在當(dāng)下已經(jīng)演變?yōu)槌志脩?zhàn)的俄烏戰(zhàn)爭中,通信、交通、能源供應(yīng)等相關(guān)國家關(guān)鍵基礎(chǔ)設(shè)施一直是雙方攻擊的重點目標(biāo),同時,“網(wǎng)絡(luò)戰(zhàn)”作為先行戰(zhàn)場,也把關(guān)基設(shè)施作為主陣地,不斷以相對輕量級成本制造比想象中更廣泛的破壞和社會混亂,在俄烏博弈過程中發(fā)揮著重要作用。

其實,俄烏的網(wǎng)絡(luò)戰(zhàn)要追溯到至少10年前,以“烏克蘭電網(wǎng)事件”最為經(jīng)典,2015年12月23日,烏克蘭境內(nèi)一半的區(qū)域遭遇斷電,持續(xù)數(shù)小時之久,波及140萬居民。與以往的外力破壞或電路故障不同,這是首次被記錄下來的,針對國家級基礎(chǔ)設(shè)施網(wǎng)絡(luò)展開的攻擊行為,時至今日依舊被廣泛提及和引用。

此次事件中,俄羅斯APT組織使用釣魚郵件將“BlackEnergy”(惡意軟件)投放至烏克蘭電力公司P廠(全稱Prykarpattiaoblenergo Joint Stock Company),進(jìn)而獲得變電站斷路器的控制權(quán),導(dǎo)致近60個變電站下線,同時通過數(shù)據(jù)破壞等手段使得受害系統(tǒng)無法及時感知和被修復(fù)。

而在此之后,不僅僅是烏克蘭電網(wǎng),全球范圍內(nèi)針對電力及相關(guān)能源基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊層出不窮,有數(shù)據(jù)統(tǒng)計其在網(wǎng)絡(luò)威脅事件中占比超過30%。究其原因,一方面電力系統(tǒng)規(guī)模異常龐大,網(wǎng)絡(luò)連接、運行方式多樣,存在很多“可乘之機”;另外入侵電力系統(tǒng)對于黑客組織來說是一個高價值的目標(biāo),因為電力與人們生產(chǎn)生活深度關(guān)聯(lián),受到攻擊后所產(chǎn)生的損失往往十分巨大,設(shè)想一下當(dāng)黑暗入侵,社會運轉(zhuǎn)的齒輪戛然而止,生產(chǎn)癱瘓、交通癱瘓、生活配套癱瘓……所帶來的一定是災(zāi)難性后果。

電力網(wǎng)絡(luò)靶場建設(shè)的必要性:提升以人為核心的網(wǎng)絡(luò)對抗能力

關(guān)于電力系統(tǒng)網(wǎng)絡(luò)安全,人們視線所能及的只是冰山一角,因為黑客的動作往往遠(yuǎn)早于人們的感知,2015年烏克蘭電網(wǎng)事件爆發(fā)半年前,“釣魚”行為就已經(jīng)開始了,再往前追溯,對于目標(biāo)電網(wǎng)的偵查和入侵規(guī)劃要更早,所以,危機或許早就存在,只是在“它”需要的時候爆發(fā)。

完善病毒查殺系統(tǒng),在服務(wù)器及網(wǎng)絡(luò)邊界部署防火墻、入侵檢測、漏掃系統(tǒng),加強對人員的規(guī)范管理等是電力系統(tǒng)網(wǎng)絡(luò)安全的通用防護(hù)手段,但依舊無法實現(xiàn)“高枕無憂”。

資深網(wǎng)絡(luò)安全技術(shù)專家、網(wǎng)絡(luò)靶場廠商丈八網(wǎng)安創(chuàng)始人王珩認(rèn)為:“安全產(chǎn)品和防防護(hù)軟件,只能起到輔助作用,無法代替技術(shù)人員在網(wǎng)絡(luò)對抗中的地位。因為,各安全公司在做的事情其實是將其核心安全技術(shù)能力集成到他們的產(chǎn)品中,再由產(chǎn)品將‘能力’傳導(dǎo)給企業(yè)端的安全運維人員,但實際情況是,因為企業(yè)端人員自身能力的短板,會導(dǎo)致安全產(chǎn)品所傳導(dǎo)的‘能力’大幅縮水,遠(yuǎn)不能支撐其抵御專業(yè)APT組織的攻擊。網(wǎng)絡(luò)攻擊的源頭是人,防御的最終端也是人,歸根結(jié)底,網(wǎng)絡(luò)對抗的結(jié)果還是取決于技術(shù)人員能力的高低。”

