危則變,變則通,通則久。網絡攻防是一場此消彼長的動態平衡較量,當前國際網絡安全局勢日趨複雜與嚴峻,合規驅動的正向網絡安全防護思維已經不足以滿足各行各業的新生安全需求,逆向思維的“實網攻防演習”便成為企業精準評估自身潛在脆弱性、驗證安全防護是否健全的首選方案。
對以安全為基的金融行業來説,新技術的應用意味着新“防區”的出現,攻守博弈也隨之成為維護金融穩定的又一常態。10月23日,2020年金融網絡安全攻防技術論壇在北京召開,360攻防事業部總經理張錦章帶來《網絡攻防靶場技術先進性》的主題演講,圍繞實網攻防靶場平台和虛擬攻防靶場平台,分享了靶場建設理念與領先技術。
合規驅動是正向思維,攻防演練是逆向思維。實網攻防演習可以更好地應對不斷演化的網絡攻擊威脅、檢驗攻防能力、迭代防禦體系,從而打造與時俱進的金融安全生態。360攻防事業部總經理張錦章表示,實網攻防靶場是承載演習活動的支撐平台,從攻擊終端、網絡通道、數據分析等多個環節充分保障演習的安全性、可靠性、時效性和靈活性。同時,平台通過指揮調度、攻防態勢等可視化功能可以直觀地反映出攻守雙方的實時戰況、攻防成果以及攻守雙方現場情況。
張錦章結合多年的實踐經驗,總結出實網攻防靶場建設的六大關鍵要素:實戰出發、雲地結合、流程完備、能力全面、驗證客觀、安全可控。實戰出發不同於深度測試和虛擬靶場演練,是以真實目標進行演練,攻擊手段更為多樣;此外,需要將雲服務和本地服務模式相結合,既滿足性能擴充的需求,也能滿足確保金融機構數據不外流的需求;與此同時,整個攻防演練有一套完備的流程,包括調研階段、準備階段、實施階段、總結階段、整改階段;在攻擊、防守以及流程中,都需要全面的能力提升;還要驗證人、驗證網、驗證漏洞,所有人、資產、信息、手法都需要在平台進行監控,防止關鍵基礎設施業務受到影響;最後,還要做到網絡層面的安全、局域網的安全、人的安全、過程安全還有平台自身安全。
基於對六大關鍵要素的理解,360政企安全集團在實網攻防靶場的建設中使用了三大領先技術。
面向實網攻防靶場的網絡隔離技術。主要應用於三方面,一方面是認證接入網絡,二是內部應用的網絡,三是攻擊專用網絡,這三個網絡都需要完全隔離。
攻擊IP地址偽裝與切換技術。包括攻擊IP偽裝與實時擴充、攻擊IP快速切換、攻擊IP安全管控、攻擊IP溯源。
靶場安全技術更類似於一套解決方案,從事前、事中、事後保證整個平台安全。具體包括賽前人員安全,賽中終端、評論、流量審計,賽後防守總結、防守資產確認、甲方安全能力註冊、問題複測與整改,以及最終的實戰演練。
厲兵秣馬 百鍊成鋼高仿真練兵場全面提升安防水平實網攻防靶場主要通過實戰找出企業防守不足之處,而提高安防水平,更多需要“訓”和“練”。在仿真靶場中開展實操訓練、能力考核,可以實現人員安全意識以及安全防護能力雙提升。
不可忽視的是,虛擬仿真靶場面對六大現實問題:仿真靶標滯後性與現實目標漸變性的矛盾;仿真靶場侷限性與現實網絡複雜性的矛盾;仿真環境通用性與關鍵設施差異性的矛盾;靶場架構固化性與現實威脅多樣性的矛盾;靶場能力單純性與體系對抗綜合性的矛盾;靶場建設艱鉅性與現實需求急迫性的矛盾。
針對實踐中總結出的六大痛點,張錦章詳細介紹了360虛擬仿真靶場建設的五大目標,“一是靈動,將繁重的資源籌備與調度交給雲,將複雜的場景構建交給專業的虛擬化網絡引擎。二是高仿真,場景從現實到虛擬,效果從虛擬到現實。三是基於實戰,一方面在真實性網絡攻擊挑戰下有效檢驗客户信息系統和安全防護體系整體的安全能力,另一方面檢驗和訓練安全團隊基於一線安全防禦工具/系統的對抗能力。四是高可用性,不需等待很長的建設週期,支持用户相關業務的較高併發性,支撐用户對靶場業務場景的動態調整和擴容。五是業務聚焦,減負靶場業務管理和運行維護,為客户提供便利性靶場服務,使客户聚焦靶場業務核心。”
基於以上目標,360主要通過六大技術使模擬更真實。
靶標深度模擬技術,通過流量採樣和系統還原,使設備層、應用層和用户層的相關指紋信息自動配置相關虛擬機,並自動裝載所需應用及漏洞。
虛實結合技術,深層次虛實結合技術能夠通過自動化配置與管理,與場景完美融合。靶場平台預留統一實體設備管理與接入接口,併為每種設備量身定製管理插件,實現平台對實體設備的管理,從而允許用户通過拖拽等方式構建虛實結合場景,並實現自動化下發與配置。
高時效性場景更新技術,在目標場景中構建監控體系,實時判斷是否需要更新,並通過磁盤類的方式進行更新,解決一比一測試系統更新慢的問題。
行為模擬技術,攻防行為模擬技術利用人工智能模式匹配技術,結合海量攻擊技戰法和防護策略鏈,實現對攻防行為的智能化模擬。用户行為模擬技術可以提升場景模擬的真實程度,併為復現更多攻擊手法(釣魚、社工等)鋪平道路。
融合虛擬化組網技術,通過全虛擬、單一節點虛擬、邊緣節點虛擬相結合的方式降低成本。
場景行為監控技術,流量監控分析、行為捕獲、屏幕抓取及錄製等可以利用實網攻防演練靶場積累的技術,讓虛擬仿真靶場更類似於實網攻防靶場。
實網攻防靶場的“戰”和虛擬仿真靶場的“訓”已經成為當前政府、公安、教育、金融、國家基礎設施等各行各業的迫切需求,實網攻防靶場和虛擬仿真靶場作為“新式兵器”將有助於提升行業安全整體防禦能力,也將為網絡安全的發展帶來新的機遇。未來,360將與更多政府機構、企事業單位合作,提高國家網絡攻防演練水平,確保網絡攻防演練規範、安全、自主、可控。
雷鋒網雷鋒網