靶场发展态势③美国防部赛博安全靶场(IAR/CSR)
美國國防部在2018年依據美國白宮公布的《國家網絡戰略》(National CyberStrategy),制定其《國防部網絡戰略》(Department ofDefense Cyber Strategy),闡明落實網絡戰略目標的五大路線:建立致命戰力、網絡空間競爭與嚇阻、強化同盟并吸引新合作伙伴、部內組織改革、以及人才培育。依循此路線,美國國防部在其網絡戰略中,亦明確指出三個作戰概念,遂行網絡作戰:收集情報、為危機或沖突時所需的軍事網絡作戰能力進行準備、「前沿防御」(Defend forward)以從源頭破壞或終止惡意網絡行動(disrupt or haltmalicious cyber activity at its source)。新的作戰概念「前沿防御」,意味著美國會采取更具攻擊性的手段進行防御,此概念勢必透過網絡任務部隊的編制、演訓等來實施,為此美軍已實施網絡空間靶場綜合體及網絡作戰平臺“統一平臺”等實施載體,CSR作為網絡空間靶場綜合體的一部分,本小節將介紹美國國防部賽博安全靶場。
?
2.4.1.CSR背景
?
CSR全稱是DoD Cyber SecurityRange,中文簡稱賽博安全靶場,是美國國防部國防信息系統局組織建設的一個專門模擬仿真美軍國防網絡環境的測試與評估靶場,是美國國防部四大靶場之一。美軍國防信息系統局賽博安全靶場(CSR)前身是2010年美軍組建的信息保障/計算機網絡防御靶場(DoD IA/CND Range,IAR),以下簡稱IAR靶場。后來根據使命任務及作戰演訓需要,以及2014年美軍將“信息保障”重新定義為“賽博安全”,奇熱將“全球信息柵格GIG”變更為“國防部信息網絡”,該靶場的名稱也隨之變更為美國國防部賽博安全靶場(CSR)或美軍國防信息系統局賽博安全靶場。同時,作為美國國家網絡空間靶場綜合體計劃的一部分,美軍國防信息系統局賽博安全靶場(CSR)同時也和國防部的其他三大靶場如JIOR、NCR以及C4AD靶場進行互聯互通和資源共享。
全球信息柵格(GIG)的普遍互連性使其日益成為網絡攻擊新的源頭,對攻擊者的吸引力日益增加,美軍為保障全球信息柵格(GIG)的信息安全,著手準備建立針對全球信息柵格(GIG)的模擬仿真靶場,以研究和測試全球信息柵格(GIG)信息保障和防御技術,并更好的保護全球信息柵格(GIG)。全球信息柵格GIG是美國在2014年之前主要運行的,通過光纜連通分布全球的美軍基地國防信息基礎設施全部節點,囊括各軍種作戰網絡和軍事衛星網、聯合戰術無線網絡的全球軍用作戰網絡。2014年升級為國防部信息網絡(DoDIN)。
IAR靶場基于美國國家全面網絡安全計劃(CNCI)、國家安全總統令54、國土安全部總統令23進行構建,由國防部CIO、DISA和HQMC C4聯合執行。計劃支持信息保障(IA)、計算機網絡防御(CND)和其他源自網絡中心戰略和國家綜合網絡安全計劃(CNCI)的國防部(DoD)網絡要求,以提高國網網絡的安全性網絡并培育網絡安全教育。IAR靶場提供了操作上逼真和可控的網絡仿真模擬環境,以支持演習、培訓、測試和評估,而不會對運營網絡造成任何風險。它還提供網絡操作(NetOps)、CND、IA以及可利用和攻擊的網絡事件,并支持新功能的測試和評估,具有快速經驗積累的沉浸式培訓,戰術技術和程序(TTP)的開發和驗證,系統互操作性和集成測試,運營和開發測試以及認證和鑒定能力測試等。
該靶場主要由美泰科技(ManTech)進行構建,包括第一代的IAR靶場以及第二代的CSR靶場。美泰科技創立于1968年,總部位于美國弗吉尼亞州Fairfax,全職雇員7,000人,是一家國防信息安全技術服務供應商,為美國國防及政府設計、開發、采購和維護任務關鍵的企業信息技術。美泰科技為CSR提供的現實世界網絡效果建模如下圖所示:
圖27 CSR現實世界網絡效果建模
和上述小節我們概述的JIOR和JCOR靶場的不同點在于,IAR靶場/CSR是模擬美軍國防及涉及國防的企業網絡環境,而JIOR是美軍諸多兵軍種網絡測試環境的聯合體,JCOR則是美軍諸多兵軍種各自的模擬器建模的專網環境的測試環境聯合體。CSR最初是的使命也是為了基于仿真的國防網絡環境測試和評估新功能以及培訓國防網絡維護者的計算機防御技能。
2.4.2.IAR架構
?