而技術(shù)人員要提升攻防能力,就需要大量實戰(zhàn)經(jīng)驗的積累,這便是網(wǎng)絡(luò)靶場這款產(chǎn)品的核心價值所在,它可以直接將安全能力“傳遞”給企業(yè)端防護(hù)人員,即:將人、攻防工具、貼近真實的實戰(zhàn)場景融為一體,在網(wǎng)絡(luò)靶場中通過實戰(zhàn)提升人的技術(shù)能力,從而為企業(yè)構(gòu)建堅實的安全防護(hù)能力。

所以,建設(shè)電力靶場并加強實戰(zhàn)訓(xùn)練,培養(yǎng)具備電力網(wǎng)絡(luò)安全對抗能力的專業(yè)型人才,對于電力系統(tǒng)網(wǎng)絡(luò)安全乃至國家網(wǎng)絡(luò)安全而言至關(guān)重要。

近幾年,我國也陸續(xù)出臺了關(guān)于電力網(wǎng)絡(luò)安全相關(guān)管理辦法和標(biāo)準(zhǔn),其中關(guān)于電力系統(tǒng)網(wǎng)絡(luò)應(yīng)急能力建設(shè)、事件應(yīng)急處置、人才培養(yǎng)等被著重強調(diào)。今年年初,國家能源局綜合司印發(fā)《2023年電力安全監(jiān)管重點任務(wù)》中也指出,要加強網(wǎng)絡(luò)安全態(tài)勢感知能力建設(shè),推進(jìn)國家級電力網(wǎng)絡(luò)安全靶場建設(shè),組織開展年度攻防演練?？梢?圍繞電力系統(tǒng)安全人才能力培養(yǎng)的網(wǎng)絡(luò)靶場建設(shè)已經(jīng)被提上日程。

電力網(wǎng)絡(luò)靶場的典型應(yīng)用場景:攻防技能訓(xùn)練和測試評估

網(wǎng)絡(luò)靶場是提供網(wǎng)絡(luò)仿真環(huán)境,集成網(wǎng)絡(luò)攻防、測試評估等技術(shù),來支撐基于真實業(yè)務(wù)的攻防技能訓(xùn)練以及測試評估等需求的軟件系統(tǒng)?；诰W(wǎng)絡(luò)靶場的高仿真環(huán)境模擬,還衍生了欺騙防御、安全策略有效性驗證等應(yīng)用方向。

攻防技能訓(xùn)練的形式還包括演習(xí)、競賽、應(yīng)急響應(yīng)預(yù)演等。其中,攻擊側(cè)訓(xùn)練即提供一個仿真的目標(biāo)環(huán)境開展演練,來提升攻擊技術(shù),演練各種攻擊戰(zhàn)術(shù)戰(zhàn)法等;防御側(cè)訓(xùn)練,即在靶場中復(fù)現(xiàn)與真實業(yè)務(wù)環(huán)境高度吻合的模擬場景,聯(lián)動全業(yè)務(wù)部門開展應(yīng)急響應(yīng)演練,持續(xù)提升企業(yè)安全運維團(tuán)隊的技術(shù)能力。同時,人員在靶場中的行動數(shù)據(jù)會被全程記錄,為后續(xù)的評估、復(fù)盤和持續(xù)訓(xùn)練提供依據(jù)。

