工業網絡靶場的分類
編者按:數字化轉型發展背景下,IT/CT/OT新技術浪潮加速,系統連接性復雜性激增,復合風險因素增多,網絡攻擊成本降低,網絡安全形勢空前復雜,工業網絡已成為網絡空間攻防對抗的主戰場。對關鍵信息基礎設施網絡攻擊的嚴重后果,對現實世界來說可能是災難性或前所未有的。當前迫切需要一種成本效益高和可復制的方法來提高網絡防御團隊的安全意識,增加OT網絡防御團隊的專業知識和技能,檢驗網絡防御技術、產品、方案的可行性和效能,等等。試驗床或工業網絡靶場正是完成這一使命的戰略選擇,即建立具有模擬工業流程的具有成本效益、可配置和可擴展的,仿真工業控制系統的網絡靶場平臺。安帝科技在工業網絡泛在化、數字化、智能化的背景下,持續探索工業網絡安全跨域、復雜、融合、動態、協同的本質特征,傾力打造虛實結合的工業網絡靶場平臺,以期滿足當前工業網絡安全能力建設中利益相關方(運營方、監管方、防御方)科研、教學、培訓、演練、對抗、比賽、測試、評估、演示等全方位需求。安帝科技工業網絡安全研究院結合近年來的實踐探索和前瞻技術跟蹤研究,推出《工業網絡靶場漫談》系列,期待與業界同行探討工業網絡靶場能力建設之道,共同推進工業網絡安全技術、能力、生態、產業高質量發展。
隨著國家網絡空間安全戰略地位的確立,從國家、區域、行業各個層級的網絡靶場建設需求應運而生。作為網絡靶場的重要分支,工業網絡靶場的研究和建設也呈現出方興未艾之勢。在工業網絡靶場相關技術快速發展的同時,其在工業網絡安全人才教育培訓、系統設備測試與檢驗、安全新技術評估與驗證、防御體系規劃與推演以及系統效能分析與評估等方面越來越多地發揮著重要的作用。
在漫談系列的前兩期,給出了工業網絡靶場的定義,介紹了工業網絡靶場的主要用途。在本文中我們將介紹工業網絡靶場分類的幾個主要維度,并對所有分類維度進行總結,最后提出自己的分類方法。
一、工業網絡靶場分類
1. 按技術實現分類
網絡靶場中現有的仿真技術包括實物仿真、虛擬機仿真、容器仿真和建模仿真等。實物仿真直接采用實物設備接入工業網絡靶場;虛擬機仿真在硬件平臺基礎上部署Hypervisor等作為管理和運行虛擬機的平臺,在虛擬機上部署操作系統、工控組態軟件或控制器仿真工具等,典型的如VMware、KVM等虛擬機,或者基于MATLAB進行過程仿真;Docker可以作為輕量級容器封裝工控相關應用;建模仿真通過對工業生產過程抽象建模,模擬工業生產過程 【 1 】 。
工業網絡靶場可根據仿真程度進行分類。通常根據其仿真程度可分為:虛擬工業網絡靶場、實物工業網絡靶場、虛實結合工業網絡靶場3類。
(1)虛擬工業網絡靶場采用虛擬機、Docker或建模仿真的方式構建工控場景。Koganti等 【 2 】 構建電網配電斷路器系統工業網絡靶場,靶場中SCADA系統、PLC及物理系統均采用虛擬方式實現。
(2)實物工業網絡靶場則直接采用實物設備,可一比一復制工控場景,具有很高的逼真度,但造價昂貴,擴展和推廣困難。典型的實物靶場如美國愛達荷國家實驗室圍繞電力、水利構建了真實SCADA測試靶場,用于支撐真實世界SCADA系統和其他控制系統的攻擊測試。
(3)虛實結合靶場將實物設備和虛擬設備相結合構建工控場景,兼顧前兩者的優點。EPIC靶場 【 3 】 基于Emulab構建網絡部分,并接入實物PLC接入,物理過程采用Simulink及其并行方案進行仿真。
Chouliaras 【 4 】 等人對網絡靶場和測試床(Testbeds,TBs)的廠商做了綜合調研,結果如圖1所示,調研發現使用實物仿真實現靶場的數量最少,使用虛擬模擬的數量最多,虛實結合的靶場位于兩者之間。
圖1 網絡靶場和測試床技術實現調研
Denis Donadel、Federico Turrin 【 7 】 等的研究中,對全球主要的50多個工業網絡靶場和測試床進行分類整理后,其中實物型的工業網絡靶場有18個,虛擬型的工業網絡靶場為21個,混合型的為22個。
2. 按任務分工分類
工業網絡靶場一般包括特定網絡環境下的多個任務團隊,每個團隊依據承擔的角色被劃分為不同的類別并以特定的顏色來標記,最多可以劃分為7種標記不同顏色的團隊,分別是紅隊、藍隊、綠隊、黃隊、白隊、灰隊和紫隊。
