靶场发展态势③美国防部赛博安全靶场(IAR/CSR)
美國(guó)國(guó)防部在2018年依據(jù)美國(guó)白宮公布的《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》(National CyberStrategy),制定其《國(guó)防部網(wǎng)絡(luò)戰(zhàn)略》(Department ofDefense Cyber Strategy),闡明落實(shí)網(wǎng)絡(luò)戰(zhàn)略目標(biāo)的五大路線:建立致命戰(zhàn)力、網(wǎng)絡(luò)空間競(jìng)爭(zhēng)與嚇阻、強(qiáng)化同盟并吸引新合作伙伴、部?jī)?nèi)組織改革、以及人才培育。依循此路線,美國(guó)國(guó)防部在其網(wǎng)絡(luò)戰(zhàn)略中,亦明確指出三個(gè)作戰(zhàn)概念,遂行網(wǎng)絡(luò)作戰(zhàn):收集情報(bào)、為危機(jī)或沖突時(shí)所需的軍事網(wǎng)絡(luò)作戰(zhàn)能力進(jìn)行準(zhǔn)備、「前沿防御」(Defend forward)以從源頭破壞或終止惡意網(wǎng)絡(luò)行動(dòng)(disrupt or haltmalicious cyber activity at its source)。新的作戰(zhàn)概念「前沿防御」,意味著美國(guó)會(huì)采取更具攻擊性的手段進(jìn)行防御,此概念勢(shì)必透過(guò)網(wǎng)絡(luò)任務(wù)部隊(duì)的編制、演訓(xùn)等來(lái)實(shí)施,為此美軍已實(shí)施網(wǎng)絡(luò)空間靶場(chǎng)綜合體及網(wǎng)絡(luò)作戰(zhàn)平臺(tái)“統(tǒng)一平臺(tái)”等實(shí)施載體,CSR作為網(wǎng)絡(luò)空間靶場(chǎng)綜合體的一部分,本小節(jié)將介紹美國(guó)國(guó)防部賽博安全靶場(chǎng)。
?
2.4.1.CSR背景
?
CSR全稱是DoD Cyber SecurityRange,中文簡(jiǎn)稱賽博安全靶場(chǎng),是美國(guó)國(guó)防部國(guó)防信息系統(tǒng)局組織建設(shè)的一個(gè)專(zhuān)門(mén)模擬仿真美軍國(guó)防網(wǎng)絡(luò)環(huán)境的測(cè)試與評(píng)估靶場(chǎng),是美國(guó)國(guó)防部四大靶場(chǎng)之一。美軍國(guó)防信息系統(tǒng)局賽博安全靶場(chǎng)(CSR)前身是2010年美軍組建的信息保障/計(jì)算機(jī)網(wǎng)絡(luò)防御靶場(chǎng)(DoD IA/CND Range,IAR),以下簡(jiǎn)稱IAR靶場(chǎng)。后來(lái)根據(jù)使命任務(wù)及作戰(zhàn)演訓(xùn)需要,以及2014年美軍將“信息保障”重新定義為“賽博安全”,奇熱將“全球信息柵格GIG”變更為“國(guó)防部信息網(wǎng)絡(luò)”,該靶場(chǎng)的名稱也隨之變更為美國(guó)國(guó)防部賽博安全靶場(chǎng)(CSR)或美軍國(guó)防信息系統(tǒng)局賽博安全靶場(chǎng)。同時(shí),作為美國(guó)國(guó)家網(wǎng)絡(luò)空間靶場(chǎng)綜合體計(jì)劃的一部分,美軍國(guó)防信息系統(tǒng)局賽博安全靶場(chǎng)(CSR)同時(shí)也和國(guó)防部的其他三大靶場(chǎng)如JIOR、NCR以及C4AD靶場(chǎng)進(jìn)行互聯(lián)互通和資源共享。
全球信息柵格(GIG)的普遍互連性使其日益成為網(wǎng)絡(luò)攻擊新的源頭,對(duì)攻擊者的吸引力日益增加,美軍為保障全球信息柵格(GIG)的信息安全,著手準(zhǔn)備建立針對(duì)全球信息柵格(GIG)的模擬仿真靶場(chǎng),以研究和測(cè)試全球信息柵格(GIG)信息保障和防御技術(shù),并更好的保護(hù)全球信息柵格(GIG)。全球信息柵格GIG是美國(guó)在2014年之前主要運(yùn)行的,通過(guò)光纜連通分布全球的美軍基地國(guó)防信息基礎(chǔ)設(shè)施全部節(jié)點(diǎn),囊括各軍種作戰(zhàn)網(wǎng)絡(luò)和軍事衛(wèi)星網(wǎng)、聯(lián)合戰(zhàn)術(shù)無(wú)線網(wǎng)絡(luò)的全球軍用作戰(zhàn)網(wǎng)絡(luò)。2014年升級(jí)為國(guó)防部信息網(wǎng)絡(luò)(DoDIN)。
IAR靶場(chǎng)基于美國(guó)國(guó)家全面網(wǎng)絡(luò)安全計(jì)劃(CNCI)、國(guó)家安全總統(tǒng)令54、國(guó)土安全部總統(tǒng)令23進(jìn)行構(gòu)建,由國(guó)防部CIO、DISA和HQMC C4聯(lián)合執(zhí)行。計(jì)劃支持信息保障(IA)、計(jì)算機(jī)網(wǎng)絡(luò)防御(CND)和其他源自網(wǎng)絡(luò)中心戰(zhàn)略和國(guó)家綜合網(wǎng)絡(luò)安全計(jì)劃(CNCI)的國(guó)防部(DoD)網(wǎng)絡(luò)要求,以提高國(guó)網(wǎng)網(wǎng)絡(luò)的安全性網(wǎng)絡(luò)并培育網(wǎng)絡(luò)安全教育。IAR靶場(chǎng)提供了操作上逼真和可控的網(wǎng)絡(luò)仿真模擬環(huán)境,以支持演習(xí)、培訓(xùn)、測(cè)試和評(píng)估,而不會(huì)對(duì)運(yùn)營(yíng)網(wǎng)絡(luò)造成任何風(fēng)險(xiǎn)。它還提供網(wǎng)絡(luò)操作(NetOps)、CND、IA以及可利用和攻擊的網(wǎng)絡(luò)事件,并支持新功能的測(cè)試和評(píng)估,具有快速經(jīng)驗(yàn)積累的沉浸式培訓(xùn),戰(zhàn)術(shù)技術(shù)和程序(TTP)的開(kāi)發(fā)和驗(yàn)證,系統(tǒng)互操作性和集成測(cè)試,運(yùn)營(yíng)和開(kāi)發(fā)測(cè)試以及認(rèn)證和鑒定能力測(cè)試等。
該靶場(chǎng)主要由美泰科技(ManTech)進(jìn)行構(gòu)建,包括第一代的IAR靶場(chǎng)以及第二代的CSR靶場(chǎng)。美泰科技創(chuàng)立于1968年,總部位于美國(guó)弗吉尼亞州Fairfax,全職雇員7,000人,是一家國(guó)防信息安全技術(shù)服務(wù)供應(yīng)商,為美國(guó)國(guó)防及政府設(shè)計(jì)、開(kāi)發(fā)、采購(gòu)和維護(hù)任務(wù)關(guān)鍵的企業(yè)信息技術(shù)。美泰科技為CSR提供的現(xiàn)實(shí)世界網(wǎng)絡(luò)效果建模如下圖所示:
圖27 CSR現(xiàn)實(shí)世界網(wǎng)絡(luò)效果建模
和上述小節(jié)我們概述的JIOR和JCOR靶場(chǎng)的不同點(diǎn)在于,IAR靶場(chǎng)/CSR是模擬美軍國(guó)防及涉及國(guó)防的企業(yè)網(wǎng)絡(luò)環(huán)境,而JIOR是美軍諸多兵軍種網(wǎng)絡(luò)測(cè)試環(huán)境的聯(lián)合體,JCOR則是美軍諸多兵軍種各自的模擬器建模的專(zhuān)網(wǎng)環(huán)境的測(cè)試環(huán)境聯(lián)合體。CSR最初是的使命也是為了基于仿真的國(guó)防網(wǎng)絡(luò)環(huán)境測(cè)試和評(píng)估新功能以及培訓(xùn)國(guó)防網(wǎng)絡(luò)維護(hù)者的計(jì)算機(jī)防御技能。
2.4.2.IAR架構(gòu)
?
