數字化轉型發展背景下,IT/CT/OT新技術浪潮加速,系統連接性復雜性激增,復合風險因素增多,網絡攻擊成本降低,網絡安全形勢空前復雜,工業網絡已成為網絡空間攻防對抗的主戰場。對關鍵信息基礎設施網絡攻擊的嚴重后果,對現實世界來說可能是災難性或前所未有的。當前迫切需要一種成本效益高和可復制的方法來提高網絡防御團隊的安全意識,增加OT網絡防御團隊的專業知識和技能,檢驗網絡防御技術、產品、方案的可行性和效能,等等。試驗床或工業網絡靶場正是完成這一使命的戰略選擇,即建立具有模擬工業流程的具有成本效益、可配置和可擴展的,仿真工業控制系統的網絡靶場平臺。安帝科技在工業網絡泛在化、數字化、智能化的背景下,持續探索工業網絡安全跨域、復雜、融合、動態、協同的本質特征,傾力打造虛實結合的工業網絡靶場平臺,以期滿足當前工業網絡安全能力建設中利益相關方(運營方、監管方、防御方)科研、教學、培訓、演練、對抗、比賽、測試、評估、演示等全方位需求。安帝科技工業網絡安全研究院結合近年來的實踐探索和前瞻技術跟蹤研究,推出《工業網絡靶場漫談》系列,期待與業界同行探討工業網絡靶場能力建設之道,共同推進工業網絡安全技術、能力、生態、產業高質量發展。
當前工業網絡系統面臨的安全威脅日益突出,且攻擊呈現出持續性和高隱蔽的特點。為深入研究針對工業網絡系統的網絡攻擊機理,構建和驗證合理的安全防御手段,培養工業網絡安全人才,構建用于工業網絡系統安全研究的測試床/實驗平臺非常必要。
由于實際工業生產中的工業網絡系統很難直接應用于工業網絡安全問題研究。一方面工業網絡系統直接關聯工業生產,在實際工業網絡系統中進行安全測試將影響系統可用性;另一方面,實際工業網絡系統由不同工業網絡設備、現場設備、復雜工業網絡協議及眾多網絡服務組成,造價昂貴且構建復雜,難以1∶1復制。因此,針對實際工業網絡場景無法實施測試和實際工業網絡場景復現難的問題,如何構建工業網絡靶場成為工業網絡安全研究的重要方向之一。本文將主要介紹工業網絡靶場構建的關鍵技術。
1
模擬與仿真技術
1.1 模擬
模擬涉及對目標狀態進行建模,它是指用軟件去模擬某個系統的功能,并不要求實現該系統的內部細節,只要在同樣的輸入下,軟件的輸出和所模擬系統的輸出一致就可以了。成功模擬的結果是模型將模擬它正在模擬的目標。該技術主要通過使用表1 列出的工具實現,例如:模擬網絡、SCADA協議(流量生成)。例如:3D CAR SIMULATOR 或 FLY SIMULATOR 模擬器模型精確到目標的每一個細節、每一個行為都可能代表目標在現實中的所作所為。
表1 模擬技術的工具
1.2 仿真
仿真是模仿外部可觀察行為以匹配現有目標的過程。用軟件去模擬出某個系統中各個部件的組成,真實地模擬出系統的運行機制。這就要求軟件的作者需要非常了解所模擬系統的內部結構,能夠利用各種數據結構實現出各個部件的模型。仿真主要用于模擬電子設備。它允許在軟件行為中轉換行為。該技術主要與虛擬化技術相結合。仿真技術可通過表2列出的工具實現。
表2 仿真技術的工具
1.3 模擬vs仿真
工業網絡靶場真正的價值(測試、驗證、比賽、科研等)在很大程度上取決于其代表實際工業網絡的準確性或保真度。無論是通過模擬或仿真類型的工業網絡靶場,在大多數情況下,都需要利用其組件的虛擬實現來模擬/仿真實際網絡。這些實現可能是模型(在模擬的情況下)和/或網絡靶場的物理基礎設施的組件(在仿真的情況下),對應于真實網絡的實際組件。仿真型工業網絡靶場在網絡表現的真實感和/或結果的保真度方面表現突出,但是非常昂貴。模擬型工業網絡靶場具有良好的可擴展性和靈活性,但可能產生不可靠的結果。
根據與實際網絡相比較的網絡靶場所需的保真度,可以選擇模擬和仿真組件的混合。目前對工業網絡靶場應用的研究和發展包括在保真度和成本效益方面對最合適的此類混合形態的具體案例探索。這種模型、軟件和/或硬件組件的開發能夠在可定制的靶場接口中解決高度復雜、多參數和動態的真實網絡組件的本質,需要付出巨大的努力,并且仍然是一個活躍的研究領域。最活躍的莫達于與工業控制和SCADA系統互連的網絡,這類系統通常由不了解網絡攻擊的人員操作和維護;模擬它們的成本非常高,攻擊此類系統的后果可能是毀滅性的。
模擬和仿真這兩種技術都有顯著的優點和缺點,但一般來說,基于模擬的方法在少量服務器上具有高可伸縮性。相比之下,雖然仿真的實現成本更高,但仿真通常更真實。
