防演练平台全方位安全管控设计,实现三位一体安全能力.云端:平台设计具备本地云化部署的管控中心,对虚拟化环境和应用进行可信管理,并基于密码技术构建可信传输通道.管端:基于端到端网络层攻击链路技术,构建安全攻击通道,结合操作系统底层技术,从终端、准入、过程、存储等多维度保障实网攻防平台接入管道,实现强制接入全封闭终端可信管控.端端:多因子认证和链路可信接入终端和可信管控设计的方案,可以实现攻防装备工具安全检测,在攻防演练中只允许受信装备工具的执行操作.
第三,研发攻击源实时动态隐蔽技术,实战化开展攻防.基于海量IP的连接源预置缓存、随机联接IP弹性分配等技术,在确保攻击流量和安全管控不间断的前提下,研发攻击源实时动态隐蔽技术.围绕多对多的数据链隐蔽真实攻击者信息,实现攻击实战化的功能.
通过以上关键创新技术构建自主可控、安全可靠的实战攻防空间,实现从“仿真”模拟技术向实网对抗技术升级转变.
有了自主可控、安全可靠的实战攻防空间和升级的实网对抗技术,下一步需要解决的是如何体现展示实际攻防对抗能力,尤其是支撑APT级技战法的能力[13].
攻防对抗安全管控从以下3个方面进行全管控设计:
1) 基于可信多因子认证授权机制,实现对攻防全流程、全阶段的安全管控;
2) 创建检测与预警机制,实现对攻防双方全流程管控以及对非演练真实恶意攻击行为快速告警;
3) 支持功能拓展接入,支持syslog、API接口、DMDB等多种方式接入多源数据.
安全态势分析展示模块将攻防对抗的实时动作情况进行呈现.通过云监控、流量解析、安全大数据分析等技术进行数据可视化呈现,形成实战演习的全周期安全态势展示,从安全隐患的角度对整体的网络安全态势进行分析,包括攻击手段、网络武器、漏洞利用、管理缺陷、安全缺陷以及集权系统利用等,每个维度均可进行下钻查看.
通过对提取的攻击数据进行机器学习最终实现高精准的攻击链检测与还原.以Lockheed Martin开发的Cybe Kill Chain(网络杀伤链)为依据,按照攻击链的理论映射到攻击链模型上.通过观察入侵动作在攻击链的位置信息,预测该入侵事件的下一步信息,感知当前区域的成功攻击情况,真实刻画该区域的安全态势.安全态势分析展示设计分为攻击态势监测、战况总览、实况展示、实时排行展示、攻防技战法,攻防成果方面展示.态势分析呈现突破传统表格、图表组合呈现方式,以3D立体场景呈现,提高信息表达的准确性和有效性,促进用户理解和直观感受.
对态势研判数据结合防守方业务系统及网络设施信息,研判可能被利用的漏洞.基于安全防护体系的脆弱信息进行模拟APT威胁态势感知分析.达到综合评估安全防御体系的防护能力,为安全缺陷查找和补齐安全短板工作提供依据支撑.
指挥调度挂图作战模块实现保障实网攻防顺利开展及突发事件紧急处置,供指挥部掌控全局情况、下达临场指挥命令.
不同的领域,对“人、财、物”需求的解读是不同的,而在网络安全领域如果能够重点关注“人、财、物”要素,将会显著提升网络空间的安全防护水平.基于网络空间测绘技术融合网络安全事件和网络空间资产数据,从地理、资产、事件3个维度描述网络空间资源的分布和属性,从社会人、网络、地理空间与数字化信息数据间的关联关系建立“人地网关系”模型.网络空间地图主要包括网络空间要素可视化表达、网络空间关系可视化描述和网络安全事件可视化分析等.根据网络空间要素自身的结构和特点,并结合网络安全业务需求,本文将网络空间要素划分为地理环境、网络环境、行为主体和业务环境4个层次,各要素之间相互联系、相互影响,共同构成网络空间要素体系.网络空间要素可视化表达主要分析网络空间要素的类型、层次、时空基准、表达标准和尺度问题,并以网络空间地理图谱的形式进行展示.网络空间要素表达以网络空间地理测绘及地图构建为基础,将地理空间中网络地理实体抽象为多尺度的空间对象,利用网络探测成果与网络拓扑结构数据,结合空间链接与实体映射,构建网络空间地图,最终实现网络空间的“挂图作战”.
