【牛人访谈】工业4.0时代的软件定义安全靶场
2020-09-03 15:27:20 Author: www.aqniu.com(查看原文) 阅读量:299 收藏

【牛人访谈】工业4.0时代的软件定义安全靶场

星期四, 九月 3, 2020

随着5G和万物互联IOT时代的到来,无人驾驶、智能工厂全面普及,人人互联、机机互联,甚至人机互联成为可能,而网络风险和威胁也与日俱增,漏洞和病毒造成的后果也更加严重,尤其是在能源、电力、通信、交通、军工、智能制造等领域的关键信息基础设施的网络安全隐患尤为突出。

随着工业4.0时代的到来,工业控制系统网络安全面临更为艰巨的挑战。工业控制系统环境的复杂性、设备组件的多样化、工业协议的相对封闭性等一系列制约因素。对于工控系统而言,一旦遭到病毒、蠕虫等入侵,系统将会面临停机的风险,带来不可估量的经济损失。因此,对工业控制系统进行测试、对工控安全进行研究的任务迫在眉睫。

近日,安全牛有幸采访了博智安全科技股份有限公司创始人傅涛,就围绕软件定义靶场的建设思路进行了深入交流,以下是主要内容:

傅涛,博智安全创始人,博智安全科技股份有限公司董事长

工作期间先后主持国家工信部十余项国家省级发改委和科技部(厅)专项,先后获得中国人民解放军科技进步奖1次,江苏省科技进步奖1次,省优秀软件产品金慧奖6次,南京市优秀发明专利奖1次,南京市科技进步奖5次。

个人入选中共中央组织部“万人计划”,国家科技部“创新创业人才”,江苏省组织部“科技企业家”,江苏省经信委”产业教授“,江苏省”六大人才高峰计划“,江苏省“333人才工程计划”南京市中青年“拔尖人才”,南京市经信委“科技创业家”。

傅涛:随着信息技术迅速发展,5G的大规模应用,网络空间安全已成为世界各国关注的重点。近年来,病毒攻击事件频发。2012年伊朗核电站病毒事件、2015年乌克兰电力系统被攻击导致大规模停电、2018年台积电受攻击导致停产等,这些针对工控领域的攻击对国家正常生产和安全造成了严重破坏,其影响和打击力度不亚于一次中等规模的战争。因此国家重点行业工控系统安全是亟待解决的关键问题,迫切需要深入研究,采取有效措施,扎实突破互联网核心技术,掌握“命门”,构建可信基础产品体系,可控重大工程体系,可信赖安全服务体系,支撑重要行业信息系统的高可靠、高性能和高安全,加快构建关键信息基础设施安全保障体系。

这里最关键的就是要解决“人才+技术”的短板问题,需要政府引导,龙头主导,企业参与,产业链聚集,面向工业互联网、物联网、互联网全场景,虚实结合模式,打造集仿真实验、联合攻关、孵化验证、人才培训、比武竞技、测评认证五位一体的国家级综合网络安全靶场;构建全面工控安全知识图谱,提供联合攻关、创新孵化、仿真实验、人才培训和测评认证服务;手把手-教、真刀真枪-比、真实环境-验证的技术服务。

网络安全靶场针对不同行业需要不同的网络环境构建,运行系统部署,应用程序加载,以及不同的漏洞部署,那么就需要引入软件定义技术,将软件逻辑与硬件资源充分解耦,自上而下设计编排,映射资源池,构建环境。其中硬件可以是服务器,路由器,防火墙,工控PLC。同时这些物理资源也可以虚拟化,虚拟路由器、虚拟防火墙这些都是比较成熟的技术。工控PLC虚拟化是将PLC软件化,协议也是虚拟化,可以和实际物理PLC一样,基于IEC61131-3进行控制逻辑设计,生成IEC程序,只是虚拟化PLC是将IEC程序转换成C语言程序,加载的虚拟PLC执行,从而完全虚拟与实际物理场景一样的控制逻辑,做到场景可定义、应用可定义、网络可定义、系统可定义、漏洞可定义,进而做到覆盖全行业场景,全产业要素,全领域空间的安全实操演训,从而方便灵活的构建安全技术创新孵化体系、安全比武打擂攻防技术体系、安全人才培训体系、安全测评认证体系,承担起网络空间安全领域基于实战环境的创新攻关、比武竞技、人才培训、测评认证四大核心功能和任务。

