在这两个平行世界中,虚拟系统和现实系统各自运行,但又实时、动态、紧密地互动,完成对各自当前和未来的状况的“借鉴”和“预估”。虚拟引导现实,现实逼近虚拟,从而解决学习、培训、测试、演习乃至实际作战的目的。
以作战为例,在实际作战过程中,实际作战系统与作战仿真模拟系统同步运行,仿真系统从实际作战中获取及时真实的战场数据,并不断变更仿真方向,更新仿真状态,快速预测未来战场态势,并反馈给作战指挥系统,辅助指挥员进行作战指挥决策,进而影响实际作战。
平行仿真为网络安全带来新活力
但“平行仿真”不只是军事领域的专利,在诸多领域都有用武之地。在网络空间尤其是网络安全领域,平行仿真技术已经开始大放异彩。
网络安全的平行仿真,是指在网络空间中,通过构造与现实网络系统相对应的场景模型,结合云平台、虚拟化技术、攻防技术等手段,打造现实网络系统的平行仿真系统,为现实网络系统提供“试错”空间,用于学习与培训、测试与验证、评估与演练,乃至攻防实战,尽可能地将未知安全风险消弭于其中。
为实现这一目标,伴随着网络安全产业的发展,永信至诚走过了实训、竞赛、靶场到欺骗式防御的四个阶段,其核心技术平行仿真,通过频繁实用、反复迭代、突破提升到反向应用,已经从一个背后的支撑技术,变成网络攻防世界的关键角色,甚至影响着未来网络安全产业的走向。
平行仿真一阶:实训场景
永信至诚一直秉承“人是安全的核心”的理念,人的能力直接决定了企业网络安全的整体水平。
仅仅买一堆设备做到合规、建立了安全管理规定却得不到有效落实——从2013年开始,在内外环境的推动下,这些“表面上的安全”逐渐被业界所摒弃。网络安全业界开始重视人的实际操作能力,大规模的网络安全在线学习和实验成为刚需,业界急需一个能提供快速实验、资源丰富的平台来进行人员的实训,从而将知识学习转化为实际操作能力。
而用网络虚拟化作为主导实现技术,成为了主流选择。这种快速生成实训环境的需求,存在一个现实的技术难点:即底层虚拟化环境在资源的获取和释放上,对频率的要求极高,甚至要控制在秒级以内。比如在15秒的时间内,系统就要自动完成线上实验环境的构建,生成一个适合用户的实训场景。如果这个时间过长,则会影响用户的体验。
所以,实训场景的技术要求是小规模资源占用、超频繁、反复申请释放使用。而常规的云计算环境的资源收放一般是以小时和分钟计的,无法满足实训场景的需求。为此,永信至诚自主研发了“春秋云”平台,用以这种小规模大量实训场景的支撑。春秋云的开发不是早期精心计划的,是被逼的;就好像,本来要搭一座浮桥快速通过,结果被迫下水到河底打下坚实的桥墩,构筑起网安人才培养的大桥。i春秋即是一个典型的“春秋云”平台案例,已经连续4年稳定运行,支撑了60万用户在线学习。
平行仿真二阶:对抗竞赛
“网络安全的本质在于对抗,对抗的本质在于攻防两端能力的较量”,这句话在网络安全界早已耳熟能详。
攻防有三个要素:除了攻、防这两个之外,还有“场景”。这里的场景就像是黑客帝国里的矩阵Matrix,是一套复杂的模拟系统,人可以在这个虚拟现实中存在、生活。攻防场景的目标是让人员可以在一个极度真实的环境中进行对抗,从而历练实战能力。
在攻防能力上,永信至诚的核心技术团队有十多年的一线攻防实战经验,其AR Force实验室曾连续三年受邀参加公安部组织的HW演习,三年均排名企业第一。同时,永信至诚连续多年在攻防一线为国家和各省市执法部门提供高能效网络犯罪情报采集和侦查服务,助力公安机关快速侦破网络犯罪案件700余件。这些攻防技术的不断积累与持续突破,实现了一线攻防技术/经验的工程化、装备化、平台化、规程化的能力传递。