紅隊主要負責實施網絡攻擊,如使用病毒、惡意軟件等感染媒介攻擊用戶的計算機;藍隊主要負責保護網絡和防御攻擊,管理網絡基礎設施和應用程序的可用性和安全性;綠隊負責模擬合法用戶通過有線或無線網絡連接將其通信終端連接到紅隊管理的網絡基礎設施上;黃隊負責監控和報告網絡安全態勢信息;白隊負責創建網絡安全訓練演示場景,并監控和評判紅隊是否成功防御了由藍隊發起的網絡攻擊;灰隊負責維護正常的網絡流量和服務請求;紫隊可以視為藍隊和紅隊的集成,即同時模擬網絡進攻和防御動作和技能 【 5 】。
Chouliaras 【 4 】 等對參與靶場的用戶進行了調查,結果如圖2所示,正如預期的那樣,用戶主要參與的隊伍是藍色方和紅色方。
圖2 網絡靶場隊伍參與調研
3. 按場景目的分類
基于使用的場景和目的,目前的工業網絡靶場可以大致分為軍事國防類、科研教育類、企業商務類、政府機構類、其他應用類這5類。Ukwandu 【 6 】 等人對網絡靶場的場景目的做了調研,形成了如圖3所示的餅狀圖,可以看出用于科研教育的工業網絡靶場占了所有工業網絡靶場總數的31%,用于軍事國防和企業商務的靶場各占24%,用于政府機構的靶場占16%,其他的一些應用如開源、服務提供商加起來占到5%。
圖3 場景目的占比餅狀圖
4. 按支持協議分類
不同的工業網絡靶場和測試床會支持不同的工業協議,根據支持的工業協議的類別,可以把工業網絡靶場和測試床分為不同的類別。Conti 【 7 】 等人在論文中對各類型的工業網絡靶場和測試床對不同工業協議的支持做了詳細的總結,在此我們以餅狀圖的形式呈現各種協議在工業網絡靶場和測試床上的百分比分布情況。
圖4 工業協議占比餅狀圖
二、分類方法分析
除了上述重點介紹的幾個分類維度外,工業網絡靶場還可從行業場景(電力、冶金、港口、智能制造等)、管理方式、監控方式等維度進行分類。
收集整理了工業網絡靶場和測試床所有可用于分類的維度,并形成了如圖5所示的思維導圖,希望能對大家從不同維度理解工業網絡靶場和測試床有所幫助。
圖5 工業網絡靶場所有維度思維導圖
監控方式是指工業網絡靶場如何去監控用戶的操作、輸入路徑選擇和團隊組成,需要在不同的場景中捕捉進度并評估性能,并負責遠程用戶與平臺的連接,還需要驗證平臺的運行狀況以及提供的各種服務和場景。
管理方式是指管理層為各種用戶提供一系列接口,用來管理描述場景和用戶交互的數據的收集、存儲和分析。通過儀表板向用戶提供信息,以及每個場景的可用場景和攻擊類型。該層還管理用戶及其角色,并負責生成報告。
恢復組件確保所有策略和補丁都是最新的。該組件負責維持網絡靶場的運行狀態,執行定期備份,并限制網絡攻擊從網絡靶場泄露。該功能對于靶場事故和網絡攻擊后的數字取證至關重要。
攻擊類型組件包含對不同攻擊的描述,包括場景中漏洞的安全配置,建立漏洞數據庫,以及針對OSI模型映射的每個漏洞的高、低級別描述等。
場景組件被細分為5個子組件,專注于(1)敘述,場景必須有一個目標以及任何行動的結果,也可以加入困境和沖突來豐富學習環境。(2)領域定義了當前正在模擬的場景的上下文。(3)教育支持用戶學習完成場景所需的技能,通過指導、評分、演示、分析和以角色為基礎的方式與用戶一起回顧動作或通過具體的案例研究學習。(4)游戲化用于嵌入游戲機制,以推動和維持用戶粘性水平。(5)場景的類型可以是帶有單一目標的靜態場景,也可以是伴隨著用戶的每次行動而動態演變的場景。
測試床作為一種類型的工業網絡靶場,優先應用于OT環境。根據前面討論的工業網絡靶場分類法,我們也對測試床維度進行了總結。如圖6所示,這些維度也反應了測試床未來的發展和技術方向。
圖6 測試床所有維度思維導圖
教育部分用于探索新的安全場景,最常用于開發和確認場景,以獲得最佳的學習效果。
建模組件在新建案例中提供控制并指導流程,新建案例是在滿足一組約束條件的受控環境中創建和處理的。
生成組件提供了有關基礎技術和供應商的綜合信息,并告知部署特征。