IAR靶場(chǎng)是一個(gè)基礎(chǔ)架構(gòu)平臺(tái),旨在將分布式和異構(gòu)的信息保障(IA)體系結(jié)構(gòu)系統(tǒng)和解決方案與國(guó)防部(DoD)計(jì)算機(jī)網(wǎng)絡(luò)防御(CND)操作層次結(jié)構(gòu)進(jìn)行集成。IAR靶場(chǎng)為國(guó)防部利益相關(guān)者提供了增強(qiáng)GIG安全態(tài)勢(shì)的途徑。
IAR靶場(chǎng)為網(wǎng)絡(luò)演習(xí),CNDSP培訓(xùn)以及CND產(chǎn)品和操作策略、技術(shù)和程序(TTP)的測(cè)試和評(píng)估提供了一個(gè)聯(lián)合服務(wù)環(huán)境,該環(huán)境反映了DoD NetOps 1-3層上的全球信息柵格(GIG)的信息保障/計(jì)算機(jī)網(wǎng)絡(luò)防御(IA/CND)功能和網(wǎng)絡(luò)服務(wù)。IAR靶場(chǎng)1-3層典型的層級(jí)結(jié)構(gòu)如下圖所示:
圖28 DoD NetOps 1-3層級(jí)結(jié)構(gòu)
如圖所示,IAR靶場(chǎng)提供了通用的國(guó)防部(DoD)第1、第2和第3層功能。
第1層-企業(yè)層:提供模擬仿真的全球骨干網(wǎng)、企業(yè)CND工具(HBSS,ArcSight,Sourcefire)、企業(yè)服務(wù)(防火墻,網(wǎng)絡(luò)流量生成,帶寬整形,虛擬主機(jī)設(shè)施(DECC和CDC))、虛擬互聯(lián)網(wǎng)(Internet訪問(wèn)點(diǎn),虛擬Internet)等。該層通過(guò)上述服務(wù)模擬仿真GIG的全球網(wǎng)絡(luò),包括位于全球的美軍基地的國(guó)防信息基礎(chǔ)設(shè)施節(jié),包括各軍種作戰(zhàn)網(wǎng)絡(luò)和軍事衛(wèi)星網(wǎng)、聯(lián)合戰(zhàn)術(shù)無(wú)線網(wǎng)絡(luò)等。
第2層–組件層:提供特定的安全服務(wù),如邊界訪問(wèn)控制、安全隔離、安全防御等;以及包括海軍區(qū)域網(wǎng)絡(luò)、空軍機(jī)載網(wǎng)絡(luò)、陸軍戰(zhàn)術(shù)互聯(lián)網(wǎng)等戰(zhàn)區(qū)網(wǎng)絡(luò)遠(yuǎn)程連接(隧道)到IAR靶場(chǎng)的網(wǎng)絡(luò)通道,接口;并在服務(wù)/組件級(jí)別對(duì)這些資源進(jìn)行管理。
第3層-資源層:提供基礎(chǔ)的網(wǎng)絡(luò)架構(gòu),以及海量的主機(jī)設(shè)備等靶場(chǎng)資源。該層主要模擬的是GIG的戰(zhàn)術(shù)網(wǎng)絡(luò),包括海軍區(qū)域網(wǎng)子網(wǎng)、陸戰(zhàn)隊(duì)?wèi)?zhàn)術(shù)網(wǎng)、空軍戰(zhàn)術(shù)網(wǎng)、營(yíng)區(qū)/哨所/兵站節(jié)點(diǎn)等大規(guī)模的節(jié)點(diǎn)。
IAR靶場(chǎng)可以在獨(dú)立的模擬器模式下運(yùn)行,也可以與作戰(zhàn)司令部,服務(wù)和機(jī)構(gòu)(CC/S/A)提供的其他靶場(chǎng)進(jìn)行交互和互操作。IAR靶場(chǎng)的所有部分與作戰(zhàn)司令部,服務(wù)和機(jī)構(gòu)(CC/S/A)靶場(chǎng)之間的通信經(jīng)過(guò)加密信道傳輸,保障在傳輸過(guò)程中的安全性。所有IAR靶場(chǎng)流量路由及與其他靶場(chǎng)互聯(lián)路由均位于封閉的網(wǎng)絡(luò)環(huán)境中,不會(huì)影響到真實(shí)環(huán)境中運(yùn)行的網(wǎng)絡(luò)。
在建設(shè)的第一期美軍IAR靶場(chǎng)中,IAR靶場(chǎng)提供了一個(gè)多協(xié)議標(biāo)簽交換(MPLS)云,該云由代表DISA GIG的多個(gè)供應(yīng)商邊緣(PE)路由器組成。在PE路由器的下游是交互式基礎(chǔ)設(shè)施,該基礎(chǔ)設(shè)施由用于網(wǎng)絡(luò)(核心層,分布層,訪問(wèn)層)的標(biāo)準(zhǔn)Cisco設(shè)計(jì)模型組成,具有8個(gè)不同的分布區(qū)域(用戶區(qū)域),以模擬給定的基礎(chǔ)設(shè)施,以及托管以下服務(wù)的服務(wù)器場(chǎng):電子郵件(MS Exchange),Active Directory,域名系統(tǒng)(DNS),超文本傳輸協(xié)議(HTTP),文件共享和打印服務(wù)。一個(gè)基地內(nèi)的每個(gè)用戶區(qū)域可以支持10個(gè)虛擬局域網(wǎng)(VLAN),每個(gè)VLAN包含254個(gè)用戶。從第六臺(tái)PE路由器的下游有兩個(gè)設(shè)施,用于托管專(zhuān)用應(yīng)用程序,類(lèi)似于國(guó)防信息系統(tǒng)局(DISA)國(guó)防企業(yè)計(jì)算中心(DECC)和社區(qū)數(shù)據(jù)中心(CDC)的功能。比如IAR靶場(chǎng)CDC托管的ArcSight和SourceFire。
圖29 GIG與其他靶場(chǎng)連接和互操作
如上圖所示,處于圖中央的核心部分是以骨干網(wǎng)級(jí)路由器構(gòu)成的美軍全球信息柵格(GIG)骨干網(wǎng)模擬區(qū)域,周?chē)且劳忻儡娙蛐畔鸥?#xff08;GIG)骨干網(wǎng)而存續(xù)的美國(guó)防保障網(wǎng)絡(luò)模擬區(qū)域及區(qū)域下屬的模擬交互式基地;每個(gè)交互式基地都具有傳統(tǒng)的邊界體系結(jié)構(gòu),該體系結(jié)構(gòu)由屏蔽路由器,防火墻和接入路由器組成。在此邊界結(jié)構(gòu)內(nèi),存在受信任區(qū)和不受信任區(qū)域的非軍事區(qū)(DMZ),DMZ將作為隔離兩區(qū)域而存在,并設(shè)置網(wǎng)絡(luò)感測(cè)設(shè)備對(duì)流量進(jìn)行感測(cè)分析。
此外,IAR靶場(chǎng)還提供了由惡意網(wǎng)站和正常網(wǎng)站組成的虛擬互聯(lián)網(wǎng)功能,以及真正的DNS體系結(jié)構(gòu)。還復(fù)制了互聯(lián)網(wǎng)的接入點(diǎn)(IAP),允許GIG結(jié)構(gòu)與虛擬互聯(lián)網(wǎng)連接。IAP體系結(jié)構(gòu)中提供了互聯(lián)網(wǎng)屏蔽路由器,.mil代理(國(guó)防網(wǎng)絡(luò)站點(diǎn))和企業(yè)遞歸服務(wù)。真實(shí)再現(xiàn)美軍國(guó)防網(wǎng)絡(luò)互聯(lián)環(huán)境及安全防護(hù)體系,結(jié)合美軍全球信息柵格(GIG)骨干網(wǎng)模擬區(qū)域及交互式基地環(huán)境以及互聯(lián)網(wǎng)模擬區(qū)域,美軍將真實(shí)再現(xiàn)演練模擬攻擊者通過(guò)互聯(lián)網(wǎng)對(duì)美軍全球信息柵格(GIG)骨干網(wǎng)實(shí)施網(wǎng)絡(luò)攻擊的情形,并測(cè)試和評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)防御策略。
