概述
全球各地的机构都面临网络战士短缺的问题,这些战士必须具备防御网络恐怖主义所需的技能。尽管对网络安全的投资达到数十亿美元,但鉴于关键的IT基础架构遍布弱点和漏洞,这种情况进一步恶化。
应对这些问题需要互联网规模的模拟环境、全面的培训课程和经过验证的方法,以培养网络战士并模拟对IT基础架构的攻击。军事指挥官、国防承包商、甚至Gartner这样的商业分析机构都将这些环境称为“网络靶场”。
尽管网络靶场是培训网络战士所必需的,但是近年来构建网络靶场的老方法已暴露出昂贵和徒劳无功的弱点。依赖过时方法的旗舰级网络靶场项目花费了数百万纳税人的时间和金钱来研究这一问题。
Ixia BreakingPoint通过获得专利的网络处理器技术提供了更好的方法——从一个4U高的设备创建一个互联网规模的网络靶场环境。这种突破性发明消除了曾经阻碍网络靶场广泛部署的障碍,这些网络靶场用来训练网络战士,并为其配备所需的技能。本白皮书介绍了全球政府、情报和军事机构如何充分利用创新技术来快速部署经过实战验证、运营上相对封闭但却能模拟整个互联网的环境,其成本只有传统模式的一小部分。
充分利用在网络靶场领域的经验,BreakingPoint制订了四点战略,让组织机构能够通过评估、培训和认证精英网络战士而保卫国家利益,并为这些部队加强关键网络和数据中心基础架构的弹性。本文所述的功能和战略并不是一个研究项目或昂贵的咨询项目;它们现在就能够用于高成本效益的部署。
全球网络靶场势在必行
不记得过去的教训,注定会重复这些错误。曾多次导致灾难性损失的自满情绪现在又让世界领先国家面临风险,这一次是在第五战场——网络领域。若不能立即采取行动或进行投资来加强国家网络防御系统的弹性,网络攻击的影响就将继续成倍激增。
正如每个军事和警察部队需要靶场来磨练自己的武器技能和战术一样,每个网络战士都需要进入一个网络靶场。只有通过一个互联网规模、运营上相关且总是保持最新的网络靶场,指挥官才能制定有效的模拟训练——这是培养其部队技能和进攻防御行动本能所必需的。类似地,了解IT基础架构弹性的唯一方式就是利用网络靶场可控环境中所创造的真实高压条件模拟打击其中的每个网元。
为何传统方案会失败
不幸的是,当今网络安全危机的严重性已经超出了不可管理、低效的传统网络靶场的能力。在一个军事基地,指挥官努力扩展复制真实环境所需的性能。组织机构遵循旧有网络靶场模式来构建一个由数百个连接在一起的服务器组成的实验室,用于模拟15000个用户的负载——只能覆盖有限的应用程序。然而,其使命需要250000个用户在当今全套应用程序上操作目标设备。
传统网络靶场模式需要对硬件、软件许可证、电力和房产进行大量投资。它还需要从军事或国防承包商那里调拨几十个训练有素的专业人员,以便进行设置、配置、集成和维护。随后还需要另外几十名具有专业知识的网络与安全专业人士来继续研究并创建一个不断演进的复杂攻击组合。
太多军事机构和政府机构都不使用目前可用的高成本效益、自适应、可扩展的技术,而是对此投入大量纳税人的钱、过时的硬件和昂贵的咨询来应对网络靶场挑战——因为这种方式最符合国防承包商的商业利益。然而,这种方案注定会失败,因为它永远无法跟上网络威胁的快速演进。
面临不断升级的网络风险、越来越高的公众压力,以及国防预算的削减,需要一个更为务实、高成本效益、可扩展的方案来加强针对当今威胁的网络力量和防御系统。
武装并培训精英网络战士的务实战略
凭借其多年为军事机构和跨国企业提供突破性网络靶场创新技术的丰富经验,BreakingPoint为武装组织开发出以下务实、可持续发展的四点战略,以便评估、培训并认证网络战士,使其执行信息保障(IA)、信息战(IO)和任务保障(MA)职责。正如本文所介绍的那样,用来训练网络战士的相同的创新技术和可扩展方案可用来评估并强化IT基础架构弹性。