在平台能力上,永信至诚在过去的三年支撑了中央网信办、公安部、教育部、工信部等部委和大型央企主办的300余场网络安全演练活动,汇集了18万人次的攻防路径,极大的丰富了实战平台的竞赛场景,使得实战平台的实用价值不断提升。
同时,人工智能等新技术也被引入到平行仿真中,RHG人工智能攻防对抗的出现,让实战平台有了突破性的进展,可以实现自动化的攻防对抗,为做攻防交锋面的直接对抗研究提供了可重复的、反复试验的场景。
平行仿真三阶:模拟演练
2018年国家网络安全宣传周上,进行了一场32小时不间断的“巅峰极客”攻防对抗演习。演习模拟了12个关键信息基础设施行业网络场景,44支战队扮演了网络空间中攻、防、监、管等8种角色,向外界立体化展现了当威胁发生时,各机构如何进行感知、预警、防护、处置等的配合与联动,将网络空间激烈的攻防博弈,真实、立体地展现在大众面前。
这是永信至诚平行仿真技术的又一次进阶。基于大量实训场景和对抗平台的积累,从量变到质变,平行仿真进化到城市级网络靶场平台这种大型仿真级靶场的形态,它具有多样的展示形式、广泛的应用方向、超大的场景规模、丰富的应用模式等特点,除了可以支持人员培训和系统测评,网络靶场还覆盖人员、系统、方案等方面的处置训练、对抗演练、安全研究、效能评估、方案预演等多种应用场景。
“让错发生在靶场”,网络靶场可以扮演一个网络安全基础设施的角色,让安全防护体系在虚拟环境检验,让各种潜在的风险威胁暴露出来,帮助企业发现安全建设和网络运维过程中的薄弱环节,从而让网络具有更强的免疫力。
同时,网络靶场还具有伸缩性,根据不同的应用场景和等级要求,网络靶场可分成实验室级、行业级、城市级,越往后对系统的复杂性、交互性要求就越高,需要模拟更多、更复杂、更真实的场景,满足这个阶段的平行仿真技术,已经可以帮助企业有效解决实际安全问题。
平行仿真四阶:欺骗式防御实战
经过了实训、竞赛、演习阶段后,平行仿真技术开始从演训阶段走进实战阶段,为网络安全的一线防御带来价值。
在平行仿真技术的支撑下,企业可以在真实环境中部署欺骗式防御体系,以发现、阻断、诱捕甚至是反制攻击者,这里的关键技术就是欺骗防御系统的逼真度和甜度(诱惑度),而这些指标的高低取决于攻防经验和仿真技术的积累。
近两年公安部组织的HW行动中,基于蜜罐技术的欺骗式防御体系大显身手,成为最受关注的防御手段之一。但欺骗式防御技术并不完全等同于传统的蜜罐技术,除了具备与攻击者交互的行为以外,欺骗式防御技术更为注重伪装和混淆,以增加攻击的成本和实现主动防御的理念。
欺骗式防御技术的高度仿真以及高度诱惑度的特性,可以诱使攻击者(踏罐者)主动进入平行仿真系统并对这些“假系统”展开攻击;一方面可以精准发现踏罐者的高危攻击行为,大幅减少误报率,有效提升企业应对突发网络安全事件的应急响应效率,另一方面能大幅增加防守方的感知能力,做到实时掌握攻击态势,从而变被动为主动,保护真正的核心信息资产免受侵害。
平行仿真下一阶:值得期待的第三范式方向
“择其善者而从之,其不善者而改之。”论语中的这句话,可以总结平行仿真技术为网络安全带来的价值。网络世界中大大小小的各种平行仿真系统:实训场景、对抗平台、网络靶场、欺骗式防御系统……都在和真实网络环境不断互动、演化、反馈。
在大数据技术热潮中,让我们知道了吉姆·格雷提出的“第四范式——数据密集型科学发现”,这个理论中的第三范式就是通过模拟仿真,挖掘和总结科学规律。平行仿真的技术价值还远远未能充分发掘,还有很多台阶等着我们去攀登。
仿真的平行环境中所发生的每一个错误、风险、问题,都可以让真实网络得以借鉴改进,给网络世界带来更踏实的安全感。