IAR靶場(chǎng)基于靈活的開(kāi)放式體系結(jié)構(gòu)設(shè)計(jì),并配置為支持每個(gè)攻防事件/練習(xí)的要求。包括培訓(xùn)和演習(xí)所需的網(wǎng)絡(luò)流量生成,威脅注入,操作系統(tǒng)類(lèi)型,補(bǔ)丁程序級(jí)別,計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)等,這些所需資源均根據(jù)攻防事件/練習(xí)要求進(jìn)行配置。該靶場(chǎng)的開(kāi)放式體系結(jié)構(gòu)允許在國(guó)防網(wǎng)絡(luò)1,2和3層上集成作戰(zhàn)司令部,服務(wù)和機(jī)構(gòu)(CC/S/A)的特定設(shè)備,應(yīng)用程序和配置。因此,該靶場(chǎng)允許測(cè)試、評(píng)估和確保企業(yè)信息保障(IA)設(shè)備和應(yīng)用程序的互操作性。并可以根據(jù)特定的測(cè)試要求配置虛擬網(wǎng)絡(luò)環(huán)境和區(qū)域資源。
2.4.3.IAR網(wǎng)絡(luò)環(huán)境和流量生成
?
IAR靶場(chǎng)使用諸如Systems AdministratorSimulation Trainer(SAST)和Breaking Point之類(lèi)的工具來(lái)創(chuàng)建和仿真模擬真實(shí)的國(guó)防網(wǎng)絡(luò)環(huán)境。
SAST是由太平洋西北國(guó)家實(shí)驗(yàn)室創(chuàng)建的一套軟件,旨在為培訓(xùn)人員進(jìn)行練習(xí)及測(cè)試工具時(shí)為其提供一個(gè)逼真的網(wǎng)絡(luò)靶場(chǎng)環(huán)境。是一個(gè)用于構(gòu)建靶場(chǎng)網(wǎng)絡(luò)環(huán)境功能的框架,該功能允許用戶通過(guò)輸入?yún)?shù)描述用戶行為并生成相應(yīng)的活動(dòng)流量和行為特征,仿真和模擬真實(shí)環(huán)境下的網(wǎng)絡(luò)活動(dòng)。SAST中有一個(gè)網(wǎng)絡(luò)流量合成器(ANTS)功能套件:
1、多用戶流量工具(MUTT):是一整套插件,可讓ANTS用戶人員通過(guò)定義描述并產(chǎn)生用戶操作行為,即用戶行為流量生成器。它主要是為產(chǎn)生正常的自然活動(dòng)流量而設(shè)計(jì)。MUTT是一款合成使用郵件客戶端,Web客戶端,SSH客戶端等工具的虛擬人代理插件集。當(dāng)虛擬人代理插件集在靶場(chǎng)環(huán)境運(yùn)行時(shí),根據(jù)用戶定義的描述參數(shù)或自定義默認(rèn)參數(shù),這些虛擬人代理插件集就會(huì)創(chuàng)建比如郵件發(fā)送、Web訪問(wèn)、SSH連接等用戶操作行為的網(wǎng)絡(luò)流量,為靶場(chǎng)人員測(cè)試安全設(shè)備和培訓(xùn)提供自然流量。
2、協(xié)同攻擊工具(CAT):是一整套插件,可讓ANTS描述攻擊者并生成其行為。CAT本身并不真正攻擊網(wǎng)絡(luò),而是依賴于現(xiàn)成的攻擊工具(如Metasploit)的攻擊方案創(chuàng)建攻擊行為。CAT是該靶場(chǎng)創(chuàng)建攻擊流量所使用的工具,同時(shí),靶場(chǎng)人員也可使用該協(xié)同工具實(shí)時(shí)網(wǎng)絡(luò)攻擊,或根據(jù)攻擊方案編寫(xiě)自動(dòng)化腳本實(shí)施自動(dòng)化攻擊。
3、虛擬互聯(lián)網(wǎng)提供模塊(VIPER)也是一套插件,使ANTS能夠描述和提供在互聯(lián)網(wǎng)或靶場(chǎng)本地局域網(wǎng)上可以找到的服務(wù),比如Web服務(wù),DNS解析服務(wù),電子郵件服務(wù)等。此功能的目的是增加通常靶場(chǎng)的互聯(lián)網(wǎng)仿真度,為該靶場(chǎng)的添加互聯(lián)網(wǎng)模擬資源。
4、管理套件工具SEAL。用于管理IAR靶場(chǎng)廣泛的資源以及參與者的本地和遠(yuǎn)程體驗(yàn),并具有多對(duì)多視圖。它具有以下概念:管理員可被授予管理靶場(chǎng)的權(quán)限,并對(duì)靶場(chǎng)的資源進(jìn)行增刪改查等操作,參與者將創(chuàng)建測(cè)試和評(píng)估任務(wù),并基于靶場(chǎng)環(huán)境進(jìn)行測(cè)試和攻防演訓(xùn),管理員將監(jiān)控參與者的靶場(chǎng)任務(wù)活動(dòng)情況并可對(duì)參與者任務(wù)進(jìn)行干預(yù)。
此外,IAR靶場(chǎng)還通過(guò)商業(yè)產(chǎn)品BreakingPoint來(lái)進(jìn)行實(shí)際應(yīng)用程序,實(shí)時(shí)安全攻擊和數(shù)百萬(wàn)用戶模擬來(lái)重新創(chuàng)建大規(guī)模互聯(lián)網(wǎng)的仿真模擬。包括:
1、用戶及網(wǎng)絡(luò)流量:為交互式基地、虛擬互聯(lián)網(wǎng)、美軍全球信息柵格(GIG)骨干網(wǎng)和其他軍兵種靶場(chǎng)創(chuàng)建大量逼真的用戶及應(yīng)用程序流量。
2、大規(guī)模網(wǎng)絡(luò)仿真:創(chuàng)建可以與IAR靶場(chǎng)交互并使IAR靶場(chǎng)實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)環(huán)境仿真的模擬網(wǎng)絡(luò)節(jié)點(diǎn)。
3、管理及網(wǎng)絡(luò)服務(wù)流量:在IAR靶場(chǎng)內(nèi)創(chuàng)建逼真的網(wǎng)絡(luò)管理和服務(wù)流量,以模擬網(wǎng)絡(luò)管理員和專(zhuān)門(mén)的網(wǎng)絡(luò)服務(wù)。
4、其他通訊介質(zhì)模擬:修改給定網(wǎng)段的特征,使其看起來(lái)像跨其他某種媒體類(lèi)型(如衛(wèi)星通信模擬、無(wú)線網(wǎng)絡(luò)模擬)。
5、威脅流量:創(chuàng)建大量以交互式基地和其他靶場(chǎng)位置為目的地的逼真威脅流量。
6、用于設(shè)備測(cè)試的腳本測(cè)試數(shù)據(jù)流(可重復(fù)和比較測(cè)試)。
7、捕獲遍歷IAR靶場(chǎng)的流量并將其保存(以供后續(xù)處理和數(shù)據(jù)流量在IAR靶場(chǎng)內(nèi)重放)。
8、支持和仿真MPLS和IPv6等高級(jí)網(wǎng)絡(luò)協(xié)議。
9、創(chuàng)建將以上各項(xiàng)組合到單個(gè)測(cè)試方案中的方案管理和應(yīng)用流程。
2.4.4.IAR物理組成
?