IAR靶場是一個基礎架構平臺,旨在將分布式和異構的信息保障(IA)體系結構系統和解決方案與國防部(DoD)計算機網絡防御(CND)操作層次結構進行集成。IAR靶場為國防部利益相關者提供了增強GIG安全態勢的途徑。
IAR靶場為網絡演習,CNDSP培訓以及CND產品和操作策略、技術和程序(TTP)的測試和評估提供了一個聯合服務環境,該環境反映了DoD NetOps 1-3層上的全球信息柵格(GIG)的信息保障/計算機網絡防御(IA/CND)功能和網絡服務。IAR靶場1-3層典型的層級結構如下圖所示:
圖28 DoD NetOps 1-3層級結構
如圖所示,IAR靶場提供了通用的國防部(DoD)第1、第2和第3層功能。
第1層-企業層:提供模擬仿真的全球骨干網、企業CND工具(HBSS,ArcSight,Sourcefire)、企業服務(防火墻,網絡流量生成,帶寬整形,虛擬主機設施(DECC和CDC))、虛擬互聯網(Internet訪問點,虛擬Internet)等。該層通過上述服務模擬仿真GIG的全球網絡,包括位于全球的美軍基地的國防信息基礎設施節,包括各軍種作戰網絡和軍事衛星網、聯合戰術無線網絡等。
第2層–組件層:提供特定的安全服務,如邊界訪問控制、安全隔離、安全防御等;以及包括海軍區域網絡、空軍機載網絡、陸軍戰術互聯網等戰區網絡遠程連接(隧道)到IAR靶場的網絡通道,接口;并在服務/組件級別對這些資源進行管理。
第3層-資源層:提供基礎的網絡架構,以及海量的主機設備等靶場資源。該層主要模擬的是GIG的戰術網絡,包括海軍區域網子網、陸戰隊戰術網、空軍戰術網、營區/哨所/兵站節點等大規模的節點。
IAR靶場可以在獨立的模擬器模式下運行,也可以與作戰司令部,服務和機構(CC/S/A)提供的其他靶場進行交互和互操作。IAR靶場的所有部分與作戰司令部,服務和機構(CC/S/A)靶場之間的通信經過加密信道傳輸,保障在傳輸過程中的安全性。所有IAR靶場流量路由及與其他靶場互聯路由均位于封閉的網絡環境中,不會影響到真實環境中運行的網絡。
在建設的第一期美軍IAR靶場中,IAR靶場提供了一個多協議標簽交換(MPLS)云,該云由代表DISA GIG的多個供應商邊緣(PE)路由器組成。在PE路由器的下游是交互式基礎設施,該基礎設施由用于網絡(核心層,分布層,訪問層)的標準Cisco設計模型組成,具有8個不同的分布區域(用戶區域),以模擬給定的基礎設施,以及托管以下服務的服務器場:電子郵件(MS Exchange),Active Directory,域名系統(DNS),超文本傳輸協議(HTTP),文件共享和打印服務。一個基地內的每個用戶區域可以支持10個虛擬局域網(VLAN),每個VLAN包含254個用戶。從第六臺PE路由器的下游有兩個設施,用于托管專用應用程序,類似于國防信息系統局(DISA)國防企業計算中心(DECC)和社區數據中心(CDC)的功能。比如IAR靶場CDC托管的ArcSight和SourceFire。
圖29 GIG與其他靶場連接和互操作
如上圖所示,處于圖中央的核心部分是以骨干網級路由器構成的美軍全球信息柵格(GIG)骨干網模擬區域,周圍是依托美軍全球信息柵格(GIG)骨干網而存續的美國防保障網絡模擬區域及區域下屬的模擬交互式基地;每個交互式基地都具有傳統的邊界體系結構,該體系結構由屏蔽路由器,防火墻和接入路由器組成。在此邊界結構內,存在受信任區和不受信任區域的非軍事區(DMZ),DMZ將作為隔離兩區域而存在,并設置網絡感測設備對流量進行感測分析。
此外,IAR靶場還提供了由惡意網站和正常網站組成的虛擬互聯網功能,以及真正的DNS體系結構。還復制了互聯網的接入點(IAP),允許GIG結構與虛擬互聯網連接。IAP體系結構中提供了互聯網屏蔽路由器,.mil代理(國防網絡站點)和企業遞歸服務。真實再現美軍國防網絡互聯環境及安全防護體系,結合美軍全球信息柵格(GIG)骨干網模擬區域及交互式基地環境以及互聯網模擬區域,美軍將真實再現演練模擬攻擊者通過互聯網對美軍全球信息柵格(GIG)骨干網實施網絡攻擊的情形,并測試和評估計算機網絡防御策略。
