电力网络靶场建设趋势:全架构仿真+数字孪生
在当下已经演变为持久战的俄乌战争中,通信、交通、能源供应等相关国家关键基础设施一直是双方攻击的重点目标,同时,“网络战”作为先行战场,也把关基设施作为主阵地,不断以相对轻量级成本制造比想象中更广泛的破坏和社会混乱,在俄乌博弈过程中发挥着重要作用。
其实,俄乌的网络战要追溯到至少10年前,以“乌克兰电网事件”最为经典,2015年12月23日,乌克兰境内一半的区域遭遇断电,持续数小时之久,波及140万居民。与以往的外力破坏或电路故障不同,这是首次被记录下来的,针对国家级基础设施网络展开的攻击行为,时至今日依旧被广泛提及和引用。
此次事件中,俄罗斯APT组织使用钓鱼邮件将“BlackEnergy”(恶意软件)投放至乌克兰电力公司P厂(全称Prykarpattiaoblenergo Joint Stock Company),进而获得变电站断路器的控制权,导致近60个变电站下线,同时通过数据破坏等手段使得受害系统无法及时感知和被修复。
而在此之后,不仅仅是乌克兰电网,全球范围内针对电力及相关能源基础设施的网络攻击层出不穷,有数据统计其在网络威胁事件中占比超过30%。究其原因,一方面电力系统规模异常庞大,网络连接、运行方式多样,存在很多“可乘之机”;另外入侵电力系统对于黑客组织来说是一个高价值的目标,因为电力与人们生产生活深度关联,受到攻击后所产生的损失往往十分巨大,设想一下当黑暗入侵,社会运转的齿轮戛然而止,生产瘫痪、交通瘫痪、生活配套瘫痪……所带来的一定是灾难性后果。
电力网络靶场建设的必要性:提升以人为核心的网络对抗能力
关于电力系统网络安全,人们视线所能及的只是冰山一角,因为黑客的动作往往远早于人们的感知,2015年乌克兰电网事件爆发半年前,“钓鱼”行为就已经开始了,再往前追溯,对于目标电网的侦查和入侵规划要更早,所以,危机或许早就存在,只是在“它”需要的时候爆发。
完善病毒查杀系统,在服务器及网络边界部署防火墙、入侵检测、漏扫系统,加强对人员的规范管理等是电力系统网络安全的通用防护手段,但依旧无法实现“高枕无忧”。
资深网络安全技术专家、网络靶场厂商丈八网安创始人王珩认为:“安全产品和防防护软件,只能起到辅助作用,无法代替技术人员在网络对抗中的地位。因为,各安全公司在做的事情其实是将其核心安全技术能力集成到他们的产品中,再由产品将‘能力’传导给企业端的安全运维人员,但实际情况是,因为企业端人员自身能力的短板,会导致安全产品所传导的‘能力’大幅缩水,远不能支撑其抵御专业APT组织的攻击。网络攻击的源头是人,防御的最终端也是人,归根结底,网络对抗的结果还是取决于技术人员能力的高低。”
而技术人员要提升攻防能力,就需要大量实战经验的积累,这便是网络靶场这款产品的核心价值所在,它可以直接将安全能力“传递”给企业端防护人员,即:将人、攻防工具、贴近真实的实战场景融为一体,在网络靶场中通过实战提升人的技术能力,从而为企业构建坚实的安全防护能力。
所以,建设电力靶场并加强实战训练,培养具备电力网络安全对抗能力的专业型人才,对于电力系统网络安全乃至国家网络安全而言至关重要。
近几年,我国也陆续出台了关于电力网络安全相关管理办法和标准,其中关于电力系统网络应急能力建设、事件应急处置、人才培养等被着重强调。今年年初,国家能源局综合司印发《2023年电力安全监管重点任务》中也指出,要加强网络安全态势感知能力建设,推进国家级电力网络安全靶场建设,组织开展年度攻防演练。可见,围绕电力系统安全人才能力培养的网络靶场建设已经被提上日程。
电力网络靶场的典型应用场景:攻防技能训练和测试评估