IAR靶場(chǎng)構(gòu)造具有多個(gè)服務(wù)器場(chǎng)來(lái)管理網(wǎng)絡(luò)服務(wù),所有服務(wù)器場(chǎng)均從刀片服務(wù)器中央機(jī)架中提取其計(jì)算資源。在2010年建設(shè)的IAR靶場(chǎng)中,IAR靶場(chǎng)采用Dell Blade Center的刀片服務(wù)器,該刀片服務(wù)器具有16個(gè)(雙CPU)服務(wù)器刀片,并安裝運(yùn)行虛擬阿虎程序?yàn)镮AR靶場(chǎng)提供虛擬化計(jì)算資源,然后,虛擬機(jī)將運(yùn)行為Iat靶場(chǎng)的服務(wù)器場(chǎng)運(yùn)行所需的服務(wù)及應(yīng)用程序。其中,每個(gè)模擬的DECC和CDC需運(yùn)行10臺(tái)虛擬服務(wù)器(每臺(tái)),基礎(chǔ)數(shù)據(jù)庫(kù)運(yùn)行需20臺(tái)虛擬服務(wù)器,其他的各類(lèi)應(yīng)用程序及虛擬互聯(lián)網(wǎng)等模塊也將運(yùn)行各自所需的虛擬機(jī)服務(wù)器數(shù)量。這些虛擬機(jī)運(yùn)行的服務(wù)及應(yīng)用程序所需數(shù)量及資源都是彈性伸縮的,會(huì)根據(jù)用戶定義場(chǎng)景的大小進(jìn)行縮減和擴(kuò)容以滿足要求。此外,模擬ArcSight和Sourcefire采用的是物理服務(wù)器。在存放IAR靶場(chǎng)的物理機(jī)架中,除了上述服務(wù)器提供的資源外,IAR在機(jī)架內(nèi)還將提供安全設(shè)備、網(wǎng)絡(luò)設(shè)備以及靶場(chǎng)使用的系列專(zhuān)用設(shè)備。
IAR靶場(chǎng)構(gòu)造使用路由器和交換機(jī)來(lái)創(chuàng)建交互式環(huán)境,如DECC、CDC、虛擬互聯(lián)網(wǎng)和GIG骨干網(wǎng)等。像真實(shí)世界一樣,IAR靶場(chǎng)在不同的位置使用不同的技術(shù)來(lái)確保功能適當(dāng)并且設(shè)計(jì)看起來(lái)盡可能的真實(shí)。為此IAR靶場(chǎng)構(gòu)造設(shè)計(jì)使用3層設(shè)計(jì)模型:1)用戶連接的訪問(wèn)層,2)遠(yuǎn)程辦公室連接到網(wǎng)絡(luò)其余部分的分發(fā)層,以及3)數(shù)據(jù)運(yùn)行到達(dá)的核心層(或網(wǎng)絡(luò)主干)外面的位置。每個(gè)交互式環(huán)境有4個(gè)Cisco路由器(每個(gè)交互式環(huán)境可以增加到10個(gè)),虛擬的GIG骨干網(wǎng)中有8個(gè)Cisco路由器,DECC和CDC中有1個(gè)Juniper路由器(每個(gè))。
IAR靶場(chǎng)構(gòu)造使用防火墻來(lái)模擬軍事基地在邊界獲得外部連接的位置。在IAR靶場(chǎng)構(gòu)造中,這些是必需的,以便為戰(zhàn)斗人員提供他們?cè)谄浠乜吹降恼=Y(jié)構(gòu)并應(yīng)用該基地具有的常規(guī)安全慣例。在2010年建設(shè)部署的架構(gòu)設(shè)計(jì)中,防火墻采用有Cisco ASA防火墻、Cisco PIX防火墻和Fortigate防火墻等主流常見(jiàn)防火墻產(chǎn)品。
此外,IAR靶場(chǎng)還基于McAfee ePO產(chǎn)品套件構(gòu)建了基于主機(jī)的安全系統(tǒng)(HBSS)。
2.4.5.IAR任務(wù)支柱
?