IAR靶場基于靈活的開放式體系結構設計,并配置為支持每個攻防事件/練習的要求。包括培訓和演習所需的網絡流量生成,威脅注入,操作系統類型,補丁程序級別,計算機和網絡服務等,這些所需資源均根據攻防事件/練習要求進行配置。該靶場的開放式體系結構允許在國防網絡1,2和3層上集成作戰司令部,服務和機構(CC/S/A)的特定設備,應用程序和配置。因此,該靶場允許測試、評估和確保企業信息保障(IA)設備和應用程序的互操作性。并可以根據特定的測試要求配置虛擬網絡環境和區域資源。
2.4.3.IAR網絡環境和流量生成
?
IAR靶場使用諸如Systems AdministratorSimulation Trainer(SAST)和Breaking Point之類的工具來創建和仿真模擬真實的國防網絡環境。
SAST是由太平洋西北國家實驗室創建的一套軟件,旨在為培訓人員進行練習及測試工具時為其提供一個逼真的網絡靶場環境。是一個用于構建靶場網絡環境功能的框架,該功能允許用戶通過輸入參數描述用戶行為并生成相應的活動流量和行為特征,仿真和模擬真實環境下的網絡活動。SAST中有一個網絡流量合成器(ANTS)功能套件:
1、多用戶流量工具(MUTT):是一整套插件,可讓ANTS用戶人員通過定義描述并產生用戶操作行為,即用戶行為流量生成器。它主要是為產生正常的自然活動流量而設計。MUTT是一款合成使用郵件客戶端,Web客戶端,SSH客戶端等工具的虛擬人代理插件集。當虛擬人代理插件集在靶場環境運行時,根據用戶定義的描述參數或自定義默認參數,這些虛擬人代理插件集就會創建比如郵件發送、Web訪問、SSH連接等用戶操作行為的網絡流量,為靶場人員測試安全設備和培訓提供自然流量。
2、協同攻擊工具(CAT):是一整套插件,可讓ANTS描述攻擊者并生成其行為。CAT本身并不真正攻擊網絡,而是依賴于現成的攻擊工具(如Metasploit)的攻擊方案創建攻擊行為。CAT是該靶場創建攻擊流量所使用的工具,同時,靶場人員也可使用該協同工具實時網絡攻擊,或根據攻擊方案編寫自動化腳本實施自動化攻擊。
3、虛擬互聯網提供模塊(VIPER)也是一套插件,使ANTS能夠描述和提供在互聯網或靶場本地局域網上可以找到的服務,比如Web服務,DNS解析服務,電子郵件服務等。此功能的目的是增加通常靶場的互聯網仿真度,為該靶場的添加互聯網模擬資源。
4、管理套件工具SEAL。用于管理IAR靶場廣泛的資源以及參與者的本地和遠程體驗,并具有多對多視圖。它具有以下概念:管理員可被授予管理靶場的權限,并對靶場的資源進行增刪改查等操作,參與者將創建測試和評估任務,并基于靶場環境進行測試和攻防演訓,管理員將監控參與者的靶場任務活動情況并可對參與者任務進行干預。
此外,IAR靶場還通過商業產品BreakingPoint來進行實際應用程序,實時安全攻擊和數百萬用戶模擬來重新創建大規模互聯網的仿真模擬。包括:
1、用戶及網絡流量:為交互式基地、虛擬互聯網、美軍全球信息柵格(GIG)骨干網和其他軍兵種靶場創建大量逼真的用戶及應用程序流量。
2、大規模網絡仿真:創建可以與IAR靶場交互并使IAR靶場實現大規模網絡環境仿真的模擬網絡節點。
3、管理及網絡服務流量:在IAR靶場內創建逼真的網絡管理和服務流量,以模擬網絡管理員和專門的網絡服務。
4、其他通訊介質模擬:修改給定網段的特征,使其看起來像跨其他某種媒體類型(如衛星通信模擬、無線網絡模擬)。
5、威脅流量:創建大量以交互式基地和其他靶場位置為目的地的逼真威脅流量。
6、用于設備測試的腳本測試數據流(可重復和比較測試)。
7、捕獲遍歷IAR靶場的流量并將其保存(以供后續處理和數據流量在IAR靶場內重放)。
8、支持和仿真MPLS和IPv6等高級網絡協議。
9、創建將以上各項組合到單個測試方案中的方案管理和應用流程。
2.4.4.IAR物理組成
?
