烽火三十六技丨网络空间测绘技术在网络靶场中的应用浅析 – 作者:WebRAY

近年来,随着网络信息技术的迅猛发展,网络空间已渗透到政治、经济、外交、军事、文化等各领域,与传统的陆、海、空、天物理空间相互交织,对人类生产、生活、社会活动乃至意识形态的各个方面发挥越来越大的影响。网络空间的快速发展变化,连带着经济、社会、文化和军事的深刻变革,已经成为影响国家安全形势的重要因素。我们面临的安全威胁,日常大量发生的是来自被称为第五疆域的网络空间。为应对来自网络空间的安全威胁,人们建设了各类安全系统,发展了各种技术手段,网络靶场和网络空间测绘是近年来发展较快的两个技术领域。

一、网络靶场简述

网络靶场因其能够快速仿真模拟大规模网络系统,成为网络空间安全领域技术研究、装备工具测试、人才培养、攻防能力生成、技战法研究、安全策略及风险评估的基础平台,受到世界各个国家、各个行业的高度重视。早在2008年5月1日,美国防高级研究计划局(DARPA)就已发布关于展开“国家网络靶场”项目研发工作的公告,开始筹建美国国家网络靶场。与此同时世界各国都高度重视网络信息安全建设,纷纷组建自己的网络部队,使得全球的网络安全形势更加严峻。2008 年1 月,美国启动国家赛博靶场( NCR,National Cyber Range) 项目,NCR项目建成后将为美国国防部、陆海空三军和其他政府机构服务。2010年10月,英国国防部相关人员宣布成立英国联合网络靶场,该网络靶场可以与其它网络设施进行组网,并且是英国第一个可以用于商业用途的网络靶场。目前世界主要强国均已启动国家网络靶场建设。

习总书记强调指出:没有网络安全就没有国家安全。网络安全的本质在对抗,对抗的本质在攻防两端能力的较量。我们既要铸造坚实的盾,也要锻炼锋利的牙,在矛和盾的持续较量中实现攻防兼备。我国网络靶场建设起步较晚,仅有不多的科研院所、网络安全公司,以及监管单位在探索研究建设,但技术进步和发展势头很快,网络靶场的建设规模在不断增大,能够模拟的场景也越来越丰富,应用领域也越来越广。

随着向城市级、城市集群级甚至国家级规模的演练场景进化,网络靶场的构成越来越复杂,既有金融、交通、能源等各类行业模拟网络,也有工业互联网、工控系统、5G网络等重要基础设施模拟网络。同时,不断向虚实结合发展,不仅仅采取虚拟化技术进行模拟仿真,还大量接入实体设备,导致网络靶场越来越成为一个实体网络空间,越来越像一个缩小版互联网,传统网络空间中的复杂、混沌问题同样存在于网络靶场中,这些都给网络靶场的导调演练、态势监控、管理运维等都带来了巨大挑战,仅仅依赖传统的基于合作的被动的设备信息收集已不能满足要求,而网络空间测绘技术恰恰能够弥补此类不足。

二、网络空间测绘技术简述

网络空间测绘技术是通过网络测量、网络实体定位和网络连接关系及其他相关信息的可视化等理论和科学技术手段,对网络空间进行真实描述和直观反映的一种创新技术。网络空间测绘的目标是实现对来源众多、类型各异的网络空间资源的全面测绘,是实现网络空间资产摸底、落实“摸清家底”要求的重要手段和方法,是网络空间有效治理的前提条件。通过定期对范围内的网络空间进行持续性扫描,对关注范围内的网络资产设施进行普查,绘制网络空间地图,摸清网络空间各种信息资产(实体和虚拟资产),不仅为各类应用提供地图数据和技术支撑,也能够提升网络空间演习演练和实网对抗的筹划指挥能力。

