数字化转型下的工业网络安全挑战与靶场平台解决方案

hwyzw

    编者注

    在数字化转型发展背景下，IT/CT/OT新技术浪潮不断加速，系统连接复杂度不断增加，复合风险因素增多，网络攻击成本不断下降，网络安全形势严峻。前所未有的复杂。工业网络已成为网络空间攻防对抗的主战场。 。对关键信息基础设施进行网络攻击的严重后果可能是灾难性的，或者在现实世界中是前所未有的。迫切需要一种经济有效、可复制的方法来提高网络防御团队的安全意识，增加OT网络防御团队的专业知识和技能，检验网络防御技术、产品、解决方案的可行性和有效性测试床或工业网络范围是完成这一使命的战略选择，即建立一个经济高效、可配置和可扩展的网络范围平台，用于模拟工业过程和仿真工业控制系统。在工业网络泛在化、数字化、智能化的背景下，安泰科技不断探索工业网络安全跨域、复杂、集成、动态、协同的本质特征，着力打造虚拟与现实相结合的工业网络靶场平台，为满足当前工业网络安全能力建设中，各利益相关方（运营商、监管方、维护方）对科研、教学、培训、演练、对抗、竞赛、测试、评估、示范等全方位的需求。安泰工业网络安全研究院结合近年来的实践探索和前瞻性技术跟踪研究，推出了“工业网络范围畅谈”系列。我们期待与业界同行共同探讨如何构建工业网络范围能力，共同推动工业网络安全技术、能力以及生态和产业的高质量发展。

    由于网络空间作为独立的军事领域被视为继陆、海、空、天之后的第五个领域——美国国防部于2011年正式将网络空间视为第五个军事维度，而北约直到2016年才迟来的承认网络空间为第五个军事维度。一个作战领域——世界各国都在争先恐后地制定网络安全战略，包括开发、利用和获取网络能力。网络能力被认为是国家用来通过网络空间对抗或投射影响力的资源和资产。基于这样的背景，早期的网络靶场是用于网络战训练和网络技术开发的虚拟环境。它提供的工具有助于增强政府和军事部门使用的网络基础设施和 IT 系统的稳定性、安全性和性能。多年来，这些平台已经从本地硬件和软件解决方案发展成为许多公司、大学和政府组织提供的云托管和本地平台的综合体。网络靶场的应用领域已发展到包括安全教育、安全培训和技能评估、网络弹性的开发和评估以及数字敏捷性的开发。

    毫无疑问，网络靶场作为军事领域最早开发的应用，在早期服务于非常特定的用户群体和非常特定的用例。随着网络靶场应用的数量和可扩展性要求的增加，它们的可用性与越来越多的附加功能和价值密切相关，这些附加功能和价值远远超出了提供 ICT/OT 模拟表示的原始基础设施的功能和价值。价值。

    1.网络射击场的概念

    网络靶场的概念出现在2006年左右，当时合肥、江苏等公司开始为客户提供网络靶场平台。近年来网络靶场蓬勃发展的主要驱动力之一是虚拟化和云计算技术的商业化和服务化应用。加之网络攻击泛化趋势日益明显，网络范围已完全超越信息战、网络战等军事应用。需求类别。

    网络范围可以通过不同的方式定义。事实上，虽然目前越来越多的网络靶场技术和产品进入国际市场，但网络靶场彼此之间却存在很大差异。科技百科（）在2012年6月更新的条目中解释说，网络靶场是用于网络战训练和网络技术开发的虚拟环境。它提供的工具有助于增强政府和军事机构使用的网络基础设施和 IT 系统的稳定性、安全性和性能。网络靶场的功能与射击场或动能靶场类似，有助于武器、行动或战术方面的训练。因此，各机构雇用的网络战士和 IT 专业人员培训、开发和测试网络范围技术，以确保一致的操作并为现实世界的部署做好准备。

    从广义上讲，网络范围可以通过两种方式之一定义。

    模拟环境——网络靶场的这种观点侧重于网络靶场传统上提供的内容，即用于各种目的的 ICT 和/或 OT 环境的模拟。例如，美国国家标准与技术研究所（NIST）提供的解释通过将其称为模拟环境来定义网络范围，但没有提及其提供的服务和/或功能，即不是专门用于产品开发的。以及用于安全态势测试的通用模拟环境。

    NIST 将网络范围定义为：“连接到模拟水平环境的组织本地网络、系统、工具和应用程序的交互式模拟表示。它们提供了一个安全、合法的环境来获得实践网络技能，并为产品开发和安全态势测试提供了一个安全的环境。网络靶场可以包括实际的硬件和软件，或者可以是真实和虚拟组件的组合。靶场环境的互联网部分不仅可以包括模拟流量，还可以包括客户所需的网页浏览。复制服务器和电子邮件等网络服务。”

   

    平台——在网络靶场的背景下，平台可以是用于创建和使用模拟环境的一组技术。这里的重点是“使用”一词，因为要用于特定目的的网络靶场，网络靶场必须具有附加功能并向最终用户公开特定功能。

    欧洲网络安全组织（ECSO）网络靶场定义：“网络靶场是开发、交付和使用交互式模拟环境的平台。模拟环境是组织的 ICT、OT、移动和物理系统、应用程序和基础设施的表示，包括模拟攻击、用户及其活动，以及模拟环境可能依赖的任何其他互联网、公共或第三方服务。 Cyber​​ Range 包括核心技术和附加组件的组合，用于实施和使用模拟环境。实施特定网络靶场用例所必需或必要的。”