IAR靶場(chǎng)在初始目標(biāo)構(gòu)建中,其主要核心目標(biāo)是加強(qiáng)全球信息柵格(GIG)的安全防護(hù),并基于構(gòu)建的IAR靶場(chǎng)通過(guò)安全演習(xí)、安全測(cè)試與評(píng)估及人員訓(xùn)練來(lái)達(dá)成目標(biāo)。
圖30 IAR靶場(chǎng)任務(wù)支柱
演習(xí)以及訓(xùn)練都是基于IAR靶場(chǎng)構(gòu)建的網(wǎng)絡(luò)環(huán)境及工具進(jìn)行的攻防活動(dòng),在美軍十幾年的重大靶場(chǎng)構(gòu)建中,JIOR以及JCOR等均已經(jīng)為其提供了足夠強(qiáng)大且經(jīng)驗(yàn)豐富的構(gòu)建框架和運(yùn)營(yíng)方式。因此,美軍針對(duì)IAR靶場(chǎng)構(gòu)建的測(cè)試與評(píng)估(T&E)任務(wù)格外重視。為了支持其測(cè)試與評(píng)估任務(wù),IAR靶場(chǎng)結(jié)合“深度防御”設(shè)計(jì)原則,為國(guó)防部組織提供了系統(tǒng)的、可重復(fù)的和可驗(yàn)證的網(wǎng)絡(luò)測(cè)試與評(píng)估(T&E)框架(由基于績(jī)效的指標(biāo)支持),以衡量(即量化和鑒定))網(wǎng)絡(luò)防御人員協(xié)同整合人員組織、運(yùn)營(yíng)和技術(shù)以保護(hù)、監(jiān)視、檢測(cè)、分析、診斷和響應(yīng)(包含清除和恢復(fù))網(wǎng)絡(luò)安全攻擊的能力。除了提供與運(yùn)營(yíng)環(huán)境隔離的真實(shí)測(cè)試與評(píng)估(T&E)環(huán)境(降低IA風(fēng)險(xiǎn)并將技術(shù)和運(yùn)營(yíng)影響最小化為零)之外,IAR靶場(chǎng)還為國(guó)防部組織提供了一個(gè)衡量安全人員運(yùn)營(yíng)績(jī)效的網(wǎng)絡(luò)環(huán)境,該環(huán)境將就網(wǎng)絡(luò)安全服務(wù)的充分性(CND工具和機(jī)制)進(jìn)行衡量,并驗(yàn)證已建立和強(qiáng)制執(zhí)行的信息保障(IA)和計(jì)算機(jī)網(wǎng)絡(luò)防御(CND)策略,技術(shù)和程序(TTP)。
IAR靶場(chǎng)測(cè)試與評(píng)估(T&E)框架將根據(jù)改進(jìn)的要求和規(guī)范驗(yàn)證信息保障(IA)和計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)營(yíng)(CNO)技術(shù)和運(yùn)營(yíng)概念。具體來(lái)說(shuō),IAR靶場(chǎng)將尋求實(shí)現(xiàn)以下測(cè)試與評(píng)估(T&E)目標(biāo):
l?通過(guò)評(píng)估改善網(wǎng)絡(luò)安全人員的運(yùn)營(yíng)績(jī)效和能力;
l?驗(yàn)證計(jì)算機(jī)網(wǎng)絡(luò)防御(CND)工具和機(jī)制提供的功能和服務(wù);
l?驗(yàn)證和改進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)防御(CND)的策略,技術(shù)和程序(TTP);
l?驗(yàn)證計(jì)算機(jī)網(wǎng)絡(luò)防御服務(wù)提供商(CNDSP)的可接受服務(wù)水平;
l?驗(yàn)證記錄IA緩解策略。
(1)通過(guò)評(píng)估改善網(wǎng)絡(luò)安全人員的運(yùn)營(yíng)績(jī)效和能力
圖31運(yùn)營(yíng)績(jī)效指標(biāo)
如圖所示,IAR靶場(chǎng)通過(guò)性能指標(biāo)來(lái)衡量模擬敵軍的網(wǎng)絡(luò)攻擊活動(dòng)以及保護(hù)、監(jiān)視、檢測(cè)、分析、診斷和響應(yīng)網(wǎng)絡(luò)攻擊的計(jì)算機(jī)網(wǎng)絡(luò)防御情況,從而提高了網(wǎng)絡(luò)安全人員的運(yùn)營(yíng)績(jī)效和能力。首先,IAR靶場(chǎng)為模擬敵軍網(wǎng)絡(luò)攻擊配備了一支部隊(duì)(OPFOR)來(lái)執(zhí)行網(wǎng)絡(luò)攻擊方案,并根據(jù)黑客或網(wǎng)絡(luò)攻擊部隊(duì)攻擊可能執(zhí)行的攻擊步驟進(jìn)行分解并建立攻擊行為模型,類(lèi)似于ATT&CK攻擊生命周期的攻擊行為模型。通過(guò)攻擊行為模型,觀察攻擊者的TTP(技術(shù)、戰(zhàn)術(shù)和過(guò)程),并將其應(yīng)用于檢測(cè)、防御和響應(yīng)過(guò)程,并針對(duì)攻擊行為、檢測(cè)、防御和響應(yīng)過(guò)程進(jìn)行性能指標(biāo)基線關(guān)聯(lián)分析和評(píng)估,為提高網(wǎng)絡(luò)安全人員的運(yùn)營(yíng)績(jī)效和能力構(gòu)造可行的評(píng)估模型。
(2)驗(yàn)證CND工具和機(jī)制提供的功能和服務(wù)
CND工具或機(jī)制是一種提供以下一項(xiàng)或多項(xiàng)功能和服務(wù)的設(shè)備:保護(hù)、監(jiān)視、檢測(cè)、分析和診斷/或?qū)κ录龀鲰憫?yīng)(包含清除和恢復(fù))。為了支持計(jì)算機(jī)網(wǎng)絡(luò)防御(CND)新興技術(shù),IAR靶場(chǎng)提供了一系列的工具和服務(wù),可以更有效地提高計(jì)算機(jī)網(wǎng)絡(luò)防御(CND)技術(shù)的設(shè)計(jì),實(shí)施和驗(yàn)證。這包括驗(yàn)證這些設(shè)備提供的功能和服務(wù),以及在整個(gè)全球信息柵格(GIG)中實(shí)施不同和替代安全技術(shù)策略的評(píng)估及權(quán)衡。
圖32驗(yàn)證CND工具和機(jī)制提供的功能和服務(wù)
另外,由于構(gòu)成全球信息柵格(GIG)的組件、系統(tǒng)、基礎(chǔ)設(shè)施和操作環(huán)境的規(guī)模,復(fù)雜性和多樣性在國(guó)防部中是空前的,因此在全球信息柵格(GIG)沒(méi)有一種解決方案能適合所有情況。為此IAR靶場(chǎng)設(shè)計(jì)了一套標(biāo)準(zhǔn)規(guī)范,所有接入IAR靶場(chǎng)的解決方案都需要遵循共同指導(dǎo)原則、標(biāo)準(zhǔn)、接口和數(shù)據(jù)類(lèi)型;并設(shè)計(jì)了一套支配系統(tǒng)設(shè)計(jì)和演進(jìn)的功能和工具集,從而實(shí)現(xiàn)多個(gè)組件間集成的互操作性。基于此,IAR靶場(chǎng)將為全球信息柵格(GIG)的測(cè)試與評(píng)估提供全生命周期的保障支撐。既可以改善仍處于研發(fā)階段的技術(shù),也可以測(cè)試現(xiàn)有的部署機(jī)制,從而驗(yàn)證IT的大規(guī)模架構(gòu)模型的系統(tǒng)和基礎(chǔ)設(shè)施,從概念到深度防御功能的測(cè)試評(píng)估,并促進(jìn)這些功能的成熟可用。
