访谈|从拟态防御到数字双胞胎 看实训、演练平台的创新
作者: 日期:2018年05月17日 阅:5,209

赛宁网安是国内知名的网络安全比赛的主办者,是国内率先引进CTF赛制并承办XCTF联赛的公司。在过去几周中,他们又先后举办了第十一届全国大学生信息安全竞赛初赛和“强网”拟态防御国际精英挑战赛。赛宁在推广网络安全赛事的同时,也在积极地创新攻防竞赛平台,为靶场、仿真安全实验室类的产品不断地带来新意。最近,安全牛记者采访了赛宁创始人兼CTO诸葛建伟老师。

诸葛建伟

个人简介

诸葛建伟博士,硕士生导师。赛宁网安首席技术官,清华大学网络科学与网络空间研究院(网研院)网络与信息安全实验室(NISL)副研究员。蓝莲花战队共同创始人与领队,XCTF联赛共同发起人与执行组织者,国内网络安全领域的知名技术书籍作者与译者。

一、从“众星”到“出海”

安全牛:今年赛宁在赛事安排上有什么计划吗?

诸葛建伟:赛宁承办的XCTF联赛是一个长跑式的年度联赛,从每年秋天开始,基本覆盖全年。对于今年XCTF,我们推出了一个众星计划,目的打造更多的明星战队。从去年WHCTF到今年大概有五六站了,都是由社区里最有实力的几个战队作为命题方,然后赛宁来提供平台的支撑。

安全牛:战队作为命题方的确会提高题目的难度,之前也有比赛这样做。那除了“众星计划”之外,还有别的项目吗?

诸葛建伟:除了“众星计划”之外,还有一个“出海计划”,这是延续去年第一次在新加坡,由我们中国自己的战队在国外组织比赛。今年,我们一方面和HITB还是保持合作,因为去年他们对合作非常满意,所以今年还是延续整个年度的合作。从四月份第一次去欧洲阿姆斯特丹,同时运维两场比赛——一场线下,一场线上,到今年八月依然在新加坡办赛。

事实上,这次我们在阿姆斯特丹办的比赛,就是为了8月HITB在新加坡的GSEC CTF来选拔入围的队伍。因为我们这次在新加坡的比赛将从传统解题模式,演变成线下攻防(AD)的模式。那对于线下攻防的这个模式,我们希望到现场的队伍能有更强的实力。不然到了线下,他们可能无法适应攻防的快节奏。然后就是十月份的HITB,在北京;还有一场可能12月在澳洲,这个还在规划过程中。

安全牛:澳洲也是和HITB吗?

诸葛建伟:不是。澳洲的比赛是和另外的学术机构合作。

安全牛:那这些参加出海计划的战队是否最终会参加到XCTF的总决赛里?

诸葛建伟:是的。基本上作为XCTF的一站,阿姆斯特丹站是作为新加坡的预赛,选拔出前十五名和线下赛的第一名,以及8月份XMan特训营的四个队伍,总共二十支队伍,进入到新加坡这一站。然后新加坡赛的冠军可以直接入围到XCTF的总决赛。

二、亚洲第一品牌CTF国际赛事

安全牛:那现在比赛的规模大概怎样?

诸葛建伟:基本上现在线上比赛都是五百支以上国内外队伍,重点赛事上千支队伍。然后根据出题难度,大概两三百到三四百的队伍能得分。因为国际赛的赛题都是XCTF社区中最强的队伍出的,而且这些队伍在国际上有些都已经进入了CTFTime前一百。因此赛题难度都非常高。

安全牛:那现在国际队伍能占到多少?

诸葛建伟:至少一半以上。经过我们去年一年的打造,XCTF已经成为亚洲第一品牌的联赛赛事。从参赛人数上来说是亚洲最大的。而且如韩国、日本最优秀的队伍都已经拿到了我们XCTF决赛的入场券。像日本最强的TokyoWesterns,还有韩国大学的Cykor,BOB计划里的学生,以及2015年DefCon冠军里的战队。

安全牛:今年奖金能到多少呢?

诸葛建伟:线上比赛的奖金就按照国际标准,也不会很高。一场线上赛,冠军一般就是一千美金到两千美金这个级别。然后总决赛我们也会延续去年的传统,可能就是一两万美金——去年就是两万美金。毕竟我们也不是靠奖金来吸引参赛者,还是要靠质量、国际影响力来吸引参赛群体。比如DefCon这种世界顶尖的赛事,都是不设奖金的,只有代表荣誉的八块奖牌。

安全牛:赛宁还出自己的战队吗?

诸葛建伟:我们不会在自己承办的比赛里出战队比赛。但是我们可能会参加其他组织举办的,一些比较前沿的比赛,比如在去年的汽车破解赛中获得第二名的成绩。

三、创新:从容器支撑到全面的安全能力

安全牛:比赛最重要的技术支撑是攻防平台,在这个方面有什么变化吗?