    无论将网络靶场定义为模拟环境还是平台，现实情况是大多数网络靶场用例都需要超越纯粹模拟环境的一项或多项功能。

    2.定义工业网络范围

    随着关键信息基础设施成为网络攻防对抗的前沿，工业网络靶场的应用需求逐渐扩大，成为网络安全技术验证、网络工具测试、攻防对抗演练、科研实验、教育等的支撑。工业网络安全领域的培训和网络。风险评估等构建工业网络安全能力的重要手段。

    通过文献调查发现，不同机构对产业网络范围的描述存在差异。国外文献中常用的相关术语有ICS网络靶场、赛博靶场、IoT网络靶场、Cyber​​-range等，而中文文献中的术语有“工业控制网络靶场”、“工业网络靶场”和“工业安全射击场”。无论从组件、基础设施、构建技术、功能和服务、应用对象等方面进行描述，目前工业网络范围或工业控制系统范围和测试床还没有规范、标准或权威的定义。也恰恰说明这是一个新兴的细分领域，也是一个人人都能施展才华、潜力巨大的新舞台。

    美国国家标准与技术研究所 (NIST) 将网络范围定义为组织本地网络、系统、工具和应用程序的交互式模拟表示。它专为培训信息和通信技术（ICT）专业人员而设计。提供一个真实世界的平台来处理各种网络攻击和网络战场景。

    因此，测试台（TB）被定义为“具有模拟工业流程的可配置和可扩展的网络范围。测试台是最接近工业网络靶场的概念。网络靶场和试验台能够训练面对网络攻击时的操作技术（OT）网络人员，提高网络态势感知能力。两者应该是互补的，因为 OT 和 ICT 网络和通信的进步，以及物联网 (IoT) 和工业物联网 (IIoT) 跨行业的采用可以创建复制一系列网络攻击的场景。可识别的环境可增强操作员和用户的培训，以识别和减轻网络入侵。模拟环境中的培训可加速最佳实践的有效学习，“实时”动态交互可促进对任何行动后果的更深入理解。阶段，有助于建立具有不同复杂程度的扩展范围的攻击场景。用户组还可以在远程访问平台上进行培训，以定义、优化和评估协作响应网络攻击的影响。团体培训涉及多个团队，包括不同的知识集，从而提高组织的网络态势感知能力。并缩短识别和追捕网络攻击的响应时间。

    与网络范围的不同描述维度类似，工业网络范围也可以从不同的角度进行描述或定义。例如，从建设目的（科研、训练、演习、教学、测试、作战/作战、示范、发展）、目标行业（学术、教育、军事、政府、企业）、环境（示范、发展、测试、模拟、仿真、混合/网络物理）、平台技术（基础设施平台、VM、、、、公有云AWS、QEMU/KVM、、、）、数据集（有/无、按需、在线）、云计算部署方法（私有云、公有云、社区/行业云、混合云、即代码（IaC））等

   

    基于工业网络安全的行业特殊性和复杂性，结合近年来的实践探索，将工业网络射击范围定义为：

    一个可配置、可扩展、经济高效的混合平台，可以映射真实的 IT/OT 运营环境，并实现（虚拟、物理）OT 环境特定硬件资源（例如来自不同供应商的 PLC、HMI 等）的批量集成。数据库、SCADA、服务器等），同时模拟各种工业过程场景和IT/OT攻击场景，将虚拟化IT/OT网络与工业过程仿真模型相结合，为科研、教育、培训、演练等提供安全可靠的保障。对抗,竞赛、展示及其他功能和服务。使用的技术包括软件定义网络、数字孪生、适用于 OT 环境的 SIEM、资产管理、网络可视性、威胁搜寻、移动目标防御等。例如，攻击效果演示允许用户亲自体验网络操纵效果可能对运行进程产生的物理影响。

    虽然不同行业的不同用户有不同的应用需求，但工业网络范围的最终目标通常至少有三个。首先是提高OT运营商的网络安全意识，包括提高攻击者策略、技术和程序（TTP）的意识。 ）检测和响应网络攻击的意识。二是提高IT运营商的工业网络安全意识（工业设备、工业协议、业务连续性），包括了解系统运行、物理过程的相互依赖以及可视化攻击的影响。三是对IT和OT团队的技术、流程和文化施加影响，系统性地提高工业网络弹性。

    3、工业网络射击场发展方向

    由于数字化转型加速发展，IT和OT呈现“你中有我、我中有你”的趋势。现代工业网络范围应不断增加新的功能，如各种电信功能、模拟智能电网、自动驾驶汽车、虚拟网络运营中心、无线传感器网络、实时入侵检测系统、蜜罐、新的身份验证机制、零信任安全策略、移动安全场景以及一些隐私保护机制。通过添加这些功能，可以在测试平台上轻松部署更多新的攻击场景，揭示各种系统的漏洞，从而使研究人员有机会开发创新的防御机制。工业网络靶场能够连接到具有各种现实世界设备的网络，使其成为发起攻击和测试各种系统防御机制的理想方式。另一个重点是能够在有限的人工干预下以半自动化方式创建可测量的数据。

    工业网络靶场应该是便携式的，易于演示，并且易于在各种网络安全事件中作为现代教学工具进行部署。此外，围绕工业网络范围建立的研究中心可以为研究人员提供远程访问功能。最后，从传统网络范围转向数字孪生的需求是在不久的将来将成为主导的趋势，特别是在复制关键基础设施方面。

    的实践表明，工业网络靶场要充分发挥其作用和功效，需要具备监控、学习、管理、团队、环境、场景六大特征。未来，工业网络范围建设能力将重点关注实时自动化配置技术、智能化、移动化、集成技术、增强现实技术、5G通信技术、集装箱化技术等创新应用，突破重点难点技术，不断提升靶场平台的易用性、实用性和易用性，适应智能信息物理系统、智慧城市、航天卫星行业等更广泛的行业场景。