概述
全球各地的機構都面臨網絡戰士短(duǎn)缺的問題,這些(xiē)戰士必須具備防禦網絡恐怖主義所需的技(jì)能。盡管對網絡安全的投資達到數(shù)十億美元,但(dàn)鑒于關鍵的IT基礎架構遍布弱點和(hé)漏洞,這種情況進一步惡化。
應對這些(xiē)問題需要互聯網規模的模拟環境、全面的培訓課程和(hé)經過驗證的方法,以培養網絡戰士并模拟對IT基礎架構的攻擊。軍事指揮官、國防承包商、甚至Gartner這樣的商業分析機構都将這些(xiē)環境稱為(wèi)“網絡靶場(chǎng)”。
盡管網絡靶場(chǎng)是培訓網絡戰士所必需的,但(dàn)是近年來(lái)構建網絡靶場(chǎng)的老方法已暴露出昂貴和(hé)徒勞無功的弱點。依賴過時(shí)方法的旗艦級網絡靶場(chǎng)項目花(huā)費了數(shù)百萬納稅人(rén)的時(shí)間(jiān)和(hé)金錢(qián)來(lái)研究這一問題。
Ixia BreakingPoint通(tōng)過獲得(de)專利的網絡處理(lǐ)器(qì)技(jì)術(shù)提供了更好的方法——從一個(gè)4U高(gāo)的設備創建一個(gè)互聯網規模的網絡靶場(chǎng)環境。這種突破性發明(míng)消除了曾經阻礙網絡靶場(chǎng)廣泛部署的障礙,這些(xiē)網絡靶場(chǎng)用來(lái)訓練網絡戰士,并為(wèi)其配備所需的技(jì)能。本白皮書(shū)介紹了全球政府、情報和(hé)軍事機構如何充分利用創新技(jì)術(shù)來(lái)快速部署經過實戰驗證、運營上(shàng)相對封閉但(dàn)卻能模拟整個(gè)互聯網的環境,其成本隻有(yǒu)傳統模式的一小(xiǎo)部分。
充分利用在網絡靶場(chǎng)領域的經驗,BreakingPoint制(zhì)訂了四點戰略,讓組織機構能夠通(tōng)過評估、培訓和(hé)認證精英網絡戰士而保衛國家(jiā)利益,并為(wèi)這些(xiē)部隊加強關鍵網絡和(hé)數(shù)據中心基礎架構的彈性。本文所述的功能和(hé)戰略并不是一個(gè)研究項目或昂貴的咨詢項目;它們現在就能夠用于高(gāo)成本效益的部署。
全球網絡靶場(chǎng)勢在必行(xíng)
不記得(de)過去的教訓,注定會(huì)重複這些(xiē)錯誤。曾多(duō)次導緻災難性損失的自滿情緒現在又讓世界領先國家(jiā)面臨風險,這一次是在第五戰場(chǎng)——網絡領域。若不能立即采取行(xíng)動或進行(xíng)投資來(lái)加強國家(jiā)網絡防禦系統的彈性,網絡攻擊的影(yǐng)響就将繼續成倍激增。
正如每個(gè)軍事和(hé)警察部隊需要靶場(chǎng)來(lái)磨練自己的武器(qì)技(jì)能和(hé)戰術(shù)一樣,每個(gè)網絡戰士都需要進入一個(gè)網絡靶場(chǎng)。隻有(yǒu)通(tōng)過一個(gè)互聯網規模、運營上(shàng)相關且總是保持最新的網絡靶場(chǎng),指揮官才能制(zhì)定有(yǒu)效的模拟訓練——這是培養其部隊技(jì)能和(hé)進攻防禦行(xíng)動本能所必需的。類似地,了解IT基礎架構彈性的唯一方式就是利用網絡靶場(chǎng)可(kě)控環境中所創造的真實高(gāo)壓條件模拟打擊其中的每個(gè)網元。
為(wèi)何傳統方案會(huì)失敗
