• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

小佳带你玩靶场系列文章3

【发布时间:2022-07-13】

小佳从专家那边了解到,网络靶场的态势分析和呈现,是新华三靶场的亮点功能,小佳身边的不少安全研究员就参与过里面的分析工作,小佳眼睛一亮,那得好好听专家上课了!

一、靶场绿方提出者

1.1 网络靶场绿方角色

靶场绿方角色就是网络靶场态势感知系统,通过“上帝视角”观察着网络靶场中发生的所有安全事件,并对其进行分析、评估、可视化展示。

https://mmbiz.qpic.cn/mmbiz_png/fdVgrOseV9qlNyiaWaENtcMzrib6GL6btTTcW41yglSDSxUob8bajzrYWsTGWYrxRYkN0j4efNmbVZwZN4nicRP2Q/640?wx_fmt=png

1.2 知其然、还要知其所以然

在传统安全竞赛中,某只队伍攻破靶标,拿到flag,提交成功,平台就会简单地通过对比flag值来给分。

然而,在面对更精细的靶场管理和更高级的对抗时,组织者还需要知道红方是如何攻破靶标,使用的ATT&CK技术,攻击荷载是否已知,是否使用了0day等。如何做到精确分析红方的攻击行为、载荷、技战法,是目前很多攻防靶场亟待攻克的难题。

二、靶场态势核心功能

2.1 攻击检测

网络攻击是网络靶场中的基本要素,因此对网络攻击的准确检测是网络靶场绿方的基础职能。不仅要准确检测攻击,还要还原攻击全过程、攻击细节、攻击原理等,以此帮助用户清晰感知和分析网络靶场发生的安全事件。

2.2 态势评估

网络靶场中会进行若干应用,包括训练、竞赛、演练、试验、测试等,有竞技性质的,也有非竞技性质的。无论是哪种性质的活动完毕都需要有一个量化的评估,对靶场中发生的事件作出细粒度分析,给出相应反馈与建议。这是网络靶场的核心能力所在,也是网络靶场态势要做的事情。

2.3 态势可视化

将靶场态势系统的功能以直观、易懂的形势展示给用户。

三、态势分析应用场景

网络靶场态势系统在内打内、内打外、外打外三种类型应用中,发挥了不同的作用。

3.1 内打内

网络靶场在训练、竞赛、演练时,需要靶场态势系统实时监测靶场内进行的安全活动。当红方完成了一次成功的攻击,需要靶场态势系统分析出其攻击过程的详细行为信息;当网络靶场在进行科学实验时,需要靶场态势系统分析试验对象的机理,比如分析一个新型病毒的传播机理。

3.2 内打外

为了避免选手对真实目标进行违规操作,靶场态势系统会对选手的行为进行全程深度监测,便于后续复盘、技术总结和回溯监控。

3.3 外打内

以安全产品评测为例,当产品被测出漏洞时,靶场态势系统将会分析出该漏洞的详细信息、操作方法等,从而输出POC,进一步指导产品进行升级。

四、与传统态势感知的区别

4.1 目标网络不同

传统态势感知只需要服务于某个相对稳定的网络,而靶场态势感知能够同时服务于多个试验网络。在态势感知相关的采集、检测、分析、评估、可视化模版等场景中,都可以支持多试验并行的情况。

此外,传统态势感知服务的资产和网络基本稳定,变更相对较少,而靶场态势感知服务的网络是根据用户的应用需求随时变化的,单次实验的生命周期较短。面对动态建立、随时擦除的目标网络,靶场态势分析需要满足及时应对、灵活适配等要求。

4.2 输入输出不同

首先,靶场态势感知系统(绿方)需要和靶场黄方、白方、甚至红、蓝方进行大量控制流和数据流的交互,这是业务网态势感知无需涉及的部分。

其次,靶场态势感知在一次实验中,需要尽可能获得全量数据,除了全流量,还包括终端数据、终端状态、甚至选手的数据、裁判的数据等等,通过综合分析进行有效判断。然而,业务网态势感知的输入由于组网等各种原因,可能数据采集相对单一,或存在采集盲区,或存在为适配某种单一类型的网络只做了针对性数据源分析加工的态势感知版本。而靶场的分析是不允许阉割的。因此,靶场态势分析系统在数据适配、分析推导、性能和稳定性等多方面能力均与传统态势感知存在差异。

4.3 能力要求不同

传统态势感知受限于部署位置或探针能力,分析目标往往“尽力而为”,想要检测并还原网络中所有的攻击是不现实的。但靶场态势感知因为要全面掌握靶场发生的安全活动,对漏报的容忍度很低,力争不遗漏。尤其在重要赛事中,靶场态势感知具备完整的分析输出能力,做到攻击活动的可管、可控、可溯源。

4.4 配置要求不同

业务网态势感知的安装部署多为一次性配置到位,后续改动不大,因此对灵活性要求并不高。相比而言,靶场态势感知需要反复应用、反复部署,因此需要极为灵活的配置策略,否则运维难以为继。在新华三靶场态势感知中,引入多种自动配置方式,满足不同场景动态变化的环境需求。

4.5 可视化呈现

传统网络态势感知的可视化呈现同质化、定制化趋势,而靶场态势感知需要在宏观、围观层面分别作出多维度呈现,尤其是大屏展示方面,更是传统态势感知无法直接复用的。

五、靶场态势的技术挑战

5.1 采集的灵活性

靶场的运行会产生非常庞大的数据,有采集就有接触,就像抽血时针头会刺进血管,做胃镜时软管会深入胃中。有接触就会有影响,采集到所需数据的同时,必须确保资源消耗和影响降到最低。

5.2 检测的准确性

准确检测网络攻击一直是网络安全界最难的问题之一。尽管网络靶场有“上帝视角”,理论上可以采集任意需要的数据进行分析,但实践中,对分析能力和所需知识储备要求非常高,任何形式的误判、漏报,都会影响绿方分析的结果。

5.3 评估的科学性

评估分为量化评估和非量化评估,量化评估要做到数值可解释性,非量化评估要做到评估的全面性、针对性。两者都要做好,是极具挑战的。

新华三网络安全靶场投入了大量研发精力来进行数据的采集分析和推演还原。那么除此之外,新华三网络安全靶场还有什么值得一提的特殊之处呢?小佳对这个问题摩拳擦掌,她早就想要介绍一把靶场里面的AI专家啦!




 
新华三官网
联系我们