在当前已演变为持久战的俄乌战争中,通讯、交通、能源供应等相关国家关键基础设施始终是双方重点攻击的目标。,以比想象中相对轻的成本不断制造更广泛的损害和社会混乱,在俄罗斯与乌克兰的博弈过程中发挥了重要作用。
事实上,俄乌网络战至少可以追溯到10年前。“乌克兰电网事件”最为经典。年12月23日,乌克兰一半领土停电,持续数小时,影响万居民。。与之前的外部损坏或电路故障不同,这是第一次有记录。针对国家基础设施网络的攻击至今仍被广泛提及和引用。
本次事件中,俄罗斯APT组织利用钓鱼邮件向乌克兰电力公司PPlant(全称PrykarpattiaoblenergoJointStockCompany)投递“BlackEnergy”(恶意软件),进而获得变电站断路器控制权,导致近60个变电站瘫痪。离线,同时通过数据破坏等手段,无法及时发现并修复受害系统。
此后,不仅是乌克兰电网,全球范围内针对电力及相关能源基础设施的网络攻击也相继出现,据统计,此类攻击占网络威胁事件的30%以上。究其原因,一方面,电力系统规模极其庞大,由于网络连接和运行模式多种多样,存在很多“可乘之机”;另一方面,入侵电力系统是黑客组织的高价值目标,因为电力与人们的生产生活密切相关。深有关联,受到攻击后造成的损失往往是非常巨大的。想象一下,当黑暗入侵时,社会运行的齿轮突然停止,生产瘫痪、交通瘫痪、生活保障瘫痪……后果一定是灾难性的。
电力网络靶场建设的必要性:完善以人为本的网络对策
对于电力系统的网络安全,人们所能看到的只是冰山一角,因为黑客的行动往往比人们的感知要早得多。年乌克兰电网事件爆发前6个月,“钓鱼”行为就已经开始。,目标电网的探测和入侵计划较早,所以危机可能早就存在,只有在“它”需要的时候才爆发。
完善病毒查杀系统,在服务器和网络边界部署防火墙、入侵检测、漏扫系统,加强人员规范化管理,是电力系统网络安全的通用防护手段,但目前还无法实现”安心”。
资深网络安全技术专家、网络射击场厂商掌霸网络安全创始人王恒认为:“安全产品和反防护软件只能起到辅助作用,并不能取代技术人员在网络对抗中的地位。因为各个安全企业所做的实际上就是将自己的核心安全技术能力融入到自己的产品中,然后由产品将“能力”传输给企业侧的安全运维人员,这会导致企业侧的安全运维人员的安全成本大幅降低。安全产品传递的“能力”,远远不足以支撑其抵御专业APT组织的攻击。网络攻击的源头是人,防御的终点也是人。归根到底,网络对抗的结果还是要看技术人员能力的高低。”
提高技术人员的攻防能力,需要积累大量的实战经验。这就是网络射击场这款产品的核心价值。集成接近真实实战场景的工具,通过网络靶场实战提升人的技术能力,为企业构建坚实的安全防护能力。
因此,建设电力射击场,加强实战训练,培养具有电力网络安全对抗能力的专业人才,对于电力系统乃至国家网络的网络安全至关重要。
近年来,我国还陆续颁布了与电网安全相关的管理办法和标准,其中重点强调了电力系统网络应急能力建设、事件应急处置、人员培训等。今年年初,国家能源局综合司印发《年电力安全监管重点任务》,其中也指出,要加强网络安全态势感知能力建设,推进电力安全监管工作。建设国家电网安全射击场,组织年度攻防演练。可见,围绕电力系统安全人才培养的网络射击场建设已经提上日程。
电力网络靶场典型应用场景:攻防技能训练及测试考核
网络射击场是提供网络模拟环境,集成网络攻防、测试评估技术,支撑基于真实业务的攻防技能训练和测试评估需求的软件系统。基于网络靶场的高仿真环境模拟,还衍生出欺骗防御、安全策略有效性验证等应用方向。
进攻和防守技能训练还包括演练、比赛和应急演练。其中,攻击方训练是提供模拟目标环境进行演练,提高攻击技术,演练各种攻击战术和战术;防务侧训练则是在靶场再现与真实业务环境高度吻合的模拟场景,并联动各业务部门开展应急响应演练,不断提升企业安全运维团队的技术能力。同时,射击场内人员的动作数据将被全程记录,为后续评估、回顾和持续训练提供依据。