诸葛建伟:其实在最近我们举办两场比较重要的比赛里就体现了我们的技术创新:一个是五一前结束的第十一届全国大学生信息安全竞赛的初赛。在这个比赛中攻防平台要适应300多支的参赛队伍,这个数字是中国史上大学生信息安全竞赛参赛队伍最多和队员人数最多的。我们和华为云合作,把比赛平台云化。并且每个队伍都是一个完全隔离的赛题环境,30多个题目,300多支参赛队伍,都拥有一个自己独立的容器,也就是说我们基本上构造了近一万个赛题容器。每个队伍的参赛环境互不干扰,而且在这些容器里实现了动态flag,结合对流量的分析以及赛后解题报告的分析,有效地解决了这两年大学生信息安全竞赛经常被诟病的,作弊无法检测的情况。

安全牛:毕竟答同一个考卷,很容易把答案给别人。再者容器从成本上而言,肯定也比虚拟机或物理机有很大的优势。

诸葛建伟:以前是用公有云上的虚拟机,这次我们是到了容器级别。一方面是用容器云降低一场比赛提供近一万个环境的成本。另一方面把参赛环境做隔离成为了可能。

安全牛:除了技术创新,在赛制方面呢,我知道网络安全比赛似乎一向偏解题,缺少真正的企业环境需要的安全能力?

诸葛建伟:实际上,我们一直在努力改变这种情况。在最近的全国大学生信息安全竞赛上,对赛制做了两个创新。一个是我们提供了基础知识题,虽然我们考察的是学生的动手能力,但是基础知识这块不能丢。这次我们是通过给所有队伍并发且计时的选择题。之前的大学生国赛没有这类选择题。

另一个创新是在半决赛到决赛的阶段,我们引入了:Build It, Break It & Fix It,这种三环节的方式。先是Build It这个环节,我们希望能考验队伍的创造能力,所以今年我们会要求参赛队伍根据一个应用场景的设计和开发的需求来构建安全的应用,也就是首先要学会安全开发。

然后是比赛阶段的Break It环节,主要检测挖掘漏洞和利用的能力。最后是Fix It环节,这个是要考验安全运维和安全修复能力,可以考验安全运维人员能不能在没有源代码的情况,特别是对于在脚本语言中发现的安全问题进行修复。

所以这个赛制就是要综合三个能力:创新和安全开发能力、安全检测和攻击的能力以及运维和修补的能力。这就是要引领大学生信息安全竞赛的一个方向,要反馈到网络安全一级学科,课外实训竞赛的一个方向,以建立相关专业学生的综合能力。

四、强网杯测试拟态防御

安全牛:现在做比赛或仿真平台的厂商越来越多了。你认为这个领域的产品需求体现在哪里?

诸葛建伟:分两种。一种是人员能力的提升,像针对教育、公安、部队的实训平台。另一种对于企业用户,则靶场更贴近于他们的需求。比如,企业研发的新的业务系统上线之前要进行攻防测试,靶场则提供了一个很好的支撑平台选型。最值得关注的是,这次在“强网杯”的国际精英挑战赛上,我们用靶场来测试邬江兴院士提出的拟态防御技术。

安全牛:能否具体介绍一下?

诸葛建伟:首先经过“强网杯”的线下攻防选拔,选出20强的队伍,同时邀请了4支国际最顶尖的白帽竞赛队伍,再加上国内一些企业的精英队——包括360,以比赛的形式在靶场环境里来测试拟态环境。包括路由器、防火墙、DNS服务器和Web服务器等,可以构建一个启动环境,比如政府的门户网站。这个环境和其中的设备,通过两种方式进行对比测试:一种是拟态防御前,给参赛队伍测试:这会存在供应链方面的一些问题,会因为用开源代码有一些预设的漏洞,即使是硬件,上面跑的一些软件也存在安全漏洞——这些我们都会提供源代码或者商业软件的接口给队伍。这样他们就能对比拟态防御前以及拟态防御后的不同环境。

第二个测试就是完全突破的测试:一个是利用已知漏洞尝试破解,另一个是让参赛者事先植入一个后门,然后再上线拟态防御,看看参赛者能否利用预设后门突破拟态防御,得到最终保护的敏感信息。

安全牛:能否从您的角度谈一下拟态防御的技术原理,以及和欺骗防御的区别?

诸葛建伟:拟态防御基于一个理念——结构决定安全。网络环境采用多个异构、冗余的执行体。前面是一个做输入请求的分发模块,可以把访问请求分发到多个执行体。但是它和欺骗防御不同的是,每个执行体都参与决策,不存在主体和伪造体之分,所以存在的漏洞和漏洞能造成的影响是不同的。对于攻击者而言,想要成功必须攻破大多数的执行体。但是这种概率非常低,因为分发之后有一个判断体,对多个执行体提供的反馈进行判定执行情况,需要一致的结论才能通过。如果有不一致的情况,会有一个动态机制去替换可能出问题的模块。所以,这是一个“入侵容忍”的系统。另外,拟态就是一个处理流程,本身不开放服务,所以不大可能在处理流动的信息过程中被攻击者利用。

(编者注:本文成稿前,“强网拟态国际精英挑战赛”已经结束,共有来自中国、俄罗斯、日本等22支战队对拟态系统展开50余万次的攻击,最终没有战队能够完整突破防御。本次比赛由赛宁网安提供的靶场平台,通过虚实结合技术和第三方系统的联动,快速构建了四种不同安全隐患的场景。此外,攻防过程还可记录并回放赛事中的攻防流量,赛后可根据数据类型进行大数据分析,实现赛况重现。)

五、实训平台提升人员安全能力

安全牛:从商业角度来看,赛宁的技术优势或者知识积累的优势在哪里?

