危則變,變則通,通則久。網路攻防是一場此消彼長的動態平衡較量,當前國際網路安全域性勢日趨複雜與嚴峻,合規驅動的正向網路安全防護思維已經不足以滿足各行各業的新生安全需求,逆向思維的“實網攻防演習”便成為企業精準評估自身潛在脆弱性、驗證安全防護是否健全的首選方案。
對以安全為基的金融行業來說,新技術的應用意味著新“防區”的出現,攻守博弈也隨之成為維護金融穩定的又一常態。10月23日,2020年金融網路安全攻防技術論壇在北京召開,360攻防事業部總經理張錦章帶來《網路攻防靶場技術先進性》的主題演講,圍繞實網攻防靶場平臺和虛擬攻防靶場平臺,分享了靶場建設理念與領先技術。
講百遍不如“打”一遍基於真實目標的無限制對抗合規驅動是正向思維,攻防演練是逆向思維。實網攻防演習可以更好地應對不斷演化的網路攻擊威脅、檢驗攻防能力、迭代防禦體系,從而打造與時俱進的金融安全生態。360攻防事業部總經理張錦章表示,實網攻防靶場是承載演習活動的支撐平臺,從攻擊終端、網路通道、資料分析等多個環節充分保障演習的安全性、可靠性、時效性和靈活性。同時,平臺透過指揮排程、攻防態勢等視覺化功能可以直觀地反映出攻守雙方的實時戰況、攻防成果以及攻守雙方現場情況。
張錦章結合多年的實踐經驗,總結出實網攻防靶場建設的六大關鍵要素:實戰出發、雲地結合、流程完備、能力全面、驗證客觀、安全可控。實戰出發不同於深度測試和虛擬靶場演練,是以真實目標進行演練,攻擊手段更為多樣;此外,需要將雲服務和本地服務模式相結合,既滿足效能擴充的需求,也能滿足確保金融機構資料不外流的需求;與此同時,整個攻防演練有一套完備的流程,包括調研階段、準備階段、實施階段、總結階段、整改階段;在攻擊、防守以及流程中,都需要全面的能力提升;還要驗證人、驗證網、驗證漏洞,所有人、資產、資訊、手法都需要在平臺進行監控,防止關鍵基礎設施業務受到影響;最後,還要做到網路層面的安全、區域網的安全、人的安全、過程安全還有平臺自身安全。
基於對六大關鍵要素的理解,360政企安全集團在實網攻防靶場的建設中使用了三大領先技術。
面向實網攻防靶場的網路隔離技術。主要應用於三方面,一方面是認證接入網路,二是內部應用的網路,三是攻擊專用網路,這三個網路都需要完全隔離。
攻擊IP地址偽裝與切換技術。包括攻擊IP偽裝與實時擴充、攻擊IP快速切換、攻擊IP安全管控、攻擊IP溯源。
靶場安全技術更類似於一套解決方案,從事前、事中、事後保證整個平臺安全。具體包括賽前人員安全,賽中終端、評論、流量審計,賽後防守總結、防守資產確認、甲方安全能力註冊、問題複測與整改,以及最終的實戰演練。
厲兵秣馬 百鍊成鋼高模擬練兵場全面提升安防水平實網攻防靶場主要透過實戰找出企業防守不足之處,而提高安防水平,更多需要“訓”和“練”。在模擬靶場中開展實操訓練、能力考核,可以實現人員安全意識以及安全防護能力雙提升。
不可忽視的是,虛擬模擬靶場面對六大現實問題:模擬靶標滯後性與現實目標漸變性的矛盾;模擬靶場侷限性與現實網路複雜性的矛盾;模擬環境通用性與關鍵設施差異性的矛盾;靶場架構固化性與現實威脅多樣性的矛盾;靶場能力單純性與體系對抗綜合性的矛盾;靶場建設艱鉅性與現實需求急迫性的矛盾。
針對實踐中總結出的六大痛點,張錦章詳細介紹了360虛擬模擬靶場建設的五大目標,“一是靈動,將繁重的資源籌備與排程交給雲,將複雜的場景構建交給專業的虛擬化網路引擎。二是高模擬,場景從現實到虛擬,效果從虛擬到現實。三是基於實戰,一方面在真實性網路攻擊挑戰下有效檢驗客戶資訊系統和安全防護體系整體的安全能力,另一方面檢驗和訓練安全團隊基於一線安全防禦工具/系統的對抗能力。四是高可用性,不需等待很長的建設週期,支援使用者相關業務的較高併發性,支撐使用者對靶場業務場景的動態調整和擴容。五是業務聚焦,減負靶場業務管理和執行維護,為客戶提供便利性靶場服務,使客戶聚焦靶場業務核心。”
基於以上目標,360主要透過六大技術使模擬更真實。
靶標深度模擬技術,透過流量取樣和系統還原,使裝置層、應用層和使用者層的相關指紋資訊自動配置相關虛擬機器,並自動裝載所需應用及漏洞。
虛實結合技術,深層次虛實結合技術能夠透過自動化配置與管理,與場景完美融合。靶場平臺預留統一實體裝置管理與接入介面,併為每種裝置量身定製管理外掛,實現平臺對實體裝置的管理,從而允許使用者透過拖拽等方式構建虛實結合場景,並實現自動化下發與配置。
高時效性場景更新技術,在目標場景中構建監控體系,實時判斷是否需要更新,並透過磁碟類的方式進行更新,解決一比一測試系統更新慢的問題。
行為模擬技術,攻防行為模擬技術利用人工智慧模式匹配技術,結合海量攻擊技戰法和防護策略鏈,實現對攻防行為的智慧化模擬。使用者行為模擬技術可以提升場景模擬的真實程度,併為復現更多攻擊手法(釣魚、社工等)鋪平道路。
融合虛擬化組網技術,透過全虛擬、單一節點虛擬、邊緣節點虛擬相結合的方式降低成本。
場景行為監控技術,流量監控分析、行為捕獲、螢幕抓取及錄製等可以利用實網攻防演練靶場積累的技術,讓虛擬模擬靶場更類似於實網攻防靶場。
實網攻防靶場的“戰”和虛擬模擬靶場的“訓”已經成為當前政府、公安、教育、金融、國家基礎設施等各行各業的迫切需求,實網攻防靶場和虛擬模擬靶場作為“新式兵器”將有助於提升行業安全整體防禦能力,也將為網路安全的發展帶來新的機遇。未來,360將與更多政府機構、企事業單位合作,提高國家網路攻防演練水平,確保網路攻防演練規範、安全、自主、可控。
雷鋒網雷鋒網