值得一提的是,網(wǎng)絡(luò)靶場所復(fù)現(xiàn)的是安全隔離的仿真環(huán)境,在其中的任何攻防行為都不會損傷到真實業(yè)務(wù)的連續(xù)性。這一特質(zhì)也使得“測試評估”類需求興起,并逐漸成為網(wǎng)絡(luò)靶場的主要功能之一。通過在網(wǎng)絡(luò)靶場內(nèi)置流量發(fā)生裝置,可以測試各種安全工具的性能和功能指標(biāo),從而支持系統(tǒng)與裝備上線前的安全檢測與入網(wǎng)風(fēng)險評估等。構(gòu)建滿足評測場景功能的信創(chuàng)化、國家級網(wǎng)絡(luò)安全靶場,能夠很好的解決當(dāng)前檢測軟件、檢測環(huán)境依賴進(jìn)口的局面,對于電力系統(tǒng)這種對業(yè)務(wù)連續(xù)性要求極高的重要基礎(chǔ)設(shè)施來說具有重要意義。

在靶場中開展技術(shù)訓(xùn)練和測試評估,對于電力行業(yè)而言,重點在于訓(xùn)練和測試所使用的虛擬環(huán)境,要與實際的電力生產(chǎn)網(wǎng)絡(luò)及設(shè)備環(huán)境高度吻合,這樣才能確保技術(shù)人員經(jīng)過多番訓(xùn)練后,可以在實際生產(chǎn)環(huán)境下無差別行動。同樣,高度仿真也是保證測評結(jié)果有效性的最大前提。

電力系統(tǒng)網(wǎng)絡(luò)靶場建設(shè)難點

在國家關(guān)鍵基礎(chǔ)設(shè)施所涵蓋的行業(yè)中,電力行業(yè)的網(wǎng)絡(luò)靶場幾乎可以說是建設(shè)難度最大的,主要體現(xiàn)在以下幾個維度:

場景構(gòu)建難,電力系統(tǒng)被稱為“最復(fù)雜的人造工程”之一,電網(wǎng)由大量專有元件構(gòu)成,遍布范圍廣,這些元器件依托網(wǎng)絡(luò)構(gòu)成復(fù)雜的關(guān)系網(wǎng),結(jié)構(gòu)和功能都異常復(fù)雜。除此之外,電網(wǎng)涉及很多專有的工藝節(jié)點,對電網(wǎng)系統(tǒng)及其設(shè)備環(huán)境的模擬是對仿真技術(shù)的極大考驗。目前很多傳統(tǒng)的網(wǎng)絡(luò)靶場依托來自國外的云計算底層架構(gòu),定制化程度受到很大影響,更加難以有針對性的去復(fù)現(xiàn)電力系統(tǒng)專有網(wǎng)絡(luò)環(huán)境和設(shè)備環(huán)境。

成本控制難,傳統(tǒng)靶場習(xí)慣通過復(fù)刻微縮版設(shè)備模型的方式,實現(xiàn)對專有工藝節(jié)點的“1:1”復(fù)現(xiàn),此方式被業(yè)界視為“形式大于內(nèi)容”,導(dǎo)致對物理空間的大量占用,再加上硬件采購和運營人員的投入,使得整體靶場建設(shè)費用激增。而網(wǎng)絡(luò)靶場中經(jīng)常開展的攻防測試具備高危險性,這些設(shè)備一旦遭到破壞很難在有限的時間內(nèi)恢復(fù)。

內(nèi)容運營難,當(dāng)一個貼近真實生產(chǎn)環(huán)境的仿真場景被復(fù)現(xiàn)完畢,接下來對靶場的考驗就是內(nèi)容建設(shè)和運營能力,也就是如何更好的完成攻防訓(xùn)練和測評目標(biāo),包括攻防能力雙向訓(xùn)練,對人員能力及崗位匹配度、業(yè)務(wù)連續(xù)性目標(biāo)的量化評估,個性化的態(tài)勢呈現(xiàn)等均為當(dāng)代網(wǎng)絡(luò)靶場產(chǎn)品建設(shè)過程中需要不斷完善的重要環(huán)節(jié)。

伴隨網(wǎng)絡(luò)仿真技術(shù)的革新,電力系統(tǒng)網(wǎng)絡(luò)靶場的建設(shè)痛點也在逐步被技術(shù)攻破。比如新興的網(wǎng)絡(luò)靶場企業(yè)丈八網(wǎng)安,其摒棄了傳統(tǒng)的云計算底層架構(gòu),自主研發(fā)了一套為仿真服務(wù)的原生網(wǎng)絡(luò)靶場專用引擎,通過在電力行業(yè)的實踐,解決了場景構(gòu)建、成本控制及運營難等問題。