2
虛擬化技術
在談論工業網絡靶場技術時,重點毫無疑問應該是虛擬化,因為它是唯一允許創建具有成本效益和效率的模擬技術。工業網絡靶場的大多數用例都可以通過虛擬化來實現,當然,并非所有事物都可以通過使用虛擬化技術進行模擬,并且模擬環境的某些部分可能確實需要物理組件。基于開發虛擬化的主要技術,工業網絡靶場可以大致分為三種類型:虛擬工業網絡靶場、實物工業網絡靶場、虛實結合工業網絡靶場。
2.1 傳統虛擬化技術
圖1說明了傳統虛擬化的基本類型,包括傳統的基于管理程序的虛擬化和容器技術。許多工業網絡靶場都依賴其中之一,或兩者的結合。
圖1 傳統虛擬化的基本類型
值得注意的是,容器技術實際上由Docker技術主導,傳統的虛擬化技術沒有主導技術,因此并沒有舉例說明。
2.1.1 基于管理程序的虛擬化技術
傳統虛擬化是通過創建虛擬機來實現的,虛擬機是一種模擬物理計算機行為的軟件程序。由于多個虛擬機可以在真實硬件上運行,因此使用了一個額外的軟件層,稱為管理程序,它確保虛擬機不會相互干擾,并且每個虛擬機都可以訪問它需要執行的物理資源。
部分工業網絡靶場建立在傳統虛擬化基礎之上,尤其是在云技術未普及之前。此外,傳統的虛擬化技術在開發時就考慮到了數據中心,為組織提供了更高效、更經濟地管理數百臺服務器的能力。
然而,傳統虛擬化的主要用例是讓服務器運行(啟動一次并在需要時重新啟動),而不是讓大量服務器和客戶端動態啟動、關閉、刪除、按需配置等。出于這個原因,建立在傳統虛擬化基礎上的工業網絡靶場的特點是編排水平不高。盡管如此,與基于公共云的工業網絡靶場不同,基于傳統虛擬化的工業網絡靶場受益于高度的靈活性和控制,基于工業網絡靶場提供商所做的開發工作,可以包括對不同能力的支持,最重要的是控制工業網絡靶場內的數據和信息。
2.1.2 容器技術
另一種傳統的虛擬化方法基于容器化技術。與每個虛擬機運行自己的操作系統(OS)的傳統虛擬化不同,容器共享設備的操作系統內核。具體而言,通過將應用程序代碼與運行所需的相關配置文件、庫和依賴項捆綁在一起,開發了容器技術來促進和提高應用程序跨不同計算環境的可移植性。容器技術為工業網絡靶場供應商提供了在同一虛擬機上運行多個容器的能力。容器技術還提供能夠預配置復雜網絡和容器間通信的編排功能,從而使其更具成本效益。
然而,容器技術本質上并不模擬真實系統,而是僅為運行應用程序而設計的環境的精簡版本。因此,容器提供的模擬范圍是有限的,基于容器技術的工業網絡靶場最常見的用例與安全培訓和教育有關,但也并非包括所有的類型。
在安全性方面,容器和虛擬化技術都存在固有問題。使用容器時,所有單獨的應用程序都在同一主機下運行,并在軟件級別由操作系統隔離。單個容器的錯誤配置或影響主機內核的漏洞可能會導致敏感數據暴露甚至相鄰容器受到損害。另一方面,虛擬機管理程序存在錯誤配置的可能,硬件或管理程序級別如果存在漏洞,攻擊者可以利用這些漏洞破壞主機和在其上運行的任何相鄰虛擬機。盡管此類漏洞的發布頻率較低,但這并不一定意味著它們不存在。
2.2 云虛擬化
傳統的虛擬化技術,資源并沒有得到有效利用,而且實際上不可能利用跨越整個基礎設施的閑置物理資源。在構建傳統虛擬化的同時,云虛擬化抽象了整個基礎設施(內存、磁盤空間、網絡等)中的底層物理資源,并使它們對虛擬機管理程序透明可用,以便能夠更好、更充分地利用所有可用資源。因此,云虛擬化最直接的優勢是通過提高效率來降低成本。此外,云虛擬化的另一個巨大優勢是其原生編排功能。
盡管云技術并非適用于所有工業網絡靶場用例,也不一定適用于不同類型的工業網絡靶場用戶,但對動態配置、提高效率和可擴展性的固有支持使其成為現代工業網絡靶場實施的自然選擇。具體來說,存在三種類型的基于云的工業網絡靶場,它們與通常用于標準業務應用程序的三種類型的云部署相關。
2.2.1 公有云
在公有云環境中,用戶可以通過向公眾開放的訂閱訪問云服務,運行或維護云基礎設施的工作全部由云提供商完成。通常,公有云供應商通過API提供對其云虛擬化的訪問,工業網絡靶場供應商要做的就是在這上面開發工業網絡靶場平臺。