诸葛建伟:实战型的实训平台——包括教学、课件、实验、模拟环境以及一些基本的考试、练习等,这是满足现在教育行业对网络安全能力的实训,尤其在公安、部队更是如此。这类产品的优势主要是看内容,因为产品的功能大家基本都能做到。赛宁最核心的优势就在于内容的持续更新和实时更新。比如积极参加网络空间安全一级学科的体系研究。我们已经按照教指委的大纲要求打造了一个适合本科专业的教学体系和实验体系,业内其他友商可能较少地从教学的角度来思考实训平台的内容体系构建。

另一个优势在于赛宁作为XCTF连续四年的承办方,包括相关的蓝莲花队伍在参加国内外的信息安全竞赛,所以关于CTF国外竞赛和行业岗位资源,在国内非常领先。第三点是我们针对不同行业量身打造的一些案例库,包括一些真实漏洞的漏洞库。我们现在和清华大学合作有一个项目,打造一个利用大数据去进行全网挖掘和分析的公开网络安全威胁资源库。这个漏洞资源库未来可以持续性地在实训平台上,开展真实漏洞靶标的构建和演练。

还有就是攻防演练竞赛平台。这个比赛平台不仅仅支撑比赛,企业内部有时候也是需要演练,包括部队里的日常训练。这块产品的核心就是赛制的设置,演练的方式以及支撑的性能等能力。尤其是性能方面是能有很多优化的地方:比如我们现在的方式就是容器模式,所以很多应用层上的挑战,我们都可以在容器里去解决。就像这次大学生信息安全竞赛,2300多人的比赛,在华为云上直接用了容器。所以我们能通过更低的成本来实现更大规模的比赛和企业内部的演训。有些用户的需求更加贴近真实,这就需要我们在技术上进行一些创新,比如在私有云的框架下,放置一些agent来监控节点的状态,包括敏感数据的访问、篡改等。

六、靶场的“数字双胞胎”理念

诸葛建伟:刚才说到对于企业用户,靶场最贴近他们的需求。虽然从国家级靶场到企业级靶场都有各自不同的需求,但里面最核心的是“数字双胞胎”的概念。即能够把业务系统,通过资源共享把它复制出来。然后对复制后系统进行测试,完全不会影响到真实的业务系统。

安全牛:这种数字双胞胎的技术关键点在哪里?

诸葛建伟:不同的客户,不同级别的靶场建设,有着不同的需求。但是最关键的需求是如何快速或者自动地摸清业务系统的网络拓扑结构,发现核心资产和核心设备,然后快速地完成硬件的虚拟化和靶场平台里的虚拟节点。另外,考虑到成本因素,我们不可能把业务系统中所有服务器都复制,所以对于一些应用层的东西,我们需要把它们容器化,也就是在有限的硬件资源下,能够尽可能复制出对安全测试所需要的特性。然后复制出来之后还需要对它的特性和它的威胁做建模,构建一些正常的业务流量的模拟,在一个比较真实的环境里引入一些未来可以引入的策略,构建各种不同的环境,来对业务环境,业务系统进行一个更高强度的测试。这样才能保证业务系统研发的新产品具有更高的安全级别。

安全牛:这种靶场的实现方案成本会很大吗?

诸葛建伟:还是看不同的客户的建设规模和需求,现在靶场还不是一个很标准化的产品,是一个比较偏定制化的项目。但我们会逐渐地把行业的客户通用的需求提炼出来,形成一些标准化的,通用化的产品;或者说一些标准化的构建库。

安全牛:赛宁已经成立了四年多,目前的发展情况如何,未来又有什么计划呢?

诸葛建伟:虽然赛宁已经成立四年多了,但是前三年我们就做了一件事:就是把XCTF打造成亚洲第一的网络攻防赛事品牌。从去年开始,我们才开始面向高校、公安、部队等行业推广我们的实训平台和竞赛平台的标准化产品。刚才也介绍过了,从技术上来说,我们在业内非常具有竞争力。因此,我们目标是两三年内,把这两款产品做到业内第一。

至于靶场这类产品我们现在还是主要还是在做项目定制模式,以后逐渐标准化,做成面向满足企业的安全测试和安全能力演练需求的产品。用概况的语言总结一下,数字化时代,每家企业或机构都需要对自己的网络资产,业务系统有一个精准的分析和认知,并具备一支能应对各种安全事件的网络安全团队,解决好这两件事情就是赛宁的技术理念和业务发展方向。

安全牛评

基于XCTF国际联赛的影响力和相关经验积累,赛宁成为国内首家结合了学校教育与企业实际需求的实训、演练平台提供商,无论是内容还是技术,都很好的体现了产、学、研、用的科技发展思路。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章