值得一提的是,网络目标站点再现的是一个安全、隔离的模拟环境,其中的任何攻防行为都不会损害真实业务的连续性。这一特点也带动了“测试评测”品类的兴起,逐渐成为网络射击场的主要功能之一。通过网络射击场内置的流量发生设备,可以测试各种安全工具的性能和功能指标,从而支持系统和设备上线前的安全检测和网络访问风险评估。建设满足评估场景功能的信创和国家网络安全射击场,可以很好地解决检测软件和检测环境依赖进口的现状。对于电力系统来说,对业务连续性要求较高的重要基础设施意义重大。
在靶场开展技术培训和测试评估,对于电力行业来说,重点是用于培训和测试的虚拟环境,必须与实际电力生产网络和设备环境高度吻合。,可以在实际生产环境中任意行动。同样,高度的模拟也是保证评估结果有效性的最大前提。
电力系统网络靶场建设难点
在国家关键基础设施覆盖的行业中,电力行业的网络靶场可以说是建设难度最大的,主要体现在以下几个维度:
构建场景很困难。电力系统被誉为“最复杂的人造工程”之一。电网由大量专有部件组成,分布范围广泛。这些组件依靠网络形成复杂的关系网络,结构和功能极其复杂。另外,电网涉及很多专有的工艺节点,电网系统及其设备环境的仿真对仿真技术来说是很大的考验。目前很多传统网络射击场依赖国外的云计算底层架构,定制化程度受到很大影响。更有针对性地重现电力系统专有的网络环境和设备环境。
成本控制困难。传统射击场用于复制微型设备模型,实现专有工艺节点的“1:1”复制。这种方式被业界视为“形式大于内容”,造成物理空间的大量占用,加上硬件采购和运营人员的投入,导致整体射击场建设成本激增。网络靶场经常进行的攻防测试具有极高的危险性,而且这些设备一旦损坏,在有限的时间内很难恢复。
内容运营难度大。当再现接近真实生产环境的模拟场景时,对靶场的下一个考验就是内容建设和操作能力,即如何更好地完成攻防训练和考核目标,包括攻防双向训练。防御能力。人员能力与岗位匹配度的量化评价、业务连续性目标、个性化态势呈现等都是当代网络射击场产品建设中需要不断完善的重要环节。
随着网络仿真技术的创新,电力系统网络靶场建设的痛点正逐渐被技术攻克。例如,新兴网络射击场公司掌霸网络安全就放弃了传统的云计算底层架构,自主研发了一套原生网络射击场仿真服务专用引擎。通过在电力行业的实践,解决了场景搭建和成本控制的问题。和操作困难。
以下是丈八网安电力系统网络靶场的实践过程,以及基于实践的行业发展趋势分析。
电力系统网络靶场建设实践
掌霸网络安全网络安全攻防研究团队——蛇矛实验室,依托原有靶场平台“火天网络环境”,高度还原了年乌克兰电网攻击事件中电力公司“Prykarpattiaoblenergo股份公司”的网络环境事件。
本场景模拟构建了电力企业外部网络、电力企业内部网络、电力控制网络三部分。外部网络包含企业大量的外部应用和外部服务。中心、VPN服务器、办公区、域控区;电力控制网络中模拟了HMI、PLC、RTU和各种IO单元。
同时,现场还构建了基于发电、变配电、用电的流程仿真,包括虚拟发电机、变压器、断路器、继电保护设备、开关柜等,并采用数字孪生技术进行仿真各种传感器。单元。在控制层面,通过靶场平台模拟上位机、下位机以及各种控制系统,包括HMI、SCADA、PLC等。
整个场景的再现充分利用了《火天网境》原网络拍摄场的多领域NFV适配技术,包括防火墙、路由器、交换机、监控设备等网络和安全设备的适配;涉及数字孪生仿真技术,包括S7、Modbus、DNP3、PDU、IO单元等工控协议等重要环节;虚拟化技术,包括上位机、下位机、VPN、跳板机、AD域等。
基于对事件中电厂网络和设备环境的高保真还原,再现了整个攻击环节:
在这个工控/电力系统网络射击场的建设和应用实践中,蛇矛实验室将整个“攻击事件”配置为决策行动链,并可以构建技战术模型,形成典型的攻击事件。攻防行动,从而训练人员的攻防作战能力、决策能力等。整个电力系统以及需要