靶场国际前沿趋势分析—智能化业务的浪潮
作者:星期二, 六月 15, 20210

导语

赛宁网安是国际领先的专业网络靶场提供商,产品远销全球二十多个国家。通过全球化国际视角,赛宁网安在智能化靶场领域做了前沿业务探索、研究与落地。在利用训练数据产生高价值的人员评估信息、结合情报信息进行智能化攻防推演、依托靶场构建“人在环路”的安全防御运营体系等方面,进行了深入研究与工程化实践。

靶场发展历程概述

从2008年“网络曼哈顿”计划开始到现在,网络靶场从概念到落地已经走过了13年。在这十多年的发展、演进历程中,可以根据阶段性的建设主题将其划分为三个阶段,即基建阶段、演训阶段、智能化阶段。

网络靶场演进Roadmap

从2008年到2015年,可以归到靶场1.0时代(基建阶段)。在这一阶段,全球的网络靶场建设以美国军方、高校建设为主。主要目的是为网络战士、从业人员的专业知识培训提供一个基础的训练环境。其中弗吉尼亚网络靶场就是一个典型的样例。

美国网络靶场(原弗吉尼亚网络靶场的分布式版本)

从2015年到2019年,可以归为靶场2.0时代(演训阶段)。在这一阶段,网络靶场的潜在市场爆发,需求用户从传统的高校、军队扩展到民用市场,诞生了大量的民用靶场提供商。且虚拟化技术已经相对成熟,可以为靶场演训内容建设提供支持。各厂家的靶场内容“军备竞赛”成为该阶段的主题,包括标准、轻量、开箱即用的通用化内容,与复杂、高耦合、带有行业特性的红蓝对抗等。

Checkpoint网络靶场

从2020年开始,全球靶场市场开始进入靶场3.0时代(智能化阶段)。随着美军JP3-12[1]在2020年开始分权落地,网络靶场如何服务于联合作战,如何提供智能化业务来加强CMF[2],成为了最前沿的命题。这些智能化技术在CyberCOM[3]完成工程化实践后,会从NG[4]、MT[5]等公司的民用化渠道转化到全球的靶场市场,引领一次新的业务转型与发展。

JP3-12文件

总结靶场的发展历程,1.0时代是解决基建性问题,2.0时代是解决内容性问题,3.0时代是解决智能化问题。如何有效地利用数据,通过数据产生有价值的运营决策,形成靶场的核心价值。

国外靶场智能化发展

智能化发展的离不开人工智能技术。在2018年9月份,美国国防高级技术研究局DARPA提出的“AI Next”[6]战略,全面推进先进、弹性、高性能AI在信息领域的落地。人工智能技术在安全领域的落地与推进已经成为了新的浪潮。在靶场技术发展较为前沿的美国,已经有部分厂商开始研究与宣传靶场的智能化应用。

DARPA “AI Next” Campaign

人工智能技术在靶场领域的发展,主要有两个大的方向。一是采用机器学习方法,通过算力来替代重复性劳动,简化业务流程,节省时间与劳动力成本;二是通过对数据的采集与学习,形成经验策略集,根据意图提供当前状态的最优化业务处理能力。

在国外市场,位于北美的网络靶场厂家CIRCADENCE在自己的靶场产品中主打并应用了AI技术。

“随着人工智能(AI)的进步,我们知道网络靶场现在可以支持此类技术。就我们自己的Ares靶场而言,我们能够利用人工智能和机器学习来收集平台上发生的用户数据和活动。随着越来越多的用户使用Ares靶场,数据中的模式揭示了如何在尽量减少人工干预的情况下完成任务的共性和异常性。此外,分层人工智能和机器学习为网络专业人士提供了更好的预测能力,据微软称,甚至提高了网络安全的有效性,检测黑客,甚至在攻击发生之前就防止了攻击。”

—-CIRCADEBCE Ares靶场

Ares靶场通过AI技术处理平台收集的数据

埃森哲使用其网络靶场以多种方式测试工业控制系统。

“一旦红队渗透了系统,他们就会将攻击转移到网络靶场模拟中,以查看入侵者可能造成的破坏程度。埃森哲已经为几家世界上最大的石油和天然气公司以及北美最大综合公用事业系统进行了这项测试。安全团队能够捕获恶意代码,并将其部署在网络靶场内,以找出如何拒绝此类攻击或检测系统中是否存在潜在入侵者。埃森哲的化工业客户也利用网络靶场技术来测试和评估不同的系统配置和设备。这些业务与风险的见解是网络靶场测试的一个特别重要的结果。”