IAR靶場構造具有多個服務器場來管理網絡服務,所有服務器場均從刀片服務器中央機架中提取其計算資源。在2010年建設的IAR靶場中,IAR靶場采用Dell Blade Center的刀片服務器,該刀片服務器具有16個(雙CPU)服務器刀片,并安裝運行虛擬阿虎程序為IAR靶場提供虛擬化計算資源,然后,虛擬機將運行為Iat靶場的服務器場運行所需的服務及應用程序。其中,每個模擬的DECC和CDC需運行10臺虛擬服務器(每臺),基礎數據庫運行需20臺虛擬服務器,其他的各類應用程序及虛擬互聯網等模塊也將運行各自所需的虛擬機服務器數量。這些虛擬機運行的服務及應用程序所需數量及資源都是彈性伸縮的,會根據用戶定義場景的大小進行縮減和擴容以滿足要求。此外,模擬ArcSight和Sourcefire采用的是物理服務器。在存放IAR靶場的物理機架中,除了上述服務器提供的資源外,IAR在機架內還將提供安全設備、網絡設備以及靶場使用的系列專用設備。
IAR靶場構造使用路由器和交換機來創建交互式環境,如DECC、CDC、虛擬互聯網和GIG骨干網等。像真實世界一樣,IAR靶場在不同的位置使用不同的技術來確保功能適當并且設計看起來盡可能的真實。為此IAR靶場構造設計使用3層設計模型:1)用戶連接的訪問層,2)遠程辦公室連接到網絡其余部分的分發層,以及3)數據運行到達的核心層(或網絡主干)外面的位置。每個交互式環境有4個Cisco路由器(每個交互式環境可以增加到10個),虛擬的GIG骨干網中有8個Cisco路由器,DECC和CDC中有1個Juniper路由器(每個)。
IAR靶場構造使用防火墻來模擬軍事基地在邊界獲得外部連接的位置。在IAR靶場構造中,這些是必需的,以便為戰斗人員提供他們在其基地看到的正常結構并應用該基地具有的常規安全慣例。在2010年建設部署的架構設計中,防火墻采用有Cisco ASA防火墻、Cisco PIX防火墻和Fortigate防火墻等主流常見防火墻產品。
此外,IAR靶場還基于McAfee ePO產品套件構建了基于主機的安全系統(HBSS)。
2.4.5.IAR任務支柱
?