以下為丈八網(wǎng)安的電力系統(tǒng)網(wǎng)絡(luò)靶場實踐過程,及基于實踐的行業(yè)發(fā)展趨勢分析。

電力系統(tǒng)網(wǎng)絡(luò)靶場的建設(shè)實踐

丈八網(wǎng)安旗下網(wǎng)絡(luò)安全攻防研究團(tuán)隊——蛇矛實驗室,依托原生靶場平臺火“天網(wǎng)境”,高度還原了2015年烏克蘭電網(wǎng)攻擊事件中的電力公司“Prykarpattiaoblenergo Joint Stock Company”的網(wǎng)絡(luò)環(huán)境。

此場景中模擬構(gòu)建了電力企業(yè)外部網(wǎng)絡(luò)、電力企業(yè)內(nèi)部網(wǎng)絡(luò)以及電力控制網(wǎng)絡(luò)三部分,其中外部網(wǎng)絡(luò)包含了大量的企業(yè)對外應(yīng)用以及外部服務(wù),企業(yè)網(wǎng)中模擬了內(nèi)網(wǎng)辦公主機、數(shù)據(jù)中心、呼叫中心、VPN服務(wù)器、辦公區(qū)以及域控區(qū)域;電力控制網(wǎng)絡(luò)中模擬了HMI、PLC、RTU、以及各類IO單元等。

同時,場景也構(gòu)建了基于電力的發(fā)電、變配電、用電的流程模擬,包含了虛擬發(fā)電機、變壓器、斷路設(shè)備、繼保設(shè)備、開關(guān)設(shè)備等,并利用數(shù)字孿生技術(shù)模擬了各類傳感器單元。在控制層面,通過靶場平臺模擬出了上位機、下位機以及各類控制系統(tǒng),包括HMI、SCADA、PLC等。

整個場景的復(fù)現(xiàn)充分利用了“火天網(wǎng)境”原生網(wǎng)絡(luò)靶場的多領(lǐng)域NFV適配技術(shù),包括防火墻、路由器、交換機、監(jiān)控設(shè)備等網(wǎng)絡(luò)及安全設(shè)備的適配;涉及數(shù)字孿生仿真技術(shù),包括了工業(yè)控制協(xié)議例如S7、Modbus、DNP3、PDU、IO單元等重要環(huán)節(jié);虛擬化技術(shù),包括上位機、下位機、VPN、跳板機、AD域等。

在高逼真還原事件中電廠網(wǎng)絡(luò)及設(shè)備環(huán)境的基礎(chǔ)上,復(fù)現(xiàn)了整個攻擊鏈路:

在這個工控/電力系統(tǒng)網(wǎng)絡(luò)靶場建設(shè)及應(yīng)用的實踐中,蛇矛實驗室將整個“攻擊事件”配置為決策行動鏈后,可構(gòu)建技戰(zhàn)法模型,形成典型攻防行動,從而訓(xùn)練人員攻防實戰(zhàn)能力、決策能力等。也可通過類似實踐有效檢驗整個電力系統(tǒng)中的安全有效性及需要關(guān)注的環(huán)境節(jié)點。

電力/工控系統(tǒng)網(wǎng)絡(luò)安全靶場發(fā)展趨勢

其實,網(wǎng)絡(luò)靶場產(chǎn)品在任何行業(yè)的應(yīng)用,核心能力和前進(jìn)趨勢都圍繞“仿真”展開。

在仿真內(nèi)容維度,工控/電力系統(tǒng)的網(wǎng)絡(luò)靶場建設(shè)中,首先要考慮契合企業(yè)實際生產(chǎn)情況,做全架構(gòu)仿真。