雖然更容易設置和操作,但基于公有云的工業網絡靶場確實存在一些必須考慮的缺點。第一個是對流經工業網絡靶場的數據缺乏固有的控制。另一個主要缺點是網絡靶場供應商在開發和配置定制場景時所需的靈活性水平較低。除了創建和管理模擬環境的核心能力之外,每一種新的工業網絡靶場能力都必須面臨云提供商的技術限制。出于這個原因,大多數可用的公有云工業網絡靶場主要集中在培訓和教育用例上,在這些用例中,快速有效地管理模擬環境工作流的能力是一個巨大的優勢。基于公有云的工業網絡靶場的其他缺點與公有云提供商施加的限制有關,比如對模擬攻擊場景的限制,包括但不限于DDOS攻擊或任何可能影響公有云基礎設施的破壞性攻擊。
2.2.2 私有云
私有云由私人組織創建和維護,供組織自己使用或為其客戶提供服務。私有云的優勢之一在于可以完全控制云基礎架構內的應用程序、數據和信息流。
與基于傳統技術的工業網絡靶場一樣,除開發核心能力之外,私有云工業網絡靶場在開發額外工業網絡靶場能力方面也具有很大的靈活性,可以通過供應商自己的開發工作或通過集成第三方系統和應用程序進行。這些因素的結合使基于私有云的工業網絡靶場供應商能夠為工業網絡靶場提供內部部署選項,這是公有云工業網絡靶場無法做到的。私有云工業網絡靶場非常適合為廣泛的工業網絡靶場用例提供支持,并具有利用云技術編排的額外好處。用于構建私有云的最常見的開源技術包括Openstack和OpenNebula。
2.2.3 混合云
顧名思義,混合云兼顧兩方面的優點。混合云是一種基礎設施,它包括由組織管理的私有云和至少一個由第三方(例如亞馬遜、微軟等)管理的公有云之間的鏈接。混合云提供更強大的控制,尤其是在關鍵數據、資產和操作的安全性方面,同時具有公有云基礎設施的自然可擴展性。基于混合云技術構建的工業網絡靶場可以更好地控制與靶場相關的敏感數據。雖然云提供商不遺余力地保護客戶的數據,但從根本上說,公有云是比私有網絡開放得多的環境,這使得它們更容易受到網絡攻擊和各種形式的數據泄露,透過這些數據可以深入了解一個組織或一個國家的網絡能力。因此,一些組織,尤其是軍事和政府領域的隱私敏感組織,可以通過利用基于混合云技術構建的工業網絡靶場的優勢來盡可能避免這些問題。同時需要非常謹慎地決定在公共基礎設施上運行哪些服務以及哪些信息必須保留在本地。
3
監控技術
工業網絡靶場的所有功能在云、關鍵基礎設施、混合網絡和應用、物聯網、ICS、SCADA、自主系統等領域實現。這些功能可以通過使用多種工具來實現。靶場通常的監控組件需要監控平臺上的用戶,在不同的場景中捕捉進度并評估性能,并負責遠程用戶與平臺的連接、它們的操作、輸入路徑選擇和團隊組成。此組件還驗證平臺的運行狀況以及提供的各種服務和場景。
表3 監控技術相關的工具
工業網絡靶場還需要有價值的數據集,通過遵循合適的方法并牢記設計需求來生成它是非常重要的。比如要生成用于異常檢測任務的可靠異常ICS數據集。首先,重要的是選擇一個先驗的,一個或多個將要實施的攻擊。要做到這一點,必須了解感興趣領域使用的主要協議,發現相關威脅,并根據相關漏洞設計攻擊。然后,可以部署攻擊,仔細選擇受影響的節點、每次攻擊的持續時間和開始時間。最后,可以從傳感器和執行器捕獲網絡數據包和/或數據:定義數據捕獲持續時間、采樣頻率和智能地選擇采集點是至關重要的。一般來說,后者應該是系統的中心節點。最后一步是數據集的最終生成。為了生成要發布的數據集,仔細選擇考慮系統有用的特性是很重要的。系統的行為可以在包級、流級或物理級數據中表示。
表4 數據集生成相關的工具
4
小結
工業網絡靶場作為工業控制系統網絡安全與功能安全問題研究的基礎平臺,具有重要的研究、開發和應用價值。目前國內外政府、軍事、科研、企業等多方對工業網絡靶場建設的需求逐步放大,不少已經建成的無論是物理的、虛擬的或混合的工業網絡靶場,已實際應用于安全競賽、科學研究、測試驗證等多個領域,發揮了重要作用。然而,工業網絡靶場的開發與建設目前仍面臨很多技術挑戰和問題,主要表現在工業控制系統復雜場景復現難、高保真工業現場復現成本高、現場控制層和現場設備層緊耦合缺乏靈活互聯方法、實物工業過程仿真不可復制,等等,使得高保真工業網絡靶場靶場造價過高,不同場景相互復用性程度較低。
未來,安帝科技將著力發揮與工業自動化廠商合作形成的行業知識優勢、前期積累的控制設備軟硬件虛擬化優勢以及已有眾多靶場平臺和服務的客戶優勢,不斷提升工業設備虛擬化和云化能力,將虛擬現實、虛擬增強、數字孿生、5G加持等新技術應用于工業網絡靶場的建設之中,為各行業用戶提供更優異的產品和服務。
