《特种行业靶场白皮书》发布

攻防
2年前

前言


  俄乌战争爆发后,国家级的网络对抗常态化、公开化。国际局势日益复杂,网络空间态势日益严峻,尤其是国家职能部门、Jun队、关键基础设施中的重点行业等机构成为主要攻击目标,一旦失陷会造成重大损失,甚至影响国家战略与国际平衡。面对威胁,我们不断建设完善以“攻击面收敛、安全防护、威胁检测、应急响应”为闭环的能力框架,目的是降低威胁带来的潜在风险。但除此之外,数世咨询认为还应当从另一个角度——仿真模拟——入手,通过数字靶场、有效性验证等手段,对包括特种靶标在内的各场景威胁攻击与安全应对能力进行模拟验证,以训代战,未雨绸缪,进而不断优化增强能力,补长短板,降低潜在风险。


  在上述背景下,数世咨询提出“特种行业”这一概念,并基于数字靶场进行了调研,并形成本报告《特种行业靶场白皮书》。鉴于相关行业特殊性,本报告仅公开发布部分调研成果。


关键发现

  ● 特行靶场主要场景有防御阵地、红蓝对抗、目标试验鉴定、单兵仿真训练、技战法验证、组合实训备战、事件应急演练等;

  ● 特行靶场关键能力有高精度特种目标仿真、虚实结合、高级威胁模拟、高阶态势评估等;

  ● 国家对特行靶场的投入将显著增长;

  ● 定制化与靶场运营服务仍是特行靶场的刚需。


定义


特种行业

  本报告中,特种行业主要指国家级网络对抗中作为重点攻防目标,一旦遭到入侵或破坏,将造成重大损失的行业。例如军、工以及军口重点关注的能源、核、电、通信、卫星等涉及国家安全以及关键基础设施中的重点行业。(下文简称“特种行业”或“特行”)


数字靶场

  基于虚拟化技术,对真实数字空间中的网络架构、系统、设备、业务流程的运行状态及运行环境进行模拟和复现的产品或解决方案,以更有效地实现与数字安全相关的学习、研究、检验、竞赛、演习等行为,从而提高人员及机构的数字安全对抗水平。(引自数世咨询《数字靶场能力点阵图2022》)


特种行业靶场

  由此我们可以明确,本报告中的特种行业靶场指在特种行业场景下满足特种行业需求的数字靶场即为特种行业靶场。

市场概况


  去年数世咨询发布的《数字靶场能力点阵图2022》报告中所述,2020年数字靶场市场收入为11.68亿元(合同额),2021年收入达到18.94亿元,预计2022年可达24亿元。具体行业分布如下图表所示:


01.png 

(图表:数字靶场行业分布2022)


  根据特行靶场定义,属于特种行业的军工、国防以及重点关注的运营商、电力、石油石化、轨交、水利等行业汇总后,我们统计出特行靶场这一细分赛道中营收规模排名前五的企业。其中,排名第一的企业为博智安全,占特行靶场市场规模的17.12%。前五位企业营收情况如下图:


02.png 

(图表:特行靶场市场概况)


  从图表中可以看到,前五名的企业营收之和占比近七成,一方面说明特种行业的供应商相对集中,少部分头部企业获取了特种行业中的大部分订单;另一方面,头部几家企业中,前三位的营收占比十分接近,说明特行靶场细分赛道头部竞争激烈,各家各有优势,都能在各自擅长的细分领域建立护城河。

特行靶场主要场景


  基于特种行业的行业特点,特行靶场主要场景有防御阵地、红蓝对抗、目标试验鉴定、单兵仿真训练、技战法验证、组合实训备战、事件应急演练等。


防御阵地

  该场景下,靶场基于高拟真防御阵地网络搭建并进行纳管,针对网空域特种防御能力进行体系化训练,通过进行阵地加固、入侵检测、攻击溯源、应急响应等科目训练,达到提升我军未来网络战防御能力的目标。


红蓝对抗

  该场景下,靶场通过导调控制功能把参训人员划分成红、蓝两个团队,并依托团队策略和目标进行攻防对抗。对抗场景基于真实网空域作战环境进行仿真构建,通过近真实环境快速提升人员作战素养和应急反应能力,做到“首战用我,用我必胜”。