IAR靶場在初始目標構建中,其主要核心目標是加強全球信息柵格(GIG)的安全防護,并基于構建的IAR靶場通過安全演習、安全測試與評估及人員訓練來達成目標。
圖30 IAR靶場任務支柱
演習以及訓練都是基于IAR靶場構建的網絡環境及工具進行的攻防活動,在美軍十幾年的重大靶場構建中,JIOR以及JCOR等均已經為其提供了足夠強大且經驗豐富的構建框架和運營方式。因此,美軍針對IAR靶場構建的測試與評估(T&E)任務格外重視。為了支持其測試與評估任務,IAR靶場結合“深度防御”設計原則,為國防部組織提供了系統的、可重復的和可驗證的網絡測試與評估(T&E)框架(由基于績效的指標支持),以衡量(即量化和鑒定))網絡防御人員協同整合人員組織、運營和技術以保護、監視、檢測、分析、診斷和響應(包含清除和恢復)網絡安全攻擊的能力。除了提供與運營環境隔離的真實測試與評估(T&E)環境(降低IA風險并將技術和運營影響最小化為零)之外,IAR靶場還為國防部組織提供了一個衡量安全人員運營績效的網絡環境,該環境將就網絡安全服務的充分性(CND工具和機制)進行衡量,并驗證已建立和強制執行的信息保障(IA)和計算機網絡防御(CND)策略,技術和程序(TTP)。
IAR靶場測試與評估(T&E)框架將根據改進的要求和規范驗證信息保障(IA)和計算機網絡運營(CNO)技術和運營概念。具體來說,IAR靶場將尋求實現以下測試與評估(T&E)目標:
l?通過評估改善網絡安全人員的運營績效和能力;
l?驗證計算機網絡防御(CND)工具和機制提供的功能和服務;
l?驗證和改進計算機網絡防御(CND)的策略,技術和程序(TTP);
l?驗證計算機網絡防御服務提供商(CNDSP)的可接受服務水平;
l?驗證記錄IA緩解策略。
(1)通過評估改善網絡安全人員的運營績效和能力
圖31運營績效指標
如圖所示,IAR靶場通過性能指標來衡量模擬敵軍的網絡攻擊活動以及保護、監視、檢測、分析、診斷和響應網絡攻擊的計算機網絡防御情況,從而提高了網絡安全人員的運營績效和能力。首先,IAR靶場為模擬敵軍網絡攻擊配備了一支部隊(OPFOR)來執行網絡攻擊方案,并根據黑客或網絡攻擊部隊攻擊可能執行的攻擊步驟進行分解并建立攻擊行為模型,類似于ATT&CK攻擊生命周期的攻擊行為模型。通過攻擊行為模型,觀察攻擊者的TTP(技術、戰術和過程),并將其應用于檢測、防御和響應過程,并針對攻擊行為、檢測、防御和響應過程進行性能指標基線關聯分析和評估,為提高網絡安全人員的運營績效和能力構造可行的評估模型。
(2)驗證CND工具和機制提供的功能和服務
CND工具或機制是一種提供以下一項或多項功能和服務的設備:保護、監視、檢測、分析和診斷/或對事件做出響應(包含清除和恢復)。為了支持計算機網絡防御(CND)新興技術,IAR靶場提供了一系列的工具和服務,可以更有效地提高計算機網絡防御(CND)技術的設計,實施和驗證。這包括驗證這些設備提供的功能和服務,以及在整個全球信息柵格(GIG)中實施不同和替代安全技術策略的評估及權衡。
圖32驗證CND工具和機制提供的功能和服務
另外,由于構成全球信息柵格(GIG)的組件、系統、基礎設施和操作環境的規模,復雜性和多樣性在國防部中是空前的,因此在全球信息柵格(GIG)沒有一種解決方案能適合所有情況。為此IAR靶場設計了一套標準規范,所有接入IAR靶場的解決方案都需要遵循共同指導原則、標準、接口和數據類型;并設計了一套支配系統設計和演進的功能和工具集,從而實現多個組件間集成的互操作性。基于此,IAR靶場將為全球信息柵格(GIG)的測試與評估提供全生命周期的保障支撐。既可以改善仍處于研發階段的技術,也可以測試現有的部署機制,從而驗證IT的大規模架構模型的系統和基礎設施,從概念到深度防御功能的測試評估,并促進這些功能的成熟可用。
(3)驗證和改進CND策略,技術和程序(TTP)
在實施一個計算機網絡防御(CND)技術體系時,往往需要人員、運營和技術三個方面的配合協同工作要,而這三者在實施策略,技術和規程(TTP)中通常是主要驗證和改進的對象。
圖33人員、運營、技術三要素
IAR靶場將在整個靶場內驗證和改進計算機網絡防御(CND)和信息保障(IA)的TTP,并達到最佳的準備狀態。
(4)驗證CNDSP的可接受服務水平
