出版日期:2024 年 5 月 16 日
撰稿人:Matthew Finio、Amanda Downie
网络靶场是网络安全的现代战场。与作为射击和战斗技能试验场的传统射击场或军事靶场非常相似,网络靶场平台为用户提供了一个安全的环境来练习应对现实世界的网络挑战。在安全可控的环境中,网络靶场模拟复杂的网络和威胁进行网络安全培训,让参与者学习和改进防御数字攻击的策略。这些培训练习提供了逼真的实时场景,而不会使实际系统面临风险。
使用虚拟机,网络靶场可以创建逼真的训练环境,并且可以轻松地与其他网络(如企业局域网或整个互联网)分开。这些环境为实验和测试各种网络安全工具和功能提供了安全空间。网络靶场内的目标基础设施会复制实际的服务器、防火墙、路由器、存储设备和个人计算机。这使得用户能够部署现实世界的网络安全工具,例如渗透测试、入侵检测系统和数字取证工具。参与者还可以安全地练习防御特定的网络威胁,如恶意软件和勒索软件。
由美国国家标准与技术研究院 (NIST) 设计的 NIST 网络安全框架通常用于网络靶场。NIST 框架是一份基于五项核心功能(识别、保护、检测、响应和恢复)的指南,为网络安全策略和风险管理提供了结构化的方法。通过将 NIST 框架纳入网络靶场演习,组织可以使其培训与行业标准和最佳实践保持一致。这为参与者提供了实用的真实体验,并强化了组织的安全状况。
网络靶场通常会配备学习管理系统 (LMS),用于安排课程并跟踪学生的进度和成绩。教师使用 LMS 来制定课程,并促进沟通、作业和评估。通过将先进技术与有针对性的学习和测试机会相结合,网络靶场能够让网络安全专业人员做好应对不断变化的挑战的准备。
网络靶场有 4 种常见类型:
- 模拟靶场会复制真实世界网络和系统的行为。它们使用软件模拟,为培训和测试提供物有所值的高效环境,而无需大量硬件。
- 模拟靶场可模仿真实世界网络的实际硬件和软件配置,为特定技术和设置的练习提供了高度的真实感。
- 叠加靶场使用叠加虚拟元素的真实硬件和网络来模拟不同的场景,可结合提供真实感和灵活性。
- 混合靶场结合了模拟、叠加和仿真等元素,创造出一种多功能环境,在逼真度、成本和资源效率之间取得平衡。
网络靶场由各种技术组件组成,这些组件协同工作,为网络安全培训、测试和研究创造一个真实且受控的环境:
作为一个关键组件,RLMS 将传统学习管理系统 (LMS) 的功能与网络靶场的特殊需求相结合。它提供教育资源,跟踪参与者的进度,并管理课程和评估。它还与其他网络靶场组件集成,以营造全面的体验。
编排层负责协调网络靶场内的各种技术和服务组件。它集成了底层基础设施、虚拟化或隔离层和目标基础设施。该层还支持动态范围可扩展性,包括与公共云、私有云和专用硬连线基础架构的兼容性。
此基础设施包括网络、服务器和存储,其中可能由交换机、路由器、防火墙和端点等物理设备组成。许多网络靶场正在转向基于云和软件定义的虚拟基础设施,以实现可扩展性、成本效益和延伸性。基础设施的选择极大地影响着靶场的真实性。
大多数网络靶场均采用虚拟化技术来减少所需的物理设备数量。这通常是通过基于虚拟机管理程序的解决方案或软件定义的基础设施来实现。虚拟化技术在物理基础架构和模拟环境之间造成了分离,这可能会影响真实感,并产生一些延迟。不过,虚拟化技术起到了保护屏障的作用,有助于提高网络靶场的成本效益。
目标基础设施是进行培训的模拟环境,有时会复制学习者的实际 IT 和安全基础设施。它包括商用服务器、存储系统、端点、应用程序和防火墙的概要信息。先进的网络靶场平台可能结合威胁情报数据和 MITRE ATT&CK 等框架来模拟现实的攻击技术。
目标基础架构在演习中经常结合使用红队和蓝队。红队模拟攻击者,并试图利用环境中的漏洞,而蓝队则专注于防御这些攻击。
网络靶场最初主要由军队和政府机构采用。由于其成本效益和提升安全团队成员技能的宝贵机会,现在已得到企业和组织的广泛采用。网络靶场为各类人员和团队提供基本培训:
- 漏洞赏金猎人:网络靶场为漏洞赏金猎人提供了一个安全的环境,用于研究安全问题和发现新漏洞,帮助他们发现漏洞并将其报告给开发人员和制造商。
- 网络安全专业人员:安全分析师、渗透测试人员、道德黑客和其他专业人员利用网络靶场来完善自己的技能。网络靶场可提供真实的实践,让专业人员能够跟上新出现的威胁,并学习新的防御技术。
- 政府、军队和机构:作为互联网的首批用户,军事和政府机构依赖网络靶场来维护国防和数据安全。网络靶场帮助政府人员应对最新的网络威胁,包括网络战和间谍活动。
- IoT 和智能电网开发商:从事物联网 (IoT) 设备或智能电网技术的开发人员和工程师可以使用网络靶场来测试其产品的安全性和弹性。
- 组织和个人:公司可利用网络靶场进行情境操作测试、培训和评估网络安全职位的候选人。进入网络安全岗位的人员可以从网络靶场提供的员工队伍培训中受益。
- 研究人员:学术人员和研究人员可以使用网络靶场在受控环境中研究网络安全趋势、开展实验并测试新工具和技术。
- 安全培训人员和教育工作者:教师、教育工作者以及诸如安全运营中心 (SOC) 等设施可利用网络靶场作为平台,教授网络安全课程和开发培训课程,为学生提供实际操作经验。
- 学生:网络靶场现已成为顶级网络安全教育的重要组成部分。靶场通过动手实验为尝试获取证书或学位的学生提供实践经验,通过现实场景强化他们的学习。
网络靶场是网络安全专业人员的重要工具。网络靶场为网络安全员工队伍的发展提供了一个安全可控的培训平台。以下是网络靶场如此重要的原因:
- 应对人才缺口:网络靶场通过提供实用培训,帮助个人掌握工作所需的技能,从而缩小网络安全员工队伍的技能差距。
- 持续学习:网络靶场为网络安全专业人员和学生提供按需持续提高其网络技能的机会,让他们了解最新的网络防御策略和工具。
- 受控环境:网络靶场为反复试验提供了安全的空间。这允许在不影响实时系统的情况下重复使用训练场景,并且可以在不存在损坏真实数据和网络风险的情况下进行实验和学习,从而有助于防止数据泄露。
- 事件响应实践:参与者可以在靶场内练习和完善事件响应计划,学习如何使用既定的运行手册并熟悉各种威胁。此类经验可以提升他们准备的充分程度和信心。
- 跟上不断变化的威胁:网络靶场可支持个人及时了解新兴的网络威胁和技术,并为现实世界的挑战做好准备。
- 绩效评估:网络靶场提供评估个人和团队绩效的指标和反馈。这些测量值有助于确定需要改进的领域,并实现量身定制的培训,以获得最佳结果。
- 真实训练:网络靶场在受控的安全环境中使用真实的攻击场景和网络模拟来练习网络安全技能。受训者获得了处理现实世界威胁的实践经验和信心,且没有在实时系统上练习的相关风险。
- 技能培养:受训人员可以磨练检测、预防和应对网络威胁的能力。网络靶场可帮助专业人员随时了解不断变化的攻击方法和防御策略,并帮助他们增强批判性思维以及解决问题的能力和信心。
- 团队协作:在复杂的场景中,参与者可以通过网络靶场进行团队协作和协调。这可以促进高压情况下的有效沟通和团队合作,并为安全团队协调一致的事件响应做好准备。
- 测试和研究:各组织可在网络靶场内测试新的安全工具和方法,开发创新解决方案,并评估其有效性。这样就可以安全地测试新技术,并支持持续改进网络安全措施的研究。
借助威胁情报增强您对企业安全的信心。
观看有 IBM Security 和 FBI 的主要演讲者参与的对最大攻击趋势和方法的讨论。
了解加拿大体育和娱乐组织 MLSE 如何与 IBM 合作监控网络威胁并保护数字球迷。
了解洛杉矶如何与 IBM® Security 合作创建同类首个网络威胁共享小组。
了解位于华盛顿特区的全新 IBM X-Force Cyber Range,它可帮助联邦机构提高抵御不断变化的威胁的能力。
阅读行业领导者对未来的担忧,以及组织可以采取的三种加强防御的方法。