网络空间测绘技术的主要技术手段和重要功能组成是网络空间资产探测,即测绘技术中的“测”。网络空间资产探测从探测机理上主要分为主动探测和被动探测两种手段。目前网络空间资产探测以主动探测为主,基本技术思路是利用探测扫描引擎,针对网络空间中的IP和域名节点,采取一定的策略进行协议交互,对目标回包进行分析,进而发现目标资产的端口、服务、设备型号、操作系统、应用组件等信息。被动探测目前在网络空间资产探测上处于辅助补充地位,基本技术思路是利用流量分析引擎,处理网络核心路由器和交换机等流量关口的汇聚流量,对其进行协议解析,进而识别资产相关信息。另外,近年来在以上技术手段的基础上逐步发展出了深度资产探测,深度资产探测更多采取主动探测手段,在完成常规探测、获取到资产基本信息的基础上,根据现有信息针对某些应用和协议,在保证目标资产正常运转的基础上发送更多数据包,与目标进行更进一步的协议交互,从而发现资产的更多、更深入信息。

网络空间测绘技术除了上述资产探测技术之外,还包含了“绘”的技术,基本技术思路是对探测的资产信息进行整理、归类、处理,打上标签标识,进行关联分析,并与资产漏洞信息、资产行业属性、地理位置信息等其他各类相关信息相结合,运用可视化技术绘制出来。网络空间测绘技术是一种应用广泛的技术手段,主要目的是获取和绘制网络空间各类信息(以资产信息为主),是网络空间基础信息获取和提供的重要手段。

网络空间测绘技术只是一种获取信息的手段,其目的性其实更多体现在各类业务应用中,目前一个比较明确的目的是网络攻防领域的网络空间地图绘制,网络空间地图能够成为网络攻防双方重要的“作战地图”,可为攻防双方绘制网络空间对抗博弈的沙盘。从实网对抗来看,构建数字世界的高清地图可以提供核心安全技术能力,助力相关用户实现网络空间“挂图作战”。

三、网络空间测绘技术在网络靶场中的应用

基于前述分析,网络空间测绘技术能够在网络靶场中得到广泛应用。从网络靶场中对抗演练的参与方角度来区分,主要有以下几个方面的应用:

一是为攻击方提供网络空间侦察手段,绘制作战地图,辅助完成攻击路径选择、攻击战法运用和攻击手段决策,实现网络攻击“挂图作战”。运用主动探测手段,获取目标节点资产信息,对其网络的安全情况进行探测摸底,弄清楚目标网络中的漏洞分布,在此基础上绘制出攻击者视角网络空间地图,帮助攻击团队根据地图决定重点攻击方向、挑选主要攻击目标和采取相应攻击手段。网络空间测绘技术在攻击方的应用以主动探测手段为主,更多进行深度探测,并结合漏洞扫描技术、PoC验证技术以及其他攻击手段,重点在于弄清楚目标网络的对外服务情况和脆弱性分布,为攻击方攻击技战术运用提供决策依据。

二是为防守方提供网络空间监控手段,绘制防守地图,辅助完成事前摸底排查、事中检测监控和事后响应处置,实现网络防守“挂图作战”。运用主动探测和被动探测手段,二者结合对所属网络资产和安全情况进行全面摸底,绘制防守者视角网络空间地图,帮助防守团队根据地图进行事前摸底排查,开展暴露面收敛、升级加固等工作,同时提供事中检测监控和事后响应处置的基础数据支撑。网络空间测绘技术在防守方的应用运用主被动结合探测手段,并结合漏洞扫描技术、PoC验证技术以及其他威胁发现技术手段,另外如有实现条件,还可与WAF、防火墙、IDS、蜜罐等其他安全防护设备联动,为防守方提供作战地图支撑,以及更进一步的防护动作“图上作业”。

三是为导演组织方提供网络靶场态势监控手段,实现网络靶场全景信息掌握。运用主动探测和被动探测手段,二者结合对整个网络靶场的资产和安全情况进行全面摸底,并记录其变化情况,同时融合其他业务系统的数据,绘制整个网络靶场的动态网络空间全息地图,为导演组织方提供网络靶场整体全景信息地图。网络空间测绘技术在导演组织方的应用更强调数据的融合处理,可以直接从攻防双方的网络空间地图获取数据,也可与现有合作条件下的监控手段相结合,以及与网络靶场原有各类业务系统联动,融合相关数据,弥补遗漏,展示网络靶场全貌,为导演组织方的靶场运维、演练导调、攻防裁决、阶段总结、事后复盘等提供支撑。
来源:freebuf.com 2021-05-24 10:23:53 by: WebRAY

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论