不幸的是,當今網絡安全危機的嚴重性已經超出了不可(kě)管理(lǐ)、低(dī)效的傳統網絡靶場(chǎng)的能力。在一個(gè)軍事基地,指揮官努力擴展複制(zhì)真實環境所需的性能。組織機構遵循舊(jiù)有(yǒu)網絡靶場(chǎng)模式來(lái)構建一個(gè)由數(shù)百個(gè)連接在一起的服務器(qì)組成的實驗室,用于模拟15000個(gè)用戶的負載——隻能覆蓋有(yǒu)限的應用程序。然而,其使命需要250000個(gè)用戶在當今全套應用程序上(shàng)操作(zuò)目标設備。
傳統網絡靶場(chǎng)模式需要對硬件、軟件許可(kě)證、電(diàn)力和(hé)房(fáng)産進行(xíng)大(dà)量投資。它還(hái)需要從軍事或國防承包商那(nà)裏調撥幾十個(gè)訓練有(yǒu)素的專業人(rén)員,以便進行(xíng)設置、配置、集成和(hé)維護。随後還(hái)需要另外幾十名具有(yǒu)專業知識的網絡與安全專業人(rén)士來(lái)繼續研究并創建一個(gè)不斷演進的複雜攻擊組合。
太多(duō)軍事機構和(hé)政府機構都不使用目前可(kě)用的高(gāo)成本效益、自适應、可(kě)擴展的技(jì)術(shù),而是對此投入大(dà)量納稅人(rén)的錢(qián)、過時(shí)的硬件和(hé)昂貴的咨詢來(lái)應對網絡靶場(chǎng)挑戰——因為(wèi)這種方式最符合國防承包商的商業利益。然而,這種方案注定會(huì)失敗,因為(wèi)它永遠無法跟上(shàng)網絡威脅的快速演進。
面臨不斷升級的網絡風險、越來(lái)越高(gāo)的公衆壓力,以及國防預算(suàn)的削減,需要一個(gè)更為(wèi)務實、高(gāo)成本效益、可(kě)擴展的方案來(lái)加強針對當今威脅的網絡力量和(hé)防禦系統。
武裝并培訓精英網絡戰士的務實戰略
憑借其多(duō)年為(wèi)軍事機構和(hé)跨國企業提供突破性網絡靶場(chǎng)創新技(jì)術(shù)的豐富經驗,BreakingPoint為(wèi)武裝組織開(kāi)發出以下務實、可(kě)持續發展的四點戰略,以便評估、培訓并認證網絡戰士,使其執行(xíng)信息保障(IA)、信息戰(IO)和(hé)任務保障(MA)職責。正如本文所介紹的那(nà)樣,用來(lái)訓練網絡戰士的相同的創新技(jì)術(shù)和(hé)可(kě)擴展方案可(kě)用來(lái)評估并強化IT基礎架構彈性。
1. 現代網絡靶場(chǎng)部署
領先一步的技(jì)術(shù)優勢和(hé)成熟的方法能夠實現快速部署大(dà)規模可(kě)擴展的網絡靶場(chǎng),就像幾十家(jiā)全球軍事機構中已有(yǒu)的靶場(chǎng)一樣。這些(xiē)現代網絡靶場(chǎng)的核心就是獲得(de)專利的BreakingPoint Firestorm™和(hé)Storm™,它們可(kě)提供真實運作(zuò)的封閉環境,該環境可(kě)通(tōng)過一個(gè)緊湊型設備重現互聯網上(shàng)的條件。
圖1:一個(gè)BreakingPoint産品可(kě)提供集中化指令與控制(zhì),以便監控并管理(lǐ)遠程網絡靶場(chǎng)的分布式網絡。
通(tōng)過BreakingPoint實現的演進的網絡靶場(chǎng),組織機構能夠在可(kě)控環境內(nèi)創建互聯網規模的網絡靶場(chǎng)、解釋結果并提供洞察,以便能夠快速響應網絡威脅——所有(yǒu)這一切都是從一個(gè)擁有(yǒu)簡單直觀界面、易于配置的機器(qì)上(shàng)完成的。這些(xiē)強大(dà)的功能讓用戶能夠進行(xíng)複雜的演練,評估、培訓并認證網絡戰士,讓專業人(rén)員能夠攻擊自己的防禦系統,以提升關鍵基礎架構的彈性并進行(xíng)研究。這些(xiē)單選框網絡靶場(chǎng)中創建的真實場(chǎng)景讓防守者提供籌建事故響應團隊、磨練數(shù)字戰場(chǎng)技(jì)術(shù)并開(kāi)發強大(dà)的網絡和(hé)數(shù)據中心防禦系統所需的條件。