傅涛:传统技术是针对某个特定场景的靶场定制开发对应的功能,、灵活度,、可扩展性都是欠缺的,而软件定义技术将物理层与逻辑层完全解耦,可以将物理及虚拟资源池化,自上而下定义场景,自由组合功能逻辑按需建立与物理及虚拟资源的映射,具备高度的灵活性和可扩展性。这样我们就可以深入具体行业,基于软件定义技术,结合安全态势感知、主机及流量探针、脆弱性分析、恶意代码分析等技术,做到不同行业场景360°全息感知攻防过程,明确攻防意图,帮助不同行业客户合理应对安全事件,将负面影响最小化,培养安全人员技能水平、加强安全网络环境建设、提高设施环境安全防护。

软件定义靶场具有以下几点核心优势:
1、高:目标场景仿真度高,基于场景可定义,可以让用户通过拖拉拽的方式定义环境,配置场景,自动与虚拟资源和物理资源关联映射,构建出基于用户意图的高仿真目标场景。

2、强:攻防过程以及结果感知强,基于高仿真环境,结合综合评估系统,使用丰富的三维态势,做到事前、事中、事后的整体综合评估,全面展示攻防过程、态势分析效果。

3、智:靶场运维智能化,基于软件定义分层抽象,软件业务逻辑层根据业务应用与物理资源层自动建立映射,各层状态有机联动,自动配置构建目前网络;基于安全分析组件发现系统安全隐患精准定位目标网元执行自动加固,结合故障分析组件,出现故障节点通过调度资源池进行动态弹缩扩展或者替换自动恢复,从而形成一个自动加固优化,自动映射配置,自愈恢复的智能化系统。

自动加固和自愈恢复是需要在基于软件定义层次架构下才能实现,对于加固策略的自动执行,这需要上层应用逻辑和底层物理资源建立关联映射,其状态才能有机联动,同时基于联动的关联关系,精准定位执行加固策略。对于故障自愈也是一样,这是一个立体关联的模型,任何一个节点出现故障可以及时发现,通过调度资源池进行动态弹缩扩展或者替换做到自愈。

4、宽:靶场覆盖行业宽,基于软件定义技术,用户可以灵活定义所属行业的环境场景,可以覆盖传统网络靶场、工业网络靶场、电信网络靶场、卫星遥感网络靶场、智能制造靶场、核电控制靶场等多种靶场环境。软件定义靶场基于分层抽象架构,通过网络虚拟化,工控系统虚拟化,结合集群管理、智能运维、资源池化管理等平台组件,自动构建各种工控网络场景。同时可以通过植入基于意图的网络安全分析IBNS,可为客户提供多维度基于意图的产品安全测试验证、攻防对抗训练、比武竞赛、攻防武器的验证等功能。

傅涛:是的,工控行业非常广,涉及电力、核电、轨交、汽车制造、粮食加工、化学制药、金属矿山等等,我国工控细分领域就多达40多种,要做到全行业覆盖的网络靶场是很困难,而软件定义技术,虚拟化技术以及虚实结合技术使得全行业覆盖成为可能。

首先,从理论上看,通过分层抽象,将物理资源及虚拟资源池化,逻辑层根据业务应用进行映射调度,将业务功能逻辑抽象封闭,物理层可以自由扩展,上层应用依赖功能抽象逻辑,而不与实际物理或虚拟设备绑定,做到软件可定义,可编程;基于此这样的架构,产品能够分层横向扩展,不断完善和扩展应用场景和业务功能。比如对于工控的各个行业最主要的控制单元就是PLC,我们可以使用实际的PLC产品,也可以虚拟化PLC,纳入软件定义靶场的资源池,这样就可以针对大部分工控行业,比如电力、轨交、水处理、化工等行业,在上层通过拖拉拽方式构建工程图,再基于IEC61131标准进行控制逻辑定义,加载到关联映射的PLC上,从而就构建出了对应的工控靶场。对于相对复杂的行业,比如核电行业,其反应堆、蒸汽发生器、稳压器、涡轮发电机、水槽、给水泵、重力棒、冷凝器等,都可以物理仿真或虚拟化,纳入资源池,通过软件定义建立关联映射构建核电靶场。