目标试验鉴定

  该场景下,靶场围绕目标测试产品、技术构建仿真测试环境,以验证其性能、可靠性、安全性等方面指标是否符合规定标准或要求。基于试验鉴定场景,可以为产品、技术研究提供更为合理的迭代依据,推动现有技术、产品不断改进。


单兵仿真训练

  该场景下,靶场围绕网络安全指战员单兵战斗能力进行仿真环境构建,基于单人仿真作战环境进行战斗科目训练,包括情报收集与分析、网络防御、事件响应等内容,通过单兵实战训练补全人员能力短板、全面提升网空域作战思维和作战能力。


技战法验证

  该场景下,靶场围绕目标作战场景搭建基于数字孪生和虚实结合技术的深度拟合战场环境,参训人员可以根据技战法要求及具体靶场环境想定作战计划,并根据作战计划进行验证和评估,最终通过验证结果对技战法进行修正改进,切实提升计划可行性和时效性。


组合实训备战

  在该场景下,靶场可以根据训练要求灵活进行训练环境搭建,通过教学、演训、竞赛等组合功能进行系统的训练,同时基于过程数据采集和结果评估不断发现自身缺点,完善能力体系,全面提升训练质量和参训人员整体综合素质。


事件应急演练

  在该场景下,靶场可以根据安全事件内容进行事件场景高拟合复现,通过实际网络安全事件场景进行实际演练,帮助使用人员发现和弥补安全漏洞,提高应对网络安全事件的效率和准确性。


特行靶场关键能力


  由于行业特殊性,特行靶场需要以自主可控的国产化硬件和软件系统作为基础设施。在国产化保底基础之上,相对于普通数字靶场,特行靶场有高精度特种目标仿真、虚实结合、高级威胁模拟、高阶态势评估等关键能力需要重点关注。


高精度特种目标仿真

  首先,特行靶场的孪生仿真能力要求更高。特别是对于特定目标、特定系统、特定应用相结合的特种靶标环境的模拟仿真,一定要与现实环境高度相似,才能实现特定的仿真实验目标,即为高精度目标仿真能力。此外,在软硬件、系统、应用等环境的仿真之外,还应当注意对现实流量、行为、数据等的仿真。例如在仿真流量中,应当在目标应用的流量之外“流入”一些网页访问、流媒体、即时通信、甚至丢包重发等“噪音”流量,进一步达到高精度仿真的效果。


虚实结合

  其次,有些特种行业环境仅靠虚拟化模拟达不到真实环境的仿真要求,需要引入物理设备,虚实结合来实现。即将虚拟网络环境与真实的物理环境,以即插即用的方式无障碍连通,同时提供第三方设备的接入能力,对虚实结合的网络进行统一的管理和调度,并通过拼接已有场景的方式快速完成复杂环境的构建。以工控环境的仿真为例,虚实结合靶场针对执行器、工业控制器、人机接口以及工业交换机采用物理实物形式,而对上位机、控制网络、攻击网络则采用虚拟化模拟的方式,同时在物理实物和虚拟化环境之间留有对接接口,方便扩展。


高级威胁模拟

  在威胁模拟方面,由于Jun队、关基等特种行业面对的威胁更为隐秘,攻击手段更为高级,因此,特行靶场要重点具备APT高级威胁攻击的仿真模拟能力。例如在常规网络攻击手段之外包括但不限于0day漏洞攻击、抵近攻击、内网攻击、侧信道攻击等。与此对应,仿真环境中也应当具备更强的检测与防护能力,例如指令级的安全分析与控制、强密码体系保护、安全隔离的存储空间、应对拆机的自毁等能力都可以列入特行靶场的关键能力清单,增强仿真环境的威胁防护能力。


高阶态势评估

  在上述三个能力基础上,特行靶场还应具备高阶态势评估能力。该能力首先要对仿真环境与模拟演训全任务全流程中产生的流量、信息、日志等数据进行采集、汇集、整合;然后根据预设的评估指标体系和评估方法,对训练结果数据进行挖掘提取和分析,从多个维度评估参训人员的在本次训练中的行为;最后结合靶场的参训官兵级别与演训目标,有针对性地给出评估报告并将评估结果可视化呈现,最终为科学评估参训人员与技战法等演训效果提供高阶支撑。

特种行业靶场案例

(本案例由博智安全提供)


任务需求

  近年来,全球范围内国家级网络攻击力量利用网络空间制造的攻击手段和安全事件日益增多,对我国安全可靠开展信息化作战构成挑战,尤其对作战过程中装备应用设备的安全可靠运行构成威胁,我某部从整体网络防护验证及保障人员安全能力提升作为出发点,研发了网络对抗训练系统。