2. 網絡靶場(chǎng)指令與控制(zhì)、維護和(hé)全球威脅更新
在分布式網絡靶場(chǎng)環境中,指揮官需要一個(gè)集中的指令與控制(zhì)部門(mén)。有(yǒu)了它,指揮官就能夠在整個(gè)部隊整頓并規範網絡安全意識、信息共享,以及網絡實戰演習。中央部門(mén)将向部署在世界各地的衛星網絡靶場(chǎng)傳達統一、最新的全球威脅情報和(hé)網絡安全專業知識,讓所有(yǒu)網絡戰士都準備就緒,應對——或發起——最新攻擊。
在傳統網絡靶場(chǎng)中,關于病毒、惡意軟件機其它威脅的信息在多(duō)個(gè)系統上(shàng)進行(xíng)條塊分割。而BreakingPoint模式則讓組織機構得(de)以統一監測并管理(lǐ)遠程網絡靶場(chǎng)的分布式網絡,從而更全面地了解狀況并實現标準化、兼容IA和(hé)IO計(jì)劃。
與在每個(gè)基地複制(zhì)安全研究人(rén)員的傳統做(zuò)法不同,這種模式允許發出集中指令來(lái)收集最新的全球攻擊數(shù)據,并将其發布到遍布全球的遠程機構。它還(hái)能夠創建真實、可(kě)重複的演習,以便測量專業知識和(hé)彈性。這能夠全面控制(zhì)網絡戰士的演習,确保專業人(rén)員得(de)到培訓、應對最新威脅,并且持續進行(xíng)培訓——無論在哪裏。
新方案最适合專門(mén)收集并共享網絡流量和(hé)攻擊情報的全球研究人(rén)員網絡,這些(xiē)情報來(lái)自設備廠商、電(diàn)信運營商及其它來(lái)源。通(tōng)過将網絡靶場(chǎng)作(zuò)為(wèi)信息庫和(hé)分發載體(tǐ),組織機構可(kě)在全球範圍內(nèi)一緻地通(tōng)過最新流量組合測量并提升網絡和(hé)應用程序基礎架構的彈性。
3. 标準化網絡戰士培訓課程和(hé)認證
信息保障(IA)人(rén)員:培養具備專業知識的防守人(rén)員,以便強化、認證IT基礎架構彈性,并确保獲得(de)訪問數(shù)據的授權。學生(shēng)應學會(huì)科學的方法和(hé)先進的技(jì)術(shù)來(lái)測量每個(gè)IT基礎架構的各個(gè)網元的彈性,修複漏洞,驗證合法攔截(LI)和(hé)數(shù)據丢失防護(DLP)措施,并确保符合标準和(hé)流程。其中包括掌握監測和(hé)管理(lǐ)網絡與數(shù)據中心所需的工具。
信息作(zuò)戰(IO)人(rén)員:讓網絡運營和(hé)安全中心的專業事故響應團隊做(zuò)好準備,讓其掌握應對最新網絡攻擊所需的技(jì)能。确保應急響應團隊可(kě)識别并反向工程攻擊,提供洞察,以便通(tōng)過有(yǒu)效的動态防禦做(zuò)出迅速響應。提供利用諜報技(jì)術(shù)的說明(míng),并開(kāi)發一套IO工具和(hé)漏洞。培養網絡戰争所需的技(jì)能和(hé)工具,其中包括電(diàn)子監控以及使敵方軍事和(hé)商業企業基礎架構無法運轉的能力。
