攻防实战演习前瞻:如何以攻促防,有效建立高仿真网络攻防靶场?

危则变,变则通,通则久。网络攻防是一场此消彼长的动态平衡较量,当前国际网络安全局势日趋复杂与严峻,合规驱动的正向网络安全防护思维已经不足以满足各行各业的新生安全需求,逆向思维的“实网攻防演习”便成为企业精准评估自身潜在脆弱性、验证安全防护是否健全的首选方案。

对以安全为基的金融行业来说,新技术的应用意味着新“防区”的出现,攻守博弈也随之成为维护金融稳定的又一常态。10月23日,2020年金融网络安全攻防技术论坛在北京召开,360攻防事业部总经理张锦章带来《网络攻防靶场技术先进性》的主题演讲,围绕实网攻防靶场平台和虚拟攻防靶场平台,分享了靶场建设理念与领先技术。

image001

讲百遍不如“打”一遍

基于真实目标的无限制对抗

合规驱动是正向思维,攻防演练是逆向思维。实网攻防演习可以更好地应对不断演化的网络攻击威胁、检验攻防能力、迭代防御体系,从而打造与时俱进的金融安全生态。360攻防事业部总经理张锦章表示,实网攻防靶场是承载演习活动的支撑平台,从攻击终端、网络通道、数据分析等多个环节充分保障演习的安全性、可靠性、时效性和灵活性。同时,平台通过指挥调度、攻防态势等可视化功能可以直观地反映出攻守双方的实时战况、攻防成果以及攻守双方现场情况。

张锦章结合多年的实践经验,总结出实网攻防靶场建设的六大关键要素:实战出发、云地结合、流程完备、能力全面、验证客观、安全可控。实战出发不同于深度测试和虚拟靶场演练,是以真实目标进行演练,攻击手段更为多样;此外,需要将云服务和本地服务模式相结合,既满足性能扩充的需求,也能满足确保金融机构数据不外流的需求;与此同时,整个攻防演练有一套完备的流程,包括调研阶段、准备阶段、实施阶段、总结阶段、整改阶段;在攻击、防守以及流程中,都需要全面的能力提升;还要验证人、验证网、验证漏洞,所有人、资产、信息、手法都需要在平台进行监控,防止关键基础设施业务受到影响;最后,还要做到网络层面的安全、局域网的安全、人的安全、过程安全还有平台自身安全。

image002

基于对六大关键要素的理解,360政企安全集团在实网攻防靶场的建设中使用了三大领先技术。

面向实网攻防靶场的网络隔离技术。主要应用于三方面,一方面是认证接入网络,二是内部应用的网络,三是攻击专用网络,这三个网络都需要完全隔离。

攻击IP地址伪装与切换技术。包括攻击IP伪装与实时扩充、攻击IP快速切换、攻击IP安全管控、攻击IP溯源。

靶场安全技术更类似于一套解决方案,从事前、事中、事后保证整个平台安全。具体包括赛前人员安全,赛中终端、评论、流量审计,赛后防守总结、防守资产确认、甲方安全能力注册、问题复测与整改,以及最终的实战演练。

厉兵秣马  百炼成钢

高仿真练兵场全面提升安防水平

实网攻防靶场主要通过实战找出企业防守不足之处,而提高安防水平,更多需要“训”和“练”。在仿真靶场中开展实操训练、能力考核,可以实现人员安全意识以及安全防护能力双提升。

不可忽视的是,虚拟仿真靶场面对六大现实问题:仿真靶标滞后性与现实目标渐变性的矛盾;仿真靶场局限性与现实网络复杂性的矛盾;仿真环境通用性与关键设施差异性的矛盾;靶场架构固化性与现实威胁多样性的矛盾;靶场能力单纯性与体系对抗综合性的矛盾;靶场建设艰巨性与现实需求急迫性的矛盾。

针对实践中总结出的六大痛点,张锦章详细介绍了360虚拟仿真靶场建设的五大目标,“一是灵动,将繁重的资源筹备与调度交给云,将复杂的场景构建交给专业的虚拟化网络引擎。二是高仿真,场景从现实到虚拟,效果从虚拟到现实。三是基于实战,一方面在真实性网络攻击挑战下有效检验客户信息系统和安全防护体系整体的安全能力,另一方面检验和训练安全团队基于一线安全防御工具/系统的对抗能力。四是高可用性,不需等待很长的建设周期,支持用户相关业务的较高并发性,支撑用户对靶场业务场景的动态调整和扩容。五是业务聚焦,减负靶场业务管理和运行维护,为客户提供便利性靶场服务,使客户聚焦靶场业务核心。”

基于以上目标,360主要通过六大技术使模拟更真实。

靶标深度模拟技术,通过流量采样和系统还原,使设备层、应用层和用户层的相关指纹信息自动配置相关虚拟机,并自动装载所需应用及漏洞。

虚实结合技术,深层次虚实结合技术能够通过自动化配置与管理,与场景完美融合。靶场平台预留统一实体设备管理与接入接口,并为每种设备量身定制管理插件,实现平台对实体设备的管理,从而允许用户通过拖拽等方式构建虚实结合场景,并实现自动化下发与配置。

高时效性场景更新技术,在目标场景中构建监控体系,实时判断是否需要更新,并通过磁盘类的方式进行更新,解决一比一测试系统更新慢的问题。

行为模拟技术,攻防行为模拟技术利用人工智能模式匹配技术,结合海量攻击技战法和防护策略链,实现对攻防行为的智能化模拟。用户行为模拟技术可以提升场景模拟的真实程度,并为复现更多攻击手法(钓鱼、社工等)铺平道路。

融合虚拟化组网技术,通过全虚拟、单一节点虚拟、边缘节点虚拟相结合的方式降低成本。

场景行为监控技术,流量监控分析、行为捕获、屏幕抓取及录制等可以利用实网攻防演练靶场积累的技术,让虚拟仿真靶场更类似于实网攻防靶场。

实网攻防靶场的“战”和虚拟仿真靶场的“训”已经成为当前政府、公安、教育、金融、国家基础设施等各行各业的迫切需求,实网攻防靶场和虚拟仿真靶场作为“新式兵器”将有助于提升行业安全整体防御能力,也将为网络安全的发展带来新的机遇。未来,360将与更多政府机构、企事业单位合作,提高国家网络攻防演练水平,确保网络攻防演练规范、安全、自主、可控。

上一篇:技术人员的狂欢 | 看雪2020第四届安全开发者峰会顺利落幕!

下一篇:秘密实验:30行代码让27吨发电机爆炸