(3)驗(yàn)證和改進(jìn)CND策略,技術(shù)和程序(TTP)
在實(shí)施一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)防御(CND)技術(shù)體系時(shí),往往需要人員、運(yùn)營(yíng)和技術(shù)三個(gè)方面的配合協(xié)同工作要,而這三者在實(shí)施策略,技術(shù)和規(guī)程(TTP)中通常是主要驗(yàn)證和改進(jìn)的對(duì)象。
圖33人員、運(yùn)營(yíng)、技術(shù)三要素
IAR靶場(chǎng)將在整個(gè)靶場(chǎng)內(nèi)驗(yàn)證和改進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)防御(CND)和信息保障(IA)的TTP,并達(dá)到最佳的準(zhǔn)備狀態(tài)。
(4)驗(yàn)證CNDSP的可接受服務(wù)水平
CNDSP指的是為美國(guó)國(guó)防部(DoD)提供計(jì)算機(jī)網(wǎng)絡(luò)防御(CND)和事件響應(yīng)服務(wù)的供應(yīng)商,這些供應(yīng)商所提供的服務(wù)與計(jì)算機(jī)緊急響應(yīng)小組(CERT)和計(jì)算機(jī)安全事件響應(yīng)小組(CSIRT)所提供的服務(wù)相似。傳統(tǒng)的這些服務(wù)小組可以計(jì)算給定系統(tǒng)的安全風(fēng)險(xiǎn)并證明該系統(tǒng)的安全控制措施可以充分緩解該風(fēng)險(xiǎn),而CNDSP則可以評(píng)估IAR靶場(chǎng)內(nèi)解決方案風(fēng)險(xiǎn)并保證最低接入服務(wù)標(biāo)準(zhǔn)。也就是說(shuō),IAR靶場(chǎng)開(kāi)發(fā)了專(zhuān)門(mén)針對(duì)國(guó)防部采購(gòu)解決方案的測(cè)試與評(píng)估標(biāo)準(zhǔn),可使用IAR靶場(chǎng)來(lái)驗(yàn)證常規(guī)的服務(wù)及解決方案是否滿足預(yù)定義的標(biāo)準(zhǔn)或GIG體系結(jié)構(gòu)設(shè)計(jì)的要求。具體來(lái)說(shuō),其可通過(guò)利用度量標(biāo)準(zhǔn)來(lái)衡量CNDSP在以下四個(gè)主要類(lèi)別中提供的服務(wù)的充分性來(lái)驗(yàn)證這些標(biāo)準(zhǔn):
圖34 CNDSP服務(wù)及解決方案測(cè)試驗(yàn)證標(biāo)準(zhǔn)
如圖所示,具體的度量指標(biāo)包括保護(hù)、監(jiān)視、檢測(cè)、分析和診斷、響應(yīng)以及事件恢復(fù)和持續(xù)運(yùn)營(yíng)能力。
(5)驗(yàn)證記錄IA風(fēng)險(xiǎn)緩解策略
IAR靶場(chǎng)還可以幫助驗(yàn)證反復(fù)出現(xiàn)的計(jì)算機(jī)網(wǎng)絡(luò)防御(CND)和信息保障(IA)緩解策略,并改善用于測(cè)試和評(píng)估其緩解策略的功能和有效性。計(jì)算機(jī)網(wǎng)絡(luò)防御(CND)和信息保障(IA)風(fēng)險(xiǎn)緩解包括通過(guò)風(fēng)險(xiǎn)評(píng)估的手段確定優(yōu)先級(jí),然后根據(jù)級(jí)別評(píng)估和實(shí)施適當(dāng)?shù)慕档惋L(fēng)險(xiǎn)的控制措施。因?yàn)轱L(fēng)險(xiǎn)不可能完全消除,因此可以使用IAR靶場(chǎng)來(lái)測(cè)試和驗(yàn)證成本最低的方法和最適當(dāng)?shù)目刂拼胧?#xff0c;以將任務(wù)風(fēng)險(xiǎn)降低到可接受的水平。
圖35風(fēng)險(xiǎn)緩解策略實(shí)施流程
此外,IAR靶場(chǎng)的測(cè)試評(píng)估功能還用于驗(yàn)證信息保障(IA)控制繼承的狀態(tài)。信息保障(IA)控件繼承是一種常見(jiàn)狀態(tài),其需要繼承的信息包括控件的驗(yàn)證結(jié)果和合規(guī)性狀態(tài),這些信息保障(IA)控件狀態(tài)可從原始信息系統(tǒng)(IS)傳遞或“繼承”到接收IS。通過(guò)信息保障(IA)控制合規(guī)性狀態(tài)共享,可以加速?gòu)臉I(yè)人員在多個(gè)IS之間共享安全機(jī)制的建模環(huán)境,加速他們的測(cè)試和評(píng)估進(jìn)程。此外,也可保證每個(gè)控件被測(cè)試評(píng)估過(guò)后,其驗(yàn)證結(jié)果和合規(guī)性狀態(tài)可以重復(fù)使用。
2.4.6.IAR靶場(chǎng)的使用情況
?
?IAR靶場(chǎng)的使用情況根據(jù)DISA的說(shuō)法,截止于2013年,主要包括以下演訓(xùn)事件:
?DISA PEO-MA –DISA組織的小型網(wǎng)絡(luò)CTF奪旗練習(xí)–以及TTP開(kāi)發(fā)
?
?DISA FSO – HBSSCNDSP 501培訓(xùn)(國(guó)防部供應(yīng)商的主機(jī)安全防護(hù)代理)
?USAF–美空軍戰(zhàn)術(shù)通信培訓(xùn)演習(xí)
?USSTRATCOM – JCCLOE網(wǎng)絡(luò)警察培訓(xùn)
?USCYBERCOM –小型網(wǎng)絡(luò)CTF奪旗練習(xí)
?NSA –非持久性桌面瀏覽器測(cè)試
?USA–“旅者級(jí)”網(wǎng)絡(luò)戰(zhàn)士培訓(xùn)
?USMC –指揮參謀學(xué)院網(wǎng)絡(luò)選修課
?USN –用于SAGA戰(zhàn)艦網(wǎng)絡(luò)通訊器岸上命令測(cè)試培訓(xùn)
?DIA--反英特爾調(diào)查培訓(xùn)
?OSD –向服務(wù)學(xué)校提供攻防培訓(xùn)支持
?VPE--供應(yīng)商產(chǎn)品評(píng)估
圖36使用頻率統(tǒng)計(jì)
2.4.7.CSR2.0情況
?