任務保障(MA)人(rén)員:讓任務保障領導和(hé)執行(xíng)者能夠掌握整合不同保障活動所需的技(jì)能,以應對重大(dà)國家(jiā)和(hé)全球安全問題。提供以統一、系統化的方式成功執行(xíng)關鍵計(jì)劃所需的跨學科專業知識和(hé)一套系統工程、風險管理(lǐ)、質量和(hé)運營管理(lǐ)原則。
4. 測量并強化網絡及應用基礎架構彈性
攻擊防禦措施是确切了解防禦措施彈性如何的唯一方式。強化IT基礎架構需要利用一套科學、标準化方法來(lái)單獨并跨越整個(gè)系統測量并驗證每個(gè)網絡和(hé)數(shù)據中心組件的性能、安全性和(hé)穩定性(如彈性)。現代網絡靶場(chǎng)必須作(zuò)為(wèi)這一流程的基本工具。除了網絡和(hé)數(shù)據中心設備的統一驗證,這個(gè)網絡靶場(chǎng)設備的能力也能讓軍事和(hé)政府組織的設備廠商在整個(gè)IT供應鏈中負責。
采用的流程必須像動能防禦中使用的材料化學或核物理(lǐ)一樣具有(yǒu)系統性。IT基礎架構的每個(gè)網元——每個(gè)芯片、設備、堆棧和(hé)運行(xíng)在上(shàng)面的應用程序——都必須進行(xíng)彈性的經驗、可(kě)重複測量,這些(xiē)測量也是IT供應鏈中每個(gè)設備廠商都必須進行(xíng)的。隻有(yǒu)一緻、守紀律地采用标準的彈性測量才能确保組織機構和(hé)設備廠商保持維護切身利益所需的性能、穩定性和(hé)安全性。
通(tōng)過每個(gè)網絡飛地的網絡靶場(chǎng),網絡部隊擁有(yǒu)保持關鍵聯網基礎架構每個(gè)元素最高(gāo)彈性所需的能力和(hé)成熟的方法——不僅是在部署它們時(shí),也作(zuò)為(wèi)反應影(yǐng)響網絡、數(shù)據中心和(hé)虛拟化環境的流量、配置、應用程序和(hé)攻擊的持續流程。這種嚴格、統一的流程應體(tǐ)現采用真實場(chǎng)景和(hé)标準化認證的網絡專家(jiā)認證。
結束語
培養保護關鍵基礎架構的網絡戰士迫切地需要可(kě)持續、實用的新方法。隻有(yǒu)BreakingPoint通(tōng)過把高(gāo)成本效益的現代網絡靶場(chǎng)打包到一個(gè)設備中而實現了這種方法。這個(gè)網絡靶場(chǎng)設備在可(kě)控的環境中重現了互聯網規模的網絡戰、解釋結果并提供快速應對威脅所需的信息。
BreakingPoint方法目前已經得(de)到廣泛應用。例如,上(shàng)文提到的一個(gè)軍事基地利用一台BreakingPoint設備替換了數(shù)百台服務器(qì),讓基地的網絡戰士進行(xíng)大(dà)規模模拟,用于測試目标設備、培訓防禦者、加強基礎架構并執行(xíng)該基地的戰略任務。
BreakingPoint産品利用複雜的創新,以直接的方式解決複雜的問題。這些(xiē)強大(dà)的産品通(tōng)過唯一的方式解決了培訓網絡戰士和(hé)加強IT彈性的雙重挑戰:這種科學、可(kě)持續的方法利用先進的技(jì)術(shù)和(hé)自動化實現可(kě)以快速部署的網絡靶場(chǎng)。
利用本文中描述的獲得(de)專利的BreakingPoint産品線和(hé)現代網絡靶場(chǎng)策略,組織機構現在能夠讓網絡戰士獲得(de)标準化的最新IA、IO和(hé)MA培訓,使其能夠保護關鍵的基礎架構并加強基礎架構以抵禦最新威脅。
附錄A — BreakingPoint FireStorm Features