安全大数据平台模块提供安全赋能,基于数据的采集、脱敏、存储、检索、融合分析的设计理念[14],安全大数据平台汇聚管理安全数据采集与脱敏子系统、EB级海量数据存储子系统、多源异构数据协同子系统、海量数据检索引擎以及云地结合智能分析子系统等构成.充分利用网络安全多维度数据实现解决APT级攻击防御的问题.
1) 安全数据采集与脱敏子系统.通过采集多来源的安全数据为实网攻防平台提供安全能力数据来源,采用基于网关代理模式的动态脱敏技术,实现实时模糊敏感数据的效果.
2) EB级海量数据存储子系统.存储计算子系统实现安全大数据的实时汇聚存储及计算平台支撑,用于存储由安全大数据采集来的程序文件样本、程序行为日志、DNS解析记录、网络流量数据、物联网安全数据等数据,提供多维数据支撑.
3) 多源异构数据协同子系统.采用异构大数据动态融合方法,对原始数据从对象、属性、关系等多个层级进行抽象,描绘和关联,以分层聚类和迭代演进的方式对海量异构数据的结构进行全自动梳理和融合,最终实现信息安全业务逻辑数据模型的自动构建.
4) 海量数据检索引擎.数据检索引擎实现海量结构化数据检索的秒级响应,建立可支持多源数据联合、高效快速的轻量统一查询入口.通过系统配置可兼容不同执行引擎下的元信息,从而实现对不同数据源的联合访问,解决处理多数据源的复杂性问题.
5) 云地结合智能分析子系统.基于云端的多维度海量网络安全数据进行情报挖掘与云端关联分析,识别各种安全威胁,包括僵木蠕毒、APT攻击、DDoS攻击、漏洞攻击等,并将威胁情报以可机读格式推送到实网攻防平台本地. 攻防平台本地基于深度学习的恶意软件样本智能识别方法、钓鱼邮件检测方法以及基于云网站应用漏洞扫描技术实现内部安全威胁的检测和溯源分析.
实网攻防演习工作整体框架由组织单位、实网攻防平台、攻击队伍、防守队伍4部分组成.攻击队、防守队为专业网络安全人员,攻击队和防守队通过可信接入方式接入到实战攻防平台进行演练工作,架构设计如图2所示[15]:
图2 实网攻防平台模块运转
实网攻防平台作为实战攻防演练活动的支撑平台,其中攻防能力对抗空间与攻防对抗安全管控2大模块是支撑实网攻防平台运行的基础实施层,实现对攻击方资源、监控资源和防守方资源的管理与调配.安全大数据平台模块实现对攻击队和防守队演练过程中所有数据流量的采集、清洗、分析、存储和关联分析.指挥调度挂图作战为攻防演习提供了攻击实施环境管控、实时战况展示、演习指挥调度、安全隐患分析、攻防双方成绩评审、安全审计等攻防演习全流程支撑.安全态势分析展示模块实时呈现攻防对抗的情况,通过大屏数据可视化呈现,形成实战演习的全周期安全态势展现,并对整体的网络安全态势进行深度展示分析.
实网攻防平台可以有效支撑实网攻防演练活动安全运行,发现并暴露当前网络安全体系存在的问题,结合现有的安全技术理念,总结存在的不足及问题,规划并推动参演单位不断完善网络安全建设,提升网络安全防护能力.
本文从当前国内实网攻防平台的需求出发,分析了目前基于仿真技术网络靶场的不足之处,创新性地设计了一套基于实网环境的攻防平台包含的技术架构、思路和技术方法.该技术架构设计不仅可以满足在实网环境下开展实战攻防演练,还能够实现实网安全技术研究、安全人才培养、安全测试、产品赋能以及安全态势推演工作,对国内实网攻防技术及产品的研发具有指导意义.