CNDSP指的是為美國國防部(DoD)提供計算機網絡防御(CND)和事件響應服務的供應商,這些供應商所提供的服務與計算機緊急響應小組(CERT)和計算機安全事件響應小組(CSIRT)所提供的服務相似。傳統的這些服務小組可以計算給定系統的安全風險并證明該系統的安全控制措施可以充分緩解該風險,而CNDSP則可以評估IAR靶場內解決方案風險并保證最低接入服務標準。也就是說,IAR靶場開發了專門針對國防部采購解決方案的測試與評估標準,可使用IAR靶場來驗證常規的服務及解決方案是否滿足預定義的標準或GIG體系結構設計的要求。具體來說,其可通過利用度量標準來衡量CNDSP在以下四個主要類別中提供的服務的充分性來驗證這些標準:
圖34 CNDSP服務及解決方案測試驗證標準
如圖所示,具體的度量指標包括保護、監視、檢測、分析和診斷、響應以及事件恢復和持續運營能力。
(5)驗證記錄IA風險緩解策略
IAR靶場還可以幫助驗證反復出現的計算機網絡防御(CND)和信息保障(IA)緩解策略,并改善用于測試和評估其緩解策略的功能和有效性。計算機網絡防御(CND)和信息保障(IA)風險緩解包括通過風險評估的手段確定優先級,然后根據級別評估和實施適當的降低風險的控制措施。因為風險不可能完全消除,因此可以使用IAR靶場來測試和驗證成本最低的方法和最適當的控制措施,以將任務風險降低到可接受的水平。
圖35風險緩解策略實施流程
此外,IAR靶場的測試評估功能還用于驗證信息保障(IA)控制繼承的狀態。信息保障(IA)控件繼承是一種常見狀態,其需要繼承的信息包括控件的驗證結果和合規性狀態,這些信息保障(IA)控件狀態可從原始信息系統(IS)傳遞或“繼承”到接收IS。通過信息保障(IA)控制合規性狀態共享,可以加速從業人員在多個IS之間共享安全機制的建模環境,加速他們的測試和評估進程。此外,也可保證每個控件被測試評估過后,其驗證結果和合規性狀態可以重復使用。
2.4.6.IAR靶場的使用情況
?
?IAR靶場的使用情況根據DISA的說法,截止于2013年,主要包括以下演訓事件:
?DISA PEO-MA –DISA組織的小型網絡CTF奪旗練習–以及TTP開發
?
?DISA FSO – HBSSCNDSP 501培訓(國防部供應商的主機安全防護代理)
?USAF–美空軍戰術通信培訓演習
?USSTRATCOM – JCCLOE網絡警察培訓
?USCYBERCOM –小型網絡CTF奪旗練習
?NSA –非持久性桌面瀏覽器測試
?USA–“旅者級”網絡戰士培訓
?USMC –指揮參謀學院網絡選修課
?USN –用于SAGA戰艦網絡通訊器岸上命令測試培訓
?DIA--反英特爾調查培訓
?OSD –向服務學校提供攻防培訓支持
?VPE--供應商產品評估
圖36使用頻率統計
2.4.7.CSR2.0情況
?
美國國防部DISA將IAR靶場的信息保障(IA)運行時期稱為DoD Cyber Security RangeV1.0(DoD CSR1.0)版本,除了其支撐的信息作戰概念是“賽博安全(Cyber Security)”之前的“信息保障(IA)”,DoD CSR1.0還體現在其主要由物理設備進行構建,包括定制化的物理機架和物理設備堆棧以及需要經過大量的手工繁瑣的密集型配置;進化到DoD CyberSecurity Range V2.0(DoD CSR2.0)版本后。CSR2.0設計的主要目標是設計和實施所有分類級別的通用靶場自動化框架、自動化GIG環境控制和配置、集成商品硬件,虛擬化和專用硬件的自動化控制。CSR2.0大量使用虛擬化云計算、大數據、軟件定義網絡、網絡虛擬化等技術,最大限度實現物理設備虛擬化,并基于靶場演訓重用構建標準環境鏡像組件,以進行大規模環境的復制生成和資源快速回收利用。賽博安全靶場2.0還提供所有密級的共用靶場自動化框架,自動化環境控制與供給,集成的、自動化的硬件,虛擬化與專用硬件控制等復雜資源異構管理。DoD CSR2.0最大限度地使用虛擬化的資源池和技術,大批量的將專用設備移植到虛擬化中,且將C/S架構更改為B/S架構,B/S架構通過瀏覽器技術管理虛擬基礎架構及CSR靶場所有的資源,并基于網絡拓撲及管控資源建立典型的模擬仿真場景網絡環境,以便在培訓和練習中重復使用。