執行組件提供實時、基于配置的、遠程等不同場景,可深入了解其對建模或測試系統行為的影響,可以對不同執行場景下的行為進行評估。
評估:測試床內的模型評估可以手動或自動完成。前者通過人工干預執行,后者需要利用考慮了系統關鍵變量的算法。
事后組件確保事件后程序的完整性,作為調查新案例的基礎,以及確認用于測試攻擊或新案例失敗的流程的有效性。標準調查和取證調查是兩種事后調查,前者用于提供詳細審查,有助于從開始到結束了解事件的每個階段。取證調查采取一種經過科學推導和驗證的方法能夠收集、驗證、識別、分析和解釋來自數字來源的證據。
學員組件包含特定模塊和績效衡量所需的特定域知識,并記錄每個學員的進度,報告通常顯示在學員儀表板中。
三、小結
隨著數字化轉型的加速發展,在工業領域推進網絡安全能力建設過程中,我們越越多地感受到了IT和OT之間的鴻溝是多么的根深蒂固。IT代表了敏捷性、可伸縮性和弱實時性,而OT則會優先考慮實時性、確定性、牢不可摧的功能安全性/可用性。IT與OT融合的融合是大勢所趨,但二者在人員、技術、流程、文化上差異的彌合與取齊仍然是一個緩慢的過程。工業網絡靶場的出現,正是展現這些差距和認知,推進二者融合的有力抓手。
研究和實踐表明,工業網絡靶場要充分發揮作用和效用,技術實現、任務團隊、場景目的、工業協議、監控方式、管理方式這6個方面是工業網絡靶場最重要的維度。如圖6所示,我們可以從這6個維度給出工業網絡靶場的不同分類,這6個維度也支撐起了工業網絡靶場的建設和應用。
圖7 工業網絡靶場6個重要維度
工業網絡靶場作為工業網絡安全問題研究的基礎平臺,具有重要的研究價值和應用價值。工業網絡靶場作為一項相對較新的、仍在發展中的技術,可以從不同的維度被分為不同的類別,并根據這些類別制定關于該主題的當前的研究趨勢。本文重點論述了工業網絡靶場分類、構建方法等問題,詳細介紹了工業網絡靶場分類的幾個主要維度,并對所有分類維度進行了總結歸納,最后提出了自己的6維分類方法。
參考文獻:
[1]孫彥斌,徐俐,陳曉,林釗滸,田志宏.工業控制系統網絡靶場發展及應用[J].保密科學技術,2021(06):37-42.
[2]KogantiV S, Ashrafuzzaman M, Jillepalli A A,et al.A Virtual Testbed for SecurityManagement of Industrial Control Systems[C].International Conference onMalicious & Unwanted Software.IEEE Computer Society, 2017.
[3]Siaterlis,C, Genge, et al. EPIC: a Testbed for Scientifically Rigorous Cyber-PhysicalSecurity Experimentation[J]. Emerging Topics in Computing, 2013.
[4]ChouliarasN , Kittes G , Kantzavelou I , et al. Cyber Ranges andTestBeds for Education, Training, and Research[J]. Applied Sciences, 2021,11(4):1809.
[5]王海濤,宋麗華.淺析網絡靶場的概念、分類與體系架構[J].保密科學技術,2021(06):4-9.
[6]UkwanduE , Farah M , Hindy H , et al. A Review of Cyber-Ranges andTest-Beds: Current and Future Trends[J]. Sensors, 2020, 20(24):7148.
[7]ContiM , Do Na Del D , Turrin F . A Survey on Industrial ControlSystem Testbeds and Datasets for Security Research[J]. 2021.