美國(guó)國(guó)防部DISA將IAR靶場(chǎng)的信息保障(IA)運(yùn)行時(shí)期稱為DoD Cyber Security RangeV1.0(DoD CSR1.0)版本,除了其支撐的信息作戰(zhàn)概念是“賽博安全(Cyber Security)”之前的“信息保障(IA)”,DoD CSR1.0還體現(xiàn)在其主要由物理設(shè)備進(jìn)行構(gòu)建,包括定制化的物理機(jī)架和物理設(shè)備堆棧以及需要經(jīng)過(guò)大量的手工繁瑣的密集型配置;進(jìn)化到DoD CyberSecurity Range V2.0(DoD CSR2.0)版本后。CSR2.0設(shè)計(jì)的主要目標(biāo)是設(shè)計(jì)和實(shí)施所有分類(lèi)級(jí)別的通用靶場(chǎng)自動(dòng)化框架、自動(dòng)化GIG環(huán)境控制和配置、集成商品硬件,虛擬化和專(zhuān)用硬件的自動(dòng)化控制。CSR2.0大量使用虛擬化云計(jì)算、大數(shù)據(jù)、軟件定義網(wǎng)絡(luò)、網(wǎng)絡(luò)虛擬化等技術(shù),最大限度實(shí)現(xiàn)物理設(shè)備虛擬化,并基于靶場(chǎng)演訓(xùn)重用構(gòu)建標(biāo)準(zhǔn)環(huán)境鏡像組件,以進(jìn)行大規(guī)模環(huán)境的復(fù)制生成和資源快速回收利用。賽博安全靶場(chǎng)2.0還提供所有密級(jí)的共用靶場(chǎng)自動(dòng)化框架,自動(dòng)化環(huán)境控制與供給,集成的、自動(dòng)化的硬件,虛擬化與專(zhuān)用硬件控制等復(fù)雜資源異構(gòu)管理。DoD CSR2.0最大限度地使用虛擬化的資源池和技術(shù),大批量的將專(zhuān)用設(shè)備移植到虛擬化中,且將C/S架構(gòu)更改為B/S架構(gòu),B/S架構(gòu)通過(guò)瀏覽器技術(shù)管理虛擬基礎(chǔ)架構(gòu)及CSR靶場(chǎng)所有的資源,并基于網(wǎng)絡(luò)拓?fù)浼肮芸刭Y源建立典型的模擬仿真場(chǎng)景網(wǎng)絡(luò)環(huán)境,以便在培訓(xùn)和練習(xí)中重復(fù)使用。
通過(guò)CSR2.0的通用邏輯層虛擬化,將虛擬機(jī)、容器、專(zhuān)用硬件及商品硬件資源通過(guò)通用資源對(duì)象進(jìn)行定義,邏輯抽象為CSR資源虛擬化或數(shù)字對(duì)象。基于邏輯抽象的虛擬化或數(shù)字對(duì)象實(shí)現(xiàn)自動(dòng)化操作和配置,并保證后續(xù)攻擊事件、流量事件等創(chuàng)作的一致性,提高后續(xù)安全事件的創(chuàng)作和編排效率以及配置、驗(yàn)證、監(jiān)視、控制和評(píng)估功能。
定義了CSR2.0所有異構(gòu)資源的通用邏輯抽象后,CSR2.0的架構(gòu)設(shè)計(jì)將來(lái)自資源對(duì)象的持久庫(kù)的圖形化通過(guò)拖放拓?fù)涞目梢暬缑娌僮髋c配置來(lái)進(jìn)行資源對(duì)象的管理和編排。通過(guò)可視化的拓?fù)滟Y源對(duì)象網(wǎng)絡(luò)及位置關(guān)系的定義,可從所有CSR資源(虛擬,專(zhuān)業(yè)硬件和商品硬件)的統(tǒng)一視圖中構(gòu)建事件拓?fù)?#xff0c;快速實(shí)現(xiàn)自動(dòng)安全事件拓?fù)涠x,并可快速定位連接到事件拓?fù)?#xff0c;以進(jìn)行事件特定的配置、驗(yàn)證、監(jiān)視、控制和評(píng)估。
除了自動(dòng)化安全事件編排和定義,基于可視化拓?fù)涞腃SR2.0資源對(duì)象還可針對(duì)構(gòu)建的拓?fù)鋵?shí)現(xiàn)拓?fù)鋵?shí)例化(生成環(huán)境)編排。比如針對(duì)虛擬化的對(duì)象資源,根據(jù)拓?fù)涠x的邏輯資源對(duì)象,可自動(dòng)化生成虛擬化實(shí)例資源,并對(duì)其進(jìn)行配置編輯和管理;此外,網(wǎng)絡(luò)的實(shí)例化、專(zhuān)用硬件及服務(wù)器等的實(shí)例化編排,均通過(guò)不同程度的代理或插件技術(shù)等實(shí)現(xiàn)自動(dòng)化的生成和配置管理。基于拓?fù)涞膶?shí)例化,CSR的承建單位美泰科技采購(gòu)了美國(guó)初創(chuàng)公司Cypherpath.com的SDI軟件定義基礎(chǔ)設(shè)施軟件來(lái)構(gòu)建。Cypherpath SDI OS是一個(gè)單一的分布式軟件操作系統(tǒng),可將IT基礎(chǔ)架構(gòu)和應(yīng)用程序抽象為便攜式自包含軟件定義的網(wǎng)絡(luò)環(huán)境(SDI)。Cypherpath SDI OS最初上線時(shí)有社區(qū)版本以及相應(yīng)的社區(qū)場(chǎng)景包,后來(lái)在2019年9月份關(guān)閉了社區(qū)版本的下載,在此之前,公共還可以申請(qǐng)下載社區(qū)版本進(jìn)行測(cè)試和使用。
圖37基于拓?fù)鋵?shí)例化構(gòu)建的網(wǎng)絡(luò)環(huán)境
2014年,全球信息柵格GIG升級(jí)為"國(guó)防部信息網(wǎng)絡(luò)"(DoDIN),作為模擬全球信息柵格GIG的CSR2.0也相應(yīng)的針對(duì)國(guó)防部信息網(wǎng)絡(luò)(DoDIN)進(jìn)行復(fù)制和建模。美泰科技在這其中,一直不斷根據(jù)DoD的要求對(duì)CSR進(jìn)行開(kāi)發(fā)和技術(shù)架構(gòu)升級(jí)。(美泰科技目前主要為美國(guó)國(guó)防部的靶場(chǎng)建設(shè)和維護(hù)三大合同項(xiàng)目:1、美國(guó)國(guó)防部賽博安全靶場(chǎng)(CSR);2、美海軍陸戰(zhàn)隊(duì)網(wǎng)絡(luò)靶場(chǎng)(MCCR);3、網(wǎng)絡(luò)培訓(xùn)與評(píng)估平臺(tái)(CTEP)CSR2.0提供了DoD信息網(wǎng)絡(luò)(DoDIN)的持續(xù)不斷的環(huán)境復(fù)制,而MCCR提供了美海軍陸戰(zhàn)隊(duì)Tier2 / Tier3網(wǎng)絡(luò)測(cè)試,培訓(xùn)和訓(xùn)練環(huán)境,以模擬/復(fù)制/仿真真實(shí)的實(shí)時(shí)網(wǎng)絡(luò)情形和體驗(yàn)。CTEP提供了一個(gè)訓(xùn)練環(huán)境,可以模擬網(wǎng)絡(luò)戰(zhàn)場(chǎng)并模擬網(wǎng)絡(luò)防守和攻擊行動(dòng))。
CSR2.0最終的建設(shè)目標(biāo)是為美軍提供訓(xùn)練即實(shí)戰(zhàn)的真實(shí)感。美軍可以通過(guò)安全的虛擬專(zhuān)網(wǎng)采用邊界組件遠(yuǎn)程訪問(wèn)賽博安全靶場(chǎng)(CSR)。賽博安全靶場(chǎng)(CSR2.0)目前真實(shí)地重建國(guó)防部信息網(wǎng)(DODIN)環(huán)境,提供對(duì)事件的直接指揮控制以及觀察,支持賽博事件的重復(fù)、刷新以及回應(yīng),支持紅隊(duì)/藍(lán)隊(duì),幫助用戶快速熟悉靶場(chǎng)及作戰(zhàn)環(huán)境,改進(jìn)賽博戰(zhàn)士工具,驗(yàn)證預(yù)先制定的計(jì)劃并生成配置變更,評(píng)估并驗(yàn)證各種戰(zhàn)術(shù)、技術(shù)與程序(TTP)以及賽博安全/計(jì)算機(jī)賽博防御工具,支持滲透測(cè)試以及突發(fā)事件響應(yīng)能力等。