通過CSR2.0的通用邏輯層虛擬化,將虛擬機、容器、專用硬件及商品硬件資源通過通用資源對象進行定義,邏輯抽象為CSR資源虛擬化或數字對象。基于邏輯抽象的虛擬化或數字對象實現自動化操作和配置,并保證后續攻擊事件、流量事件等創作的一致性,提高后續安全事件的創作和編排效率以及配置、驗證、監視、控制和評估功能。
定義了CSR2.0所有異構資源的通用邏輯抽象后,CSR2.0的架構設計將來自資源對象的持久庫的圖形化通過拖放拓撲的可視化界面操作與配置來進行資源對象的管理和編排。通過可視化的拓撲資源對象網絡及位置關系的定義,可從所有CSR資源(虛擬,專業硬件和商品硬件)的統一視圖中構建事件拓撲,快速實現自動安全事件拓撲定義,并可快速定位連接到事件拓撲,以進行事件特定的配置、驗證、監視、控制和評估。
除了自動化安全事件編排和定義,基于可視化拓撲的CSR2.0資源對象還可針對構建的拓撲實現拓撲實例化(生成環境)編排。比如針對虛擬化的對象資源,根據拓撲定義的邏輯資源對象,可自動化生成虛擬化實例資源,并對其進行配置編輯和管理;此外,網絡的實例化、專用硬件及服務器等的實例化編排,均通過不同程度的代理或插件技術等實現自動化的生成和配置管理。基于拓撲的實例化,CSR的承建單位美泰科技采購了美國初創公司Cypherpath.com的SDI軟件定義基礎設施軟件來構建。Cypherpath SDI OS是一個單一的分布式軟件操作系統,可將IT基礎架構和應用程序抽象為便攜式自包含軟件定義的網絡環境(SDI)。Cypherpath SDI OS最初上線時有社區版本以及相應的社區場景包,后來在2019年9月份關閉了社區版本的下載,在此之前,公共還可以申請下載社區版本進行測試和使用。
圖37基于拓撲實例化構建的網絡環境
2014年,全球信息柵格GIG升級為"國防部信息網絡"(DoDIN),作為模擬全球信息柵格GIG的CSR2.0也相應的針對國防部信息網絡(DoDIN)進行復制和建模。美泰科技在這其中,一直不斷根據DoD的要求對CSR進行開發和技術架構升級。(美泰科技目前主要為美國國防部的靶場建設和維護三大合同項目:1、美國國防部賽博安全靶場(CSR);2、美海軍陸戰隊網絡靶場(MCCR);3、網絡培訓與評估平臺(CTEP)CSR2.0提供了DoD信息網絡(DoDIN)的持續不斷的環境復制,而MCCR提供了美海軍陸戰隊Tier2 / Tier3網絡測試,培訓和訓練環境,以模擬/復制/仿真真實的實時網絡情形和體驗。CTEP提供了一個訓練環境,可以模擬網絡戰場并模擬網絡防守和攻擊行動)。
CSR2.0最終的建設目標是為美軍提供訓練即實戰的真實感。美軍可以通過安全的虛擬專網采用邊界組件遠程訪問賽博安全靶場(CSR)。賽博安全靶場(CSR2.0)目前真實地重建國防部信息網(DODIN)環境,提供對事件的直接指揮控制以及觀察,支持賽博事件的重復、刷新以及回應,支持紅隊/藍隊,幫助用戶快速熟悉靶場及作戰環境,改進賽博戰士工具,驗證預先制定的計劃并生成配置變更,評估并驗證各種戰術、技術與程序(TTP)以及賽博安全/計算機賽博防御工具,支持滲透測試以及突發事件響應能力等。
CSR2.0互聯架構如下圖所示:
圖38 CSR2.0互聯架構
CSR1.0升級到2.0架構如下圖所示:
圖39 CSR1.0升級到2.0架構
在CSR2.0中,在基礎架構層提供DISN核心路由器與骨干、DODIN域名核心服務、MPLS路由、感知節點、因特網接入點以及聯合區域安全棧(JRSS)。其中,非密靶場提供非密基礎架構層,并協調DISA互聯網接入點與JRSS。保密靶場將提供全混合基礎架構層以及全虛擬基礎設施互聯網接入點與JRSS棧。
圖40虛擬基礎設施互聯網接入點與JRSS棧
每個聯合區域安全棧(JRSS)的架構如下圖所示:
圖41聯合區域安全棧(JRSS)架構
JRSS由一系列相輔相成的安全站點、設備和機制構成的定制化機架式設備組合,主要執行防火墻功能、入侵檢測和防御、企業管理、虛擬路由和轉發(VRF)并提供大量網絡安全功能。vJRSS是完全由虛擬技術構建的JRSS預生產堆棧的鏡像,也就是JRSS的虛擬化版本,用于部署在CSR2.0中,所有B/P/C/S流量都經過vJRSS(例如VLAN間,基地間,機構間,互聯網等),并通過vJRSS大數據分析處理和其它安全能力(如審計)等功能實現流量管控。在之前的CSR1.0或IAR中,這部分的功能是通過DMZ區域中的部署的安全設備如入侵檢測等實現的。目前vJRSS主要用于CPT練習和CND情景訓練。