任务目标

  ● 实现参训人员网络对抗模拟训练,提高参训人员、安全保障人员以及业务操作人员的安全防护处置能力;

  ● 实现网络攻击能力和对装备应用安全合规性检测手段,主要用于装备应用安全合规性检测、提高系统和设备的网络安全防御能力;

  ● 实现人员的技术技能自训,提升攻防实操和检验评估能力。


功能实现


1、指挥网络威胁模拟子系统

  主要提供多种类型的网络攻击工具,参训人员可选特定类型的攻击模块,使用其中的攻击工具实施对目标系统的攻击,提供智能化攻击模块,对攻击手段进行编排完成攻击过程;提供目标网络环境探针,支持攻防训练过程中网络流量的实时采集和解析处理,为后续的态势展示、训练效果评估等业务提供数据支撑。

  同时具备实战化网络模拟环境构建能力,能够接入实体装备设备并通过仿真驱动方式模拟环境运行。提供符合攻防训练流程且覆盖全面的网络对抗训练场景,且能够动态地编辑和加载。

03.png
04.png

 

2、指挥网络态势感知子系统

  主要通过网络拓扑采集、流量分析与展示、日志分析与展示、攻击成果分析与展示等内容。 

05.png

  通过对单次任务攻击流量的数据采集、日志分析等手段来对本次任务进行态势展示,便于更好的从整个场景中理解该攻击行为。

06.png

 

3、指挥网络效果评估子系统

  主要依据训练子系统下发的任务信息、网络训练信息以及攻击子系统的攻击相关数据信息进行汇集整合、通过深度挖掘分析,根据预设的评估指标体系和评估方法,对训练结果数据做提取和分析,从多个维度评估参训人员的在本次训练中的行为,给出评估报告并可视化展现评估结果,为科学评估网络防御人员训练效果和网络防御业务训练效果提供支撑。并根据评估指标,完成训练效果的评估,将评估结果可视化呈现。

07.png

  

未来展望


国家对特行靶场的投入将显著增长

  在国际形势没有明显好转的态势下,我们认为从国防军工到关键基础设施重点行业用户都会在特行靶场上持续加强建设。特别是国防相关行业用户,在靶场的特种应用、攻防推演等场景上会进一步加大投入,在国际形势有本质好转之前,国家对特行靶场的投入会持续显著增长。


定制化与靶场运营服务仍是特行靶场的刚需

  特行靶场针对特种目标、特种系统、特种应用的仿真模拟,往往伴随着较多的定制化需求,这就要求特行靶场的产品研发、交付实施需要配以较强的定制化工程化能力,在交付之后也需要辅以专业化的靶场运营服务。随着国际局势日益复杂,我们预计特行靶场的定制化需求会进一步增加,靶场运营服务的专业度与复杂度也会不断增强,且这一特点在未来相当一段时间内会持续存在。


“AI+靶场”助力特行靶场演训能力

  近期ChatGPT的火热让人们直观感受到了人工智能发展速度的加快。眼下AI与靶场的结合,有可能大大丰富攻防对抗、兵棋推演等演训场景的脚本。而不远的将来,AI在靶场中也可以发挥如ChatGPT一般的智能互动对抗景象,增加靶场的对抗性与真实性,进而提升攻防推演、仿真实验、人员培养等场景的效果。


特行靶场从“虚实结合”向“虚实融合”发展

  目前特行靶场的“虚实结合”还仅限于虚拟网络环境与真实的物理环境通过接口连通,虚拟部分的操作结果暂时只在靶场调度与管理平台中体现,也就是说还局限于靶场内部,无法影响真实物理环境。数世咨询认为未来靶场的虚拟与物理部分将是充分融合的,融合后的靶场将能够同时影响虚拟网络部分与真实物理环境,将值得借鉴推广的优秀靶场演训成果无缝转移到真实的生产环境中。正如数世咨询在《2020年度网络安全十大潜力技术及五大市场前瞻》一文中提出的:


  过去被称为虚拟世界的网络世界,正在和物理世界融为一体,因此要在对现实影响最小的情况下,最大限度的模拟真实。这就是网络靶场出现的本质原因,同时也意味着这项技术的无限想象空间。从靶场即场景,到靶场即网络,甚至是靶场即世界。

——数世咨询