軍事、情報和(hé)執法部門(mén)利用全面、易于使用且維護成本較低(dī)的BreakingPoint FireStorm産品創造互聯網規模的最新網絡戰條件。這款設備采用獲得(de)專利的網絡處理(lǐ)器(qì)架構,讓組織機構能夠根據來(lái)自其合作(zuò)夥伴和(hé)BreakingPoint的應用與威脅情報(ATI)安全研究團隊的場(chǎng)景分析和(hé)威脅更新而保持永遠最新的條件。這個(gè)緊湊的3插槽設備在性能和(hé)功能上(shàng)相當于數(shù)百個(gè)機櫃的高(gāo)性能服務器(qì),包括:
來(lái)自單個(gè)産品的前所未有(yǒu)的高(gāo)性能
120 Gbps全狀态業務流量
來(lái)自一台設備的每秒(miǎo)120,000多(duō)個(gè)SSL會(huì)話(huà)
1億2000萬個(gè)同時(shí)TCP會(huì)話(huà)
每秒(miǎo)300萬個(gè)TCP會(huì)話(huà)
每秒(miǎo)300萬個(gè)穩定狀态完整TCP會(huì)話(huà)
利用任何密碼進行(xíng)38 Gbps SSL批量加密
12個(gè)通(tōng)用1GE/10GE接口
真實的應用和(hé)網絡配置
針對各種網絡的預配置全狀态業務流量配置:移動、運營商、企業、政府、高(gāo)等教育等等
混合200多(duō)種全球性應用程序,包括AOL® IM、Google® Gmail、Facebook、FIX、Gnutella、IBM DB2、VMware® VMotion™、HTTP、Microsoft® CIFS/SMB、MAPI、Oracle、Encrypted BitTorrent™、eDonkey、MSN® Nexus、RADIUS、SIP、Skype™、Windows Live™ Messenger、World of Warcraft®、Yahoo!® Mail、Yahoo!® Messenger等等,包括主要的SCADA協議
混合多(duō)種協議不會(huì)降低(dī)性能
徹底的協議模糊化以檢驗畸形數(shù)據包的影(yǐng)響
最新、最全面的IPv4/IPv6雙協議棧驗證
捕獲流量的全狀态重建,包括業內(nèi)領先的每個(gè)端口2 GB捕獲緩沖
可(kě)選的定制(zhì)應用工具包,用于模拟專有(yǒu)應用程序
真實的網絡攻擊
包含40000多(duō)個(gè)安全攻擊的可(kě)搜索知識庫,加上(shàng)震網(Stuxnet)和(hé)零日漏洞等最新的真實惡意軟件
全面的Microsoft® 星期二補丁覆蓋
超過180個(gè)逃避措施來(lái)驗證普通(tōng)的安全防禦
全面DDoS模拟,數(shù)百萬個(gè)同時(shí)僵屍網絡客戶端
複雜的Markov文本生(shēng)成器(qì),用于模拟真實的垃圾郵件
用于生(shēng)成定制(zhì)攻擊的可(kě)選定制(zhì)打擊工具包
一體(tǐ)化應用與威脅情報(ATI)
最新的攻擊和(hé)應用,以及新的産品特性、升級、維護、服務及支持
擁有(yǒu)專門(mén)的ATI安全研究員團隊
合法攔截、信号分析與數(shù)據丢失預防驗證
複雜的多(duō)語種大(dà)海撈針式場(chǎng)景,用于驗證處罰匹配的精确性
Evergreen Protocol計(jì)劃,旨在确保大(dà)多(duō)數(shù)流行(xíng)的網絡郵箱和(hé)即時(shí)通(tōng)訊軟件總是最新版本,包括Google® Gmail™、Microsoft’s Hotmail™、AOL Messaging™、ICQ和(hé)Jabber
全狀态高(gāo)性能流量,提供壓力并測量深度報文檢測(DPI)引擎的性能
易于使用、易于擴展