再从实现方式看,可以通过构建一种基于软件定义靶场的平台,分为基础设施、业务平台、服务平台,建立工控行业靶场标准规范,打造一种生态圈,可以容纳各行业环境、场景、应用、系统、漏洞定义,在该平台上实现并验证,结合全社会力量不断完善和增强。对于基础设施主要针对各个行业所涉及的物理资源进行虚拟化或物理仿真资源化,建立基础设施资源池。业务平台主要针对不用行业所涉及的业务逻辑进行封装组件化,用于上层服务业务逻辑定义。服务平台主要针对不同行业构建对应服务系统,如实训、竞赛、测评等。

傅涛:通常用户对网络安全靶场的需求分为两类,第一类,就是对业务覆盖需求,这个之前已经谈过了。第二类,就是服务应用及运维需求,这是一个很关键也很重要的需求,直接关系到网络安全靶场发展。

不同行业不同企业其体量和规模都是不一样的,对于体量大规模大的企业客户,其所掌握的资源较多,对于这类客户完全可以给予定制并独立部署网络安全靶场满足其需求,但是更广泛的企业用户是不具备这种资源的,大部分客户无法也不愿意承担部署运维独立网络安全靶场的成本,于是基于软件定义靶场构建一种网络靶场即服务(SDRaaS)的构想就被提出来了,可以基于云服务技术部署软件定义靶场向广大工控企业用户发布工控安全靶场服务。客户可以直接使用靶场服务定义所需环境及场景,进行安全攻防演练及验证。

软件定义靶场即服务(SDRaaS)可以给广大客户带来三方面的价值:

1、省去建设成本: 部署一套网络靶场需要采购服务器,物理仿真等资源,其建设成本还是比较高的,通过靶场即服务,客户可以省去部署和采购,直接使用靶场服务,省去了建设成本;

2、提升用户体验:通过软件定义方式构建用户所需靶场环境和场景可以交付给客户一个最具体验性的产品和服务,用户不需关心所需资源,直接定义场景使用体验;

3、没有运维成本:通过靶场即服务提供给客户一整套靶场解决方案,具备灵活的及时访问和现场支持能力,同时整个系统的运维客户都不用关心,不需要单独建立运维团队,只需要直接使用对应的靶场服务。

可以看到通过靶场即服务这样一种服务方式所带来的客户价值,将非常容易推广网络安全靶场,服务于各类工控企业,推动工控安全的可持续发展,形成关系国计民生的关键行业系统有力的安全保障。

傅涛:可以预见,网络靶场将向着安全体系化、数据智能化、场景融合化、协议标准化等方向发展,网络靶场建设不仅是取得国家网络空间安全主导权的关键领域,也是确保国家网络安全的战略新高地。未来,将通过网络虚拟化、工控系统虚拟化,结合集群管理、智能运维、资源池化管理等平台组件,自动构建各种工控网络场景,在此基础上叠加各种业务功能组合成软件定义靶场,基于场景可定义、应用可定义、网络可定义、系统可定义及漏洞可定义,着力打造如下七种新型工控安全网络综合靶场场景:

1、沉浸式人机交互靶场:基于虚拟现实技术,结合3D多维呈现技术实现第一人称视角的人机交互系统,让用户真实感知系统运行全过程,并可以及时干预。

2、意图驱动靶场:基于IBNS分析技术,结合网络探测技术收集数据,经过抽取,转换,加载综合横向分析,提取有效信息,随着网络和威胁态势的变化实时精炼安全。

3、城市级靶场:基于微服务架构,结合负荷分担及动态弹缩技术,实现超大规模场景综合部署,将城市中多场景靶场同时运行。

4、跨网联动靶场:基于开闭原则,结合分层抽象 软件架构技术,场景易于扩展,场景可综合跨领域,可实现纵向跨网联合攻击的综合网络安全靶场 。

5、自主攻防靶场:基于大数据机器学习技术,归类对应场景的攻防特征,能够自适应进行攻防操作,实现智能化人机交互 。

6、零部署靶场:通过分层抽象,物理资源池化,分层映射调度,基于用户意图构建网络环境,自动配置,出现故障能够自愈的系统,实现智能运维,自动化部署。

7、全息感知靶场:通过虚实结合,基于主机及流量探针,做到全过程可视化,所见即所得,验证结果实时展示。

相关阅读

IBM把网络安全靶场放到了汽车里

【牛人访谈】大决战:数字孪生城市的安全之道


文章来源: https://www.aqniu.com/homenews/69882.html
如有侵权请联系:admin#unsafe.sh