網絡靶場(cyber range)可用于指導、測試和評估網絡武器效能,演練網絡空間漏洞分析、漏洞挖掘,培養(yǎng)網絡人員。近年來,作為支撐網絡安全戰(zhàn)略建設的重要基礎設施,網絡靶場正在成為世界各國搶先布局的網絡作戰(zhàn)新高地。特別是對網絡靶場投入建設較早且效果顯著的美國,早在2008年就啟動“國家數位靶場”(NCR)計劃,并于2017年啟動持續(xù)網絡訓練環(huán)境(PCTE)建設,利用云端化平臺方式滿足分散各地、各軍種網絡作戰(zhàn)部隊的統(tǒng)一網絡訓練環(huán)境。這也是美國繼NCR之后又一重量級網絡靶場建設項目。目前,國內的網絡靶場也正在成為網絡安全戰(zhàn)略建設的重要基礎設施。大規(guī)模、高逼真、對抗性的網絡靶場平臺,已經成為網絡安全研究、人才培養(yǎng)、實戰(zhàn)演練、安全測試、效能分析以及態(tài)勢推演等的專業(yè)試驗平臺。
網絡靶場分類
2020年6月底,美國國家標準技術研究院(National Institute of Standards and Technology,NIST)發(fā)布了《網絡靶場指南》,對網絡靶場進行定義,并總結了網絡靶場的特征及類型等等。NIST認為,網絡靶場是網絡、系統(tǒng)、工具和應用程序的交互式、模擬平臺和展示。具有五大關鍵特征:技術要素、真實性和逼真度、可訪問性和可用性、可擴展性和彈性以及相關課程和學習成果。NIST的網絡靶場定義范圍主要圍繞網絡安全教育、認證和培訓的使用案例、功能和類型來進行描述,且由美國國家網絡安全教育計劃(NICE)網絡靶場項目小組編寫,所以其總結的網絡靶場特征及類型偏重于特定范圍。
NIST《網絡靶場指南》對目前市面上的網絡靶場分為4類:模擬類、仿真類、疊加類、混合類。
模擬類:NIST《網絡靶場指南》對模擬類網絡靶場的定義是,基于真實網絡組件重建的一個綜合網絡環(huán)境,模擬運行在虛擬實例中,不需要任何物理網絡設備。模擬類網絡靶場對真實世界建模,通過模型之間的互動,分析各單元的行為表現。模擬類網絡靶場部署容易,安裝和維護費用較低;但是有研究指出,其測試結果準確性存疑。模擬類典型的案例就是美國空軍的SIMTEX網絡安全模擬器。
仿真類:NIST《網絡靶場指南》對仿真類網絡靶場的定義是,在專用的網絡基礎設施上運行,將已構建的網絡/服務器/存儲基礎設施映射到物理基礎設施上,成為網絡靶場的物理基礎設施。仿真類網絡靶場可以在多個互連的環(huán)境中提供封閉的網絡體驗。仿真類網絡靶場使用獨立的物理測試臺,配置出需要測試的環(huán)境,運行真實的軟件。這類靶場要求能對硬件進行重新配置,可根據測試需要,采用不同的拓撲結構。仿真類網絡靶場使用真實的計算機、操作系統(tǒng)、應用軟件、有限的資源,能反映真實環(huán)境;當然,硬件投入比模擬類要高得多(這一點可以通過虛擬化來降低)。仿真類靶場典型的案例就是美國的國家網絡靶場(NCR)。
疊加類:NIST《網絡靶場指南》對疊加類網絡靶場的定義是,運行在真實網絡、服務器和存儲設備之上的網絡靶場。通俗點說就是利用現有的生產環(huán)境資源,建立的網絡靶場環(huán)境。所以這類靶場稱為“疊加(overlay)”,即在實際的生產現場軟件上進行測試,使用實際的生產資源,而不是使用專門的網絡靶場實驗室。這類靶場在規(guī)模、費用和保真度方面都有優(yōu)勢,缺點是不夠正規(guī),比如重復測試,試驗控制性較差,可能對實際網絡造成不利影響。疊加類靶場典型的案例是美國國家科學基金會資助的全球網絡創(chuàng)新環(huán)境(GENI)。
混合類:NIST《網絡靶場指南》對混合類網絡靶場的定義是,混合類網絡靶場是由上述模擬、仿真、疊加三種靶場定制組合產生。混合類靶場一個典型的案例是弗吉尼亞網絡靶場。弗吉尼亞網絡靶場綜合了上文提到的多種靶場的功能。另一個典型的混合靶場是2008年開始的“歐洲未來互聯網研究與實驗平臺”。
評估網絡靶場的因素
從網絡靶場的可訪問性和可用性上來說,NIST《網絡靶場指南》認為網絡靶場的部署位置和靶場本身的復雜性是兩個決定性因素。網絡靶場的部署位置主要是基于云端的部署和本地的部署,不管是何種部署方式,網絡靶場都要考慮好在用戶需要的時候可以訪問靶場技術和應用程序,并且盡可能提供優(yōu)質的用戶體驗。這些一系列的背后就需要考慮網絡鏈路、帶寬質量、政策及靶場軟硬件的負載等。網絡靶場本身的安裝、使用是否復雜將決定網絡靶場的可用性。