网络靶场是提供网络仿真环境,集成网络攻防、测试评估等技术,来支撑基于真实业务的攻防技能训练以及测试评估等需求的软件系统。基于网络靶场的高仿真环境模拟,还衍生了欺骗防御、安全策略有效性验证等应用方向。
攻防技能训练的形式还包括演习、竞赛、应急响应预演等。其中,攻击侧训练即提供一个仿真的目标环境开展演练,来提升攻击技术,演练各种攻击战术战法等;防御侧训练,即在靶场中复现与真实业务环境高度吻合的模拟场景,联动全业务部门开展应急响应演练,持续提升企业安全运维团队的技术能力。同时,人员在靶场中的行动数据会被全程记录,为后续的评估、复盘和持续训练提供依据。
值得一提的是,网络靶场所复现的是安全隔离的仿真环境,在其中的任何攻防行为都不会损伤到真实业务的连续性。这一特质也使得“测试评估”类需求兴起,并逐渐成为网络靶场的主要功能之一。通过在网络靶场内置流量发生装置,可以测试各种安全工具的性能和功能指标,从而支持系统与装备上线前的安全检测与入网风险评估等。构建满足评测场景功能的信创化、国家级网络安全靶场,能够很好的解决当前检测软件、检测环境依赖进口的局面,对于电力系统这种对业务连续性要求极高的重要基础设施来说具有重要意义。
在靶场中开展技术训练和测试评估,对于电力行业而言,重点在于训练和测试所使用的虚拟环境,要与实际的电力生产网络及设备环境高度吻合,这样才能确保技术人员经过多番训练后,可以在实际生产环境下无差别行动。同样,高度仿真也是保证测评结果有效性的最大前提。
电力系统网络靶场建设难点
在国家关键基础设施所涵盖的行业中,电力行业的网络靶场几乎可以说是建设难度最大的,主要体现在以下几个维度:
场景构建难,电力系统被称为“最复杂的人造工程”之一,电网由大量专有元件构成,遍布范围广,这些元器件依托网络构成复杂的关系网,结构和功能都异常复杂。除此之外,电网涉及很多专有的工艺节点,对电网系统及其设备环境的模拟是对仿真技术的极大考验。目前很多传统的网络靶场依托来自国外的云计算底层架构,定制化程度受到很大影响,更加难以有针对性的去复现电力系统专有网络环境和设备环境。
成本控制难,传统靶场习惯通过复刻微缩版设备模型的方式,实现对专有工艺节点的“1:1”复现,此方式被业界视为“形式大于内容”,导致对物理空间的大量占用,再加上硬件采购和运营人员的投入,使得整体靶场建设费用激增。而网络靶场中经常开展的攻防测试具备高危险性,这些设备一旦遭到破坏很难在有限的时间内恢复。
内容运营难,当一个贴近真实生产环境的仿真场景被复现完毕,接下来对靶场的考验就是内容建设和运营能力,也就是如何更好的完成攻防训练和测评目标,包括攻防能力双向训练,对人员能力及岗位匹配度、业务连续性目标的量化评估,个性化的态势呈现等均为当代网络靶场产品建设过程中需要不断完善的重要环节。
伴随网络仿真技术的革新,电力系统网络靶场的建设痛点也在逐步被技术攻破。比如新兴的网络靶场企业丈八网安,其摒弃了传统的云计算底层架构,自主研发了一套为仿真服务的原生网络靶场专用引擎,通过在电力行业的实践,解决了场景构建、成本控制及运营难等问题。
以下为丈八网安的电力系统网络靶场实践过程,及基于实践的行业发展趋势分析。
电力系统网络靶场的建设实践
丈八网安旗下网络安全攻防研究团队——蛇矛实验室,依托原生靶场平台火“天网境”,高度还原了2015年乌克兰电网攻击事件中的电力公司“Prykarpattiaoblenergo Joint Stock Company”的网络环境。
此场景中模拟构建了电力企业外部网络、电力企业内部网络以及电力控制网络三部分,其中外部网络包含了大量的企业对外应用以及外部服务,企业网中模拟了内网办公主机、数据中心、呼叫中心、VPN服务器、办公区以及域控区域;电力控制网络中模拟了HMI、PLC、RTU、以及各类IO单元等。