—-Accenture ICS 网络靶场

埃森哲ICS靶场对网络入侵进行破坏量化评估

智能化靶场特征

根据以上的信息进行归纳与总结,可以分析得出网络靶场在3.0时代的特征。这些特征阐述了在智能化时代,网络靶场来提供更清晰量化、更直观可视服务的使命与特性。

通过将传统的主观性判断、评估、研究,进行智能化地量化与呈现,网络靶场可以突破原有的应用性局限,与SIEM、SOC、SOAR等安全设备一起,共同组成“Human-in-the-loop”(人在环路)下的新安全防御体系,提供直接的安全价值。

特征一:数据产生价值

数据产生价值,从训练数据到人员评估,通过体系化架构进行评估,以符合安全业务逻辑的方式来展示结果。结构化训练数据,对原始训练数据进行结构化清洗,筛选处理冗余、缺失、异构、不一致等数据问题,保证数据价值的基础;基于RTKS模型构建评估体系框架,支撑可量化的评估结果,运用人工智能算法提取数据特征,促进适应数据不断增长及变化的评估体系发展;面向组织需求、市场发展、个人成长的评估报告,更全面更直接地支持团队发展决策及个人发展规划。

通过智能分析将人员能力数据量化

特征二:信息产生价值

信息产生价值,从探测的信息完成战术级推演,摆脱繁琐特征,实现不同战术意图的策略推演。六阶段推进战术策略推演,包括构建系统网络拓扑、构建网络沙盘环境、构建网络沙盘推演规则、实施网络沙盘攻击推演、生成攻击推演解决方案、生成防御体系构建方案。基于探测的系统网络情报,进行人工智能甄别筛选,在网络靶场中生成系统网络拓扑;根据网络沙盘模型将系统网络拓扑转换,构建网络沙盘,并基于CVE、CWE、ATT&CK等安全数据库及攻击模型初始化沙盘环境变量;根据不同战术意图生成网络攻击推演规则,进一步完成网络沙盘生态构建;基于NLP、强化学习等人工智能算法进行网络沙盘攻击推演;将攻击推演结果结合人及流程等因素构建完整的攻击方案;并同步给出防御体系构建最佳实践,支持在成本约束下获取更高防御价值;网络靶场通过战术意图策略推演不断推进网络安全在攻防双方面的信息价值化。

根据输入信息的防御体系智能推演

Cyber Resilience与智能化靶场

在2021年的RSA Conference上,Cyber resilience是主题词,也反应了在疫情影响下,组织、公司、个人如何面对网络威胁。
Cyber Resilience要求企业或者组织在面对网络威胁时,能够保持一定的弹性来做到处置、响应、恢复、重构。从传统的鲁棒性角度出发,更多的是考虑系统、设备、配置的稳定性与健壮性,是否能够依靠配置好的或自动化的策略来应对未知威胁的挑战。但考虑到“人在环路”这个概念,应该将人的能力、水平也具像化为整个安全防御、安全弹性中的一环,而且考虑到人的适应性、不确定性,更应该重点关注人员在Cyber Resilience中的影响因子。

从这个角度来看,智能化靶场可以从人员、业务流程、威胁应对、系统策略优化等方面,来加强企业的网络弹性。进而将靶场与现网安全运营结合起来,实现人员与系统的弹性覆盖。

智能化展望与总结

春江水暖鸭先知,技术发展的趋势一般是按照“DARPA->美DoD->美国防承包商->民用市场->国内市场”的路径一波一波泛起涟漪。而这波智能化的浪潮,站在全球国际市场的角度,刚好可以看到一点潮头。

在国外,靶场市场已经比较清晰的出现了三个不同种类的区分,一是安全意识培训,以Cyberay为主,面向民口市场提供基础的安全意识服务;二是基准化内容,以较为简单的功能与丰富的内容,提供了包括安全实践、应急等标准化模块内容的演练,如HTB等公司提供这样的服务;三是面向军队,提供制定项目的开发定制工作,如NG、MT负责的PCTE、JCC2、JCAP等。

反观国内市场,并没有出现一个非常清晰的划分。现阶段国内厂家更应该注重在功能、内容的建设上,以提供标准化、高质量的靶场内容为核心工作,更好的服务尚未充分开发的民用市场。

下一阶段的智能化发展,我们已经在探索与落地,希望通过我们的观察与引领,能够一同推进国内靶场市场的前进,创造与国际厂家弯道超车的机会,共同为客户提供更直观、更便利、符合业务直觉的靶场服务。

缩略语

[1]JP3-12,是美国防部发布的针对网络域联合作战的指导性发行材料;
[2]CMF,全称为Cyber Mission Force,一般代指网络军事力量;
[3]CyberCOM,全称为Cyber Command,是美军网络司令部术语缩写;
[4]NG,North Grumman,美国国防部合同承包商;
[5]MT,Mantech,美国国防部合同承包商;
[6]AI Next,DARPA 于 2018 年 9 月宣布对名为“AI Next”活动的新项目和现有项目进行超过 20 亿美元的多年投资,以定义和塑造未来。


相关文章