CSR2.0互聯(lián)架構(gòu)如下圖所示:
圖38 CSR2.0互聯(lián)架構(gòu)
CSR1.0升級(jí)到2.0架構(gòu)如下圖所示:
圖39 CSR1.0升級(jí)到2.0架構(gòu)
在CSR2.0中,在基礎(chǔ)架構(gòu)層提供DISN核心路由器與骨干、DODIN域名核心服務(wù)、MPLS路由、感知節(jié)點(diǎn)、因特網(wǎng)接入點(diǎn)以及聯(lián)合區(qū)域安全棧(JRSS)。其中,非密靶場(chǎng)提供非密基礎(chǔ)架構(gòu)層,并協(xié)調(diào)DISA互聯(lián)網(wǎng)接入點(diǎn)與JRSS。保密靶場(chǎng)將提供全混合基礎(chǔ)架構(gòu)層以及全虛擬基礎(chǔ)設(shè)施互聯(lián)網(wǎng)接入點(diǎn)與JRSS棧。
圖40虛擬基礎(chǔ)設(shè)施互聯(lián)網(wǎng)接入點(diǎn)與JRSS棧
每個(gè)聯(lián)合區(qū)域安全棧(JRSS)的架構(gòu)如下圖所示:
圖41聯(lián)合區(qū)域安全棧(JRSS)架構(gòu)
JRSS由一系列相輔相成的安全站點(diǎn)、設(shè)備和機(jī)制構(gòu)成的定制化機(jī)架式設(shè)備組合,主要執(zhí)行防火墻功能、入侵檢測(cè)和防御、企業(yè)管理、虛擬路由和轉(zhuǎn)發(fā)(VRF)并提供大量網(wǎng)絡(luò)安全功能。vJRSS是完全由虛擬技術(shù)構(gòu)建的JRSS預(yù)生產(chǎn)堆棧的鏡像,也就是JRSS的虛擬化版本,用于部署在CSR2.0中,所有B/P/C/S流量都經(jīng)過(guò)vJRSS(例如VLAN間,基地間,機(jī)構(gòu)間,互聯(lián)網(wǎng)等),并通過(guò)vJRSS大數(shù)據(jù)分析處理和其它安全能力(如審計(jì))等功能實(shí)現(xiàn)流量管控。在之前的CSR1.0或IAR中,這部分的功能是通過(guò)DMZ區(qū)域中的部署的安全設(shè)備如入侵檢測(cè)等實(shí)現(xiàn)的。目前vJRSS主要用于CPT練習(xí)和CND情景訓(xùn)練。
vIAP和vJRSS類(lèi)似,也是互聯(lián)網(wǎng)接入點(diǎn)的虛擬化版本部署到CSR2.0中,主要為CSR2.0提供提供因特網(wǎng)和DoDIN之間的第一道防線和連接。提供以下功能的套件:
l??Web內(nèi)容過(guò)濾(WCF):PaloAlto,Splunk,ArcSight
l??企業(yè)協(xié)同操作傳感器(ECOS):(SourceFire,SiLK,WireShark,Bivio)
l??分布式拒絕服務(wù)防護(hù)(DDoS-TR):Arbor
此外,vIAP還需實(shí)現(xiàn)虛擬互聯(lián)網(wǎng)與DoDIN第2層、DoDIN第3層之間的路由功能。
目前在CSR2.0中,虛擬化版本的vJRSS和vIAP在2018年DISA Defender中正式進(jìn)行了測(cè)試和使用,后續(xù)將根據(jù)演習(xí)和訓(xùn)練使用進(jìn)行迭代優(yōu)化,不斷改進(jìn)虛擬化版本的vJRSS和vIAP功能,使其達(dá)到物理版本的功能與性能。
下圖顯示了CSR2.0的最終最核心的功能:
圖42 CSR2.0的核心功能
如圖所示,虛擬互聯(lián)網(wǎng)、vIAP、vJRSS、vMPLS、B/P/C/S將作為CSR2.0的核心功能。其他DoDIN企業(yè)功能還包括:
l?企業(yè)電子郵件(EEMSG)
l??PKI和證書(shū)管理
l??SSL中斷和檢查
l??大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)
其他社會(huì)責(zé)任能力集成包括:
l?改進(jìn)的環(huán)境可訪問(wèn)性,用于遠(yuǎn)程配置管理
l??PCTE支持和集成
2.4.8.美海軍對(duì)CSR的管理和使用
美海軍部在2012年由首席信息官簽署《海軍網(wǎng)絡(luò)空間靶場(chǎng)政策指引》備忘錄指出,美海軍要以美國(guó)國(guó)防部賽博安全靶場(chǎng)(CSR)統(tǒng)一海軍和海軍陸戰(zhàn)隊(duì)的網(wǎng)絡(luò)空間作戰(zhàn)訓(xùn)練、演習(xí)、測(cè)試和評(píng)估活動(dòng)。目前美海軍和美海軍陸戰(zhàn)隊(duì)已陸續(xù)將自個(gè)的網(wǎng)絡(luò)靶場(chǎng)訓(xùn)練環(huán)境通過(guò)集成或互聯(lián)的方式接入到了美國(guó)國(guó)防部賽博安全靶場(chǎng)(CSR),其中包括美海軍陸戰(zhàn)隊(duì)網(wǎng)絡(luò)空間靶場(chǎng)(MCCR),美海軍網(wǎng)絡(luò)空間作戰(zhàn)靶場(chǎng)(NCOR)等海軍單位的網(wǎng)絡(luò)靶場(chǎng)環(huán)境。其構(gòu)成的總體架構(gòu)如下圖所示。
圖43美海軍CSR靶場(chǎng)體系
美海軍首席信息官(DON CIO)的目的是鞏固和開(kāi)展DoD CSR靶場(chǎng)內(nèi)的美海軍和美海軍陸戰(zhàn)隊(duì)網(wǎng)絡(luò)培訓(xùn)、演習(xí)以及測(cè)試和評(píng)估活動(dòng)。該備忘錄將總部海軍陸戰(zhàn)隊(duì)(HQMC)指揮、控制、通信和計(jì)算機(jī)(C4)確立為建立、運(yùn)營(yíng)和維護(hù)美海軍和美海軍陸戰(zhàn)隊(duì)網(wǎng)絡(luò)靶場(chǎng)環(huán)境的管理和運(yùn)營(yíng)組織。
?
【1】https://defensesystems.com/articles/2010/12/01/dod-launches-cyber-test-range.aspx
【2】美軍信息網(wǎng)絡(luò)安全架構(gòu)解析--賀小川
【3】Cyber Security Range (CSR)v2.0 Architecture and Capability --James Curry .2016
【4】Cyber Security Range 2019--James Curry
【5】DoD IA Range Overview--Mr.Ray A. Letteer
【6】Modeling & Simulation ofCyber Effects in a Degraded Environment ITEA 2012 Cyber Conference—ManTech 2012
【7】Department of Defense InformationAssurance Range:A Venue for Test and Evaluation In Cyberspace--Timothy"Kevin" Holmes 2011
【8】DEPARTMENT OF THE NAVY CYBERRANGE POLICY GUIDANCE --2012
【9】新領(lǐng)導(dǎo)新氣象,緊抓網(wǎng)絡(luò)攻防不放松-東方證券
總結(jié)
以上是生活随笔為你收集整理的靶场发展态势③美国防部赛博安全靶场(IAR/CSR)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Microsoft Visio 2003
- 下一篇: Windows系统目录下文件夹汇总