也就是說網絡靶場的本身的安裝、使用操作一定是人性化的,不能還是工程師界面或命令行操作接口;如果靶場本身比較復雜,那么靶場本身的可用性就比較低了。NIST《網絡靶場指南》認為不管是用戶選擇靶場產品還是廠商設計產品,都需要考慮網絡靶場的可用性,這是一個很關鍵的要素。
從網絡靶場的可擴展性和彈性上來說,NIST《網絡靶場指南》認為網絡靶場的底層基礎架構將是決定性因素。可擴展性是指網絡靶場支持系統(tǒng)目標人群的能力,彈性是指增加容量以支持更多用戶所需的時間。NIST《網絡靶場指南》認為理想的靶場應該能夠同時支持其所有潛在用戶群,并可以根據要求立即增加支持其他用戶的能力。
美國網軍專用靶場--PCTE
美國國防部于2016年指定由陸軍主導建設PCTE,即建立一個基于混合式云端服務的訓練平臺。目前該項目由美國陸軍模擬、培訓和儀器計劃執(zhí)行辦公室(PEO STRI)管理。PCTE最主要的建設目標是為網絡任務部隊提供一個可以從世界任何地方登錄以進行培訓和演習任務的強大云端網絡培訓環(huán)境。PCTE可向美軍網絡任務部隊提供針對個人、團隊或部隊級別網絡訓練場景服務,從而點對點規(guī)劃、準備、執(zhí)行和評估網絡作戰(zhàn)演練,并充當大型網絡演練場景基礎。
2019年11月25日美國發(fā)布PCTE項目CYBER TRIDENT(網絡培訓、就緒、集成、交付和企業(yè)技術)合同,項目合同額度近9.570億美元。作為一個可擴展的強大云端網絡空間作戰(zhàn)虛擬培訓平臺,PCTE于2020年3月從原型階段過渡到生產階段,并已經發(fā)布兩個版本。
美軍各軍種都在PCTE上開發(fā)和添加培訓活動內容。2019年,美國網絡安全訓練環(huán)境開發(fā)商Resolvn贏得了在PCTE平臺上開發(fā)和維護美國海軍高保真虛擬訓練環(huán)境的合同。該系列由14個相互連接的網絡組成,包括發(fā)電廠、多個互聯網服務商、國防部設施、市政建筑和其他網絡。根據該公司的說法,這種現實環(huán)境的虛擬化將減少個人和團隊開展防守或進攻訓練所需的時間,使海軍能夠在具有自動流量生成和用戶仿真的近乎規(guī)范的網絡中進行定期訓練。
美國和澳大利亞在繼續(xù)開發(fā)虛擬網絡訓練靶場方面啟動了合作進程。兩國于2020年11月3日簽署了網絡訓練能力項目協(xié)議。這項雙邊的國際協(xié)議旨在使美國網絡司令部能夠將澳大利亞國防部隊納入網絡通信的模擬訓練領域,即PCTE持續(xù)網絡訓練環(huán)境。共享使用和開發(fā)該平臺旨在不斷發(fā)展和提高兩國網絡戰(zhàn)術、技術和程序的準備能力。此前,美國和盟國網絡部隊為特定場景開發(fā)了網絡訓練平臺,但這種平臺是一次性的。而PCTE的目標是提供一個持續(xù)協(xié)作的培訓環(huán)境,使美國及其盟國的網絡部隊能夠開發(fā)和重復使用既有的資源,以便隨時在個人和團隊層面進行培訓。
在網絡空間,作戰(zhàn)致勝不再取決于子彈和炸彈,而是取決于技術和速度。作為美國防部著力打造的網絡作戰(zhàn)平臺,PCTE將有力提升美軍網絡人員作戰(zhàn)技能和團隊整體作戰(zhàn)能力,為美軍獲取網絡空間作戰(zhàn)優(yōu)勢提供強大助力。
數字孿生靶場是網絡空間靶場的發(fā)展方向
跟傳統(tǒng)的仿真方式不同,數字孿生體更強調分層的數據顆粒度實現,這樣能在較低成本基礎上,實現網絡靶場,適應不同的戰(zhàn)略和戰(zhàn)術要求。
今年以來元宇宙概念持續(xù)火爆,元宇宙使現實世界與科技幻想相融合。通過元宇宙的構建,真實世界的信息將得到虛擬世界的極大補充,人類與虛擬世界的互動方式將得到全新提升,在此基礎上將誕生充滿想象空間的商業(yè)模式,游戲、社交、娛樂、消費等都會發(fā)生翻天覆地的變化。
我們可以大膽設想,網絡靶場將在未來元宇宙構建的過程中發(fā)揮極大的作用,在元宇宙視角下引領新一代網絡安全技術的改革與創(chuàng)新。