在ISA-95 企業(yè)系統(tǒng)與控制系統(tǒng)集成國際標(biāo)準(zhǔn)中,對信息系統(tǒng)架構(gòu)做了五層分級,從0層到4層分別為:現(xiàn)場層(生產(chǎn)層)、控制層、操作層、管理層、企業(yè)層,攻擊行為一般從4層逐一向0層滲透,所以單獨對其中某層的仿真是無意義的,網(wǎng)絡(luò)靶場的全架構(gòu)仿真就是要對企業(yè)的每一層設(shè)備及組網(wǎng)情況進(jìn)行模擬。

在丈八網(wǎng)安的電力靶場實踐案例中,蛇矛實驗室就在火天網(wǎng)境靶場平臺做了基于P廠全局的全架構(gòu)仿真,比如釣魚郵件攻擊目標(biāo)位于管理層,被攻擊的SCADA系統(tǒng)位于操作層,最終直接影響到了控制層和現(xiàn)場層。

在仿真技術(shù)、方式上,做全架構(gòu)仿真就意味著場景或許會很“宏大”,正如前面所述,傳統(tǒng)靶場的微縮版模型復(fù)現(xiàn),雖然從形式上還原了現(xiàn)場層的很多工控物理設(shè)備,但被還原的“模型”占地大、成本高且不具備可復(fù)用性。更符合發(fā)展趨勢和企業(yè)需求的方式是其實是將重要工藝及環(huán)節(jié)通過數(shù)字化建模、外設(shè)仿真以及虛實結(jié)合組網(wǎng)等技術(shù)進(jìn)行還原,通過在仿真平臺中的一張張“藍(lán)圖”,可以隨時復(fù)用、切換“場景”。

比如在對P廠復(fù)現(xiàn)的案例中,因為涉及特殊專用設(shè)備,丈八網(wǎng)安通過70%的虛擬仿真+30%的物理設(shè)備接入方式完成整個場景搭建。丈八網(wǎng)安CEO王珩認(rèn)為,伴隨數(shù)字孿生技術(shù)的發(fā)展,網(wǎng)絡(luò)靶場“虛實結(jié)合”的仿真方式也會逐漸向純虛擬仿真邁進(jìn),輕量化、敏捷化將成為行業(yè)發(fā)展的主旋律。

網(wǎng)絡(luò)靶場技術(shù)的快速發(fā)展也在推進(jìn)其在更多應(yīng)用場景的實踐,比如前面提到的測試評估場景。近幾年,美國國防部在持續(xù)推進(jìn)的“向左移(Shift Left)”戰(zhàn)略,主要在采辦項目階段,不斷應(yīng)用靶場進(jìn)行評估,目的是“避免在開發(fā)生命周期結(jié)束時進(jìn)行高成本集成”。類似需求場景在工控/電力系統(tǒng)內(nèi)的需求也逐漸提升,很多傳統(tǒng)的工控系統(tǒng)的數(shù)字化推進(jìn)進(jìn)程緩慢,皆因受到確保“生產(chǎn)連續(xù)性”這個高優(yōu)先級目標(biāo)影響,在系統(tǒng)升級,或者外接新型設(shè)備的時候,無法確保生產(chǎn)不被打斷,而網(wǎng)絡(luò)靶場的測評場景成了破局的關(guān)鍵。

丈八網(wǎng)安創(chuàng)始人王珩表示:“提供一個接近真實生產(chǎn)網(wǎng)的仿真測試環(huán)境,開展整機、固件、系統(tǒng)軟件、應(yīng)用軟件的安全檢測環(huán)境,去驗證設(shè)備的安全性、可用性和有效性,同時出具可度量、可視化的測評結(jié)論,對于工控領(lǐng)域,特別是電力行業(yè)的數(shù)字化升級而言,是極具吸引力的解決方案。”

綜上,網(wǎng)絡(luò)靶場似乎不是一款“安全”產(chǎn)品,卻與“安全”緊密相連,雖然目前只是網(wǎng)絡(luò)安全產(chǎn)業(yè)中的一個細(xì)分賽道,但其涉及的虛擬仿真核心技術(shù),卻有著充滿想象力、宏大的應(yīng)用空間,相信不久的將來,網(wǎng)絡(luò)靶場將刷新它的定義,成為人們生產(chǎn)生活必不可少的工具。