vIAP和vJRSS類似,也是互聯網接入點的虛擬化版本部署到CSR2.0中,主要為CSR2.0提供提供因特網和DoDIN之間的第一道防線和連接。提供以下功能的套件:
l??Web內容過濾(WCF):PaloAlto,Splunk,ArcSight
l??企業協同操作傳感器(ECOS):(SourceFire,SiLK,WireShark,Bivio)
l??分布式拒絕服務防護(DDoS-TR):Arbor
此外,vIAP還需實現虛擬互聯網與DoDIN第2層、DoDIN第3層之間的路由功能。
目前在CSR2.0中,虛擬化版本的vJRSS和vIAP在2018年DISA Defender中正式進行了測試和使用,后續將根據演習和訓練使用進行迭代優化,不斷改進虛擬化版本的vJRSS和vIAP功能,使其達到物理版本的功能與性能。
下圖顯示了CSR2.0的最終最核心的功能:
圖42 CSR2.0的核心功能
如圖所示,虛擬互聯網、vIAP、vJRSS、vMPLS、B/P/C/S將作為CSR2.0的核心功能。其他DoDIN企業功能還包括:
l?企業電子郵件(EEMSG)
l??PKI和證書管理
l??SSL中斷和檢查
l??大數據分析和機器學習
其他社會責任能力集成包括:
l?改進的環境可訪問性,用于遠程配置管理
l??PCTE支持和集成
2.4.8.美海軍對CSR的管理和使用
美海軍部在2012年由首席信息官簽署《海軍網絡空間靶場政策指引》備忘錄指出,美海軍要以美國國防部賽博安全靶場(CSR)統一海軍和海軍陸戰隊的網絡空間作戰訓練、演習、測試和評估活動。目前美海軍和美海軍陸戰隊已陸續將自個的網絡靶場訓練環境通過集成或互聯的方式接入到了美國國防部賽博安全靶場(CSR),其中包括美海軍陸戰隊網絡空間靶場(MCCR),美海軍網絡空間作戰靶場(NCOR)等海軍單位的網絡靶場環境。其構成的總體架構如下圖所示。
圖43美海軍CSR靶場體系
美海軍首席信息官(DON CIO)的目的是鞏固和開展DoD CSR靶場內的美海軍和美海軍陸戰隊網絡培訓、演習以及測試和評估活動。該備忘錄將總部海軍陸戰隊(HQMC)指揮、控制、通信和計算機(C4)確立為建立、運營和維護美海軍和美海軍陸戰隊網絡靶場環境的管理和運營組織。
?
【1】https://defensesystems.com/articles/2010/12/01/dod-launches-cyber-test-range.aspx
【2】美軍信息網絡安全架構解析--賀小川
【3】Cyber Security Range (CSR)v2.0 Architecture and Capability --James Curry .2016
【4】Cyber Security Range 2019--James Curry
【5】DoD IA Range Overview--Mr.Ray A. Letteer
【6】Modeling & Simulation ofCyber Effects in a Degraded Environment ITEA 2012 Cyber Conference—ManTech 2012
【7】Department of Defense InformationAssurance Range:A Venue for Test and Evaluation In Cyberspace--Timothy"Kevin" Holmes 2011
【8】DEPARTMENT OF THE NAVY CYBERRANGE POLICY GUIDANCE --2012
【9】新領導新氣象,緊抓網絡攻防不放松-東方證券
總結
以上是生活随笔為你收集整理的靶场发展态势③美国防部赛博安全靶场(IAR/CSR)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Microsoft Visio 2003
- 下一篇: 美团,大众点评,58城市行政区域和商圈数