同时,场景也构建了基于电力的发电、变配电、用电的流程模拟,包含了虚拟发电机、变压器、断路设备、继保设备、开关设备等,并利用数字孪生技术模拟了各类传感器单元。在控制层面,通过靶场平台模拟出了上位机、下位机以及各类控制系统,包括HMI、SCADA、PLC等。
整个场景的复现充分利用了“火天网境”原生网络靶场的多领域NFV适配技术,包括防火墙、路由器、交换机、监控设备等网络及安全设备的适配;涉及数字孪生仿真技术,包括了工业控制协议例如S7、Modbus、DNP3、PDU、IO单元等重要环节;虚拟化技术,包括上位机、下位机、VPN、跳板机、AD域等。
在高逼真还原事件中电厂网络及设备环境的基础上,复现了整个攻击链路:
在这个工控/电力系统网络靶场建设及应用的实践中,蛇矛实验室将整个“攻击事件”配置为决策行动链后,可构建技战法模型,形成典型攻防行动,从而训练人员攻防实战能力、决策能力等。也可通过类似实践有效检验整个电力系统中的安全有效性及需要关注的环境节点。
电力/工控系统网络安全靶场发展趋势
其实,网络靶场产品在任何行业的应用,核心能力和前进趋势都围绕“仿真”展开。
在仿真内容维度,工控/电力系统的网络靶场建设中,首先要考虑契合企业实际生产情况,做全架构仿真。
在ISA-95 企业系统与控制系统集成国际标准中,对信息系统架构做了五层分级,从0层到4层分别为:现场层(生产层)、控制层、操作层、管理层、企业层,攻击行为一般从4层逐一向0层渗透,所以单独对其中某层的仿真是无意义的,网络靶场的全架构仿真就是要对企业的每一层设备及组网情况进行模拟。
在丈八网安的电力靶场实践案例中,蛇矛实验室就在火天网境靶场平台做了基于P厂全局的全架构仿真,比如钓鱼邮件攻击目标位于管理层,被攻击的SCADA系统位于操作层,最终直接影响到了控制层和现场层。
在仿真技术、方式上,做全架构仿真就意味着场景或许会很“宏大”,正如前面所述,传统靶场的微缩版模型复现,虽然从形式上还原了现场层的很多工控物理设备,但被还原的“模型”占地大、成本高且不具备可复用性。更符合发展趋势和企业需求的方式是其实是将重要工艺及环节通过数字化建模、外设仿真以及虚实结合组网等技术进行还原,通过在仿真平台中的一张张“蓝图”,可以随时复用、切换“场景”。
比如在对P厂复现的案例中,因为涉及特殊专用设备,丈八网安通过70%的虚拟仿真+30%的物理设备接入方式完成整个场景搭建。丈八网安CEO王珩认为,伴随数字孪生技术的发展,网络靶场“虚实结合”的仿真方式也会逐渐向纯虚拟仿真迈进,轻量化、敏捷化将成为行业发展的主旋律。
网络靶场技术的快速发展也在推进其在更多应用场景的实践,比如前面提到的测试评估场景。近几年,美国国防部在持续推进的“向左移(Shift Left)”战略,主要在采办项目阶段,不断应用靶场进行评估,目的是“避免在开发生命周期结束时进行高成本集成”。类似需求场景在工控/电力系统内的需求也逐渐提升,很多传统的工控系统的数字化推进进程缓慢,皆因受到确保“生产连续性”这个高优先级目标影响,在系统升级,或者外接新型设备的时候,无法确保生产不被打断,而网络靶场的测评场景成了破局的关键。
丈八网安创始人王珩表示:“提供一个接近真实生产网的仿真测试环境,开展整机、固件、系统软件、应用软件的安全检测环境,去验证设备的安全性、可用性和有效性,同时出具可度量、可视化的测评结论,对于工控领域,特别是电力行业的数字化升级而言,是极具吸引力的解决方案。”
综上,网络靶场似乎不是一款“安全”产品,却与“安全”紧密相连,虽然目前只是网络安全产业中的一个细分赛道,但其涉及的虚拟仿真核心技术,却有着充满想象力、宏大的应用空间,相信不久的将来,网络靶场将刷新它的定义,成为人们生产生活必不可少的工具。