面向對象的直觀用戶界面,用于創建真實的模拟
類似向導的實驗室,用于加快配置
能夠擴展至無限的性能級别
附錄B — BreakingPoint網絡戰士培訓課程
信息保障(IA)基礎
所有(yǒu)網絡指揮官都必須掌握基礎性的IA能力,不管他們從事IA、信息作(zuò)戰(IO)還(hái)是任務保障(MA)工作(zuò)。結構化的網絡戰士培訓課程應當包含自學模塊和(hé)網絡靶場(chǎng)實戰演習,培養IA人(rén)員的能力,使其能夠防禦關鍵的互聯網基礎架構和(hé)軍事通(tōng)信網絡,同時(shí)嚴格遵守标準。在獲得(de)IA基礎培訓的認證之後,學員應繼續恰當的發展路徑:中級和(hé)高(gāo)級IA培訓,或初級、中級和(hé)高(gāo)級IO培訓,也可(kě)以選擇進行(xíng)MA培訓。
IA課程提供綜合的初級、中級和(hé)高(gāo)級教學,涉及現代網絡、數(shù)據中心和(hé)應用程序的架構、測試、部署、保護和(hé)維護。學員應當全面理(lǐ)解網絡、數(shù)據中心、應用程序和(hé)攻擊多(duō)年以來(lái)的發展情況,以及這些(xiē)發展對于提高(gāo)網絡彈性并确保符合标準的影(yǐng)響。該培訓強調在整個(gè)現代網絡、服務器(qì)、服務器(qì)和(hé)安全設備中使用深度封包檢測(DPI)技(jì)術(shù)所帶來(lái)的革命性影(yǐng)響,凸顯DPI帶來(lái)的風險和(hé)好處。
學員完成自學部分之後,會(huì)學習用于在實驗室或網絡靶場(chǎng)中分析和(hé)診斷網絡的基本工具。在網絡靶場(chǎng)內(nèi),學員能夠創建真實的網絡和(hé)攻擊場(chǎng)景并檢查他們對彈性的印象——性能、安全性和(hé)穩定性。網絡靶場(chǎng)演習讓學員能夠親身體(tǐ)驗真實的互聯網規模的網絡運營和(hé)攻擊,鞏固在自學階段學到的知識。
信息作(zuò)戰(IO)基礎
在獲得(de)IA初級或更高(gāo)級的認證之後,學員即能夠開(kāi)始學習高(gāo)效的信息作(zuò)戰和(hé)事故響應技(jì)能。通(tōng)過IO戰略、基礎概念、主要組件和(hé)方法的學習,IO方向的學員将有(yǒu)機會(huì)獲得(de)初級、中級和(hé)高(gāo)級IO技(jì)能認證。
高(gāo)級學員将掌握進攻和(hé)防禦型IO,學習進行(xíng)電(diàn)子監控和(hé)進攻所需的技(jì)能。戰術(shù)層面的IO規劃和(hé)實戰演習進一步加強了教學效果,網絡戰士将由此掌握分析和(hé)抵禦攻擊中用到的工具。
任務保障(MA)基礎
确保在各種情況下——包括存在網絡威脅時(shí)——繼續軍事任務對于阻止和(hé)打敗侵略者至關重要。妨礙任務成功的威脅包括多(duō)種形式:有(yǒu)組織的犯罪、國家(jiā)、黑(hēi)客和(hé)恐怖主義。除了培養打擊敵人(rén)的MA技(jì)能,課程還(hái)應當提供技(jì)能培訓,即使IT系統受損時(shí)也能保障IT任務的執行(xíng)。
以網絡為(wèi)中心的集成功能是MA運作(zuò)的組成部分,必須全面地實現,因為(wèi)這個(gè)與任務的整體(tǐ)執行(xíng)息息相關。隻有(yǒu)在至少(shǎo)掌握了IA和(hé)IO基礎技(jì)能之後,才能學習這個(gè)跨學科的課程。在此基礎上(shàng),學員将學到所有(yǒu)必要的MA技(jì)能,包括MA基礎、任務評估方法(MAM)、情景感知與任務關聯,以及作(zuò)戰規劃延續性(COOP)。