1. 现代网络靶场部署
领先一步的技术优势和成熟的方法能够实现快速部署大规模可扩展的网络靶场,就像几十家全球军事机构中已有的靶场一样。这些现代网络靶场的核心就是获得专利的BreakingPoint Firestorm™和Storm™,它们可提供真实运作的封闭环境,该环境可通过一个紧凑型设备重现互联网上的条件。
图1:一个BreakingPoint产品可提供集中化指令与控制,以便监控并管理远程网络靶场的分布式网络。
通过BreakingPoint实现的演进的网络靶场,组织机构能够在可控环境内创建互联网规模的网络靶场、解释结果并提供洞察,以便能够快速响应网络威胁——所有这一切都是从一个拥有简单直观界面、易于配置的机器上完成的。这些强大的功能让用户能够进行复杂的演练,评估、培训并认证网络战士,让专业人员能够攻击自己的防御系统,以提升关键基础架构的弹性并进行研究。这些单选框网络靶场中创建的真实场景让防守者提供筹建事故响应团队、磨练数字战场技术并开发强大的网络和数据中心防御系统所需的条件。
2. 网络靶场指令与控制、维护和全球威胁更新
在分布式网络靶场环境中,指挥官需要一个集中的指令与控制部门。有了它,指挥官就能够在整个部队整顿并规范网络安全意识、信息共享,以及网络实战演习。中央部门将向部署在世界各地的卫星网络靶场传达统一、最新的全球威胁情报和网络安全专业知识,让所有网络战士都准备就绪,应对——或发起——最新攻击。
在传统网络靶场中,关于病毒、恶意软件机其它威胁的信息在多个系统上进行条块分割。而BreakingPoint模式则让组织机构得以统一监测并管理远程网络靶场的分布式网络,从而更全面地了解状况并实现标准化、兼容IA和IO计划。
与在每个基地复制安全研究人员的传统做法不同,这种模式允许发出集中指令来收集最新的全球攻击数据,并将其发布到遍布全球的远程机构。它还能够创建真实、可重复的演习,以便测量专业知识和弹性。这能够全面控制网络战士的演习,确保专业人员得到培训、应对最新威胁,并且持续进行培训——无论在哪里。
新方案最适合专门收集并共享网络流量和攻击情报的全球研究人员网络,这些情报来自设备厂商、电信运营商及其它来源。通过将网络靶场作为信息库和分发载体,组织机构可在全球范围内一致地通过最新流量组合测量并提升网络和应用程序基础架构的弹性。
3. 标准化网络战士培训课程和认证
信息保障(IA)人员:培养具备专业知识的防守人员,以便强化、认证IT基础架构弹性,并确保获得访问数据的授权。学生应学会科学的方法和先进的技术来测量每个IT基础架构的各个网元的弹性,修复漏洞,验证合法拦截(LI)和数据丢失防护(DLP)措施,并确保符合标准和流程。其中包括掌握监测和管理网络与数据中心所需的工具。
信息作战(IO)人员:让网络运营和安全中心的专业事故响应团队做好准备,让其掌握应对最新网络攻击所需的技能。确保应急响应团队可识别并反向工程攻击,提供洞察,以便通过有效的动态防御做出迅速响应。提供利用谍报技术的说明,并开发一套IO工具和漏洞。培养网络战争所需的技能和工具,其中包括电子监控以及使敌方军事和商业企业基础架构无法运转的能力。
任务保障(MA)人员:让任务保障领导和执行者能够掌握整合不同保障活动所需的技能,以应对重大国家和全球安全问题。提供以统一、系统化的方式成功执行关键计划所需的跨学科专业知识和一套系统工程、风险管理、质量和运营管理原则。
4. 测量并强化网络及应用基础架构弹性
攻击防御措施是确切了解防御措施弹性如何的唯一方式。强化IT基础架构需要利用一套科学、标准化方法来单独并跨越整个系统测量并验证每个网络和数据中心组件的性能、安全性和稳定性(如弹性)。现代网络靶场必须作为这一流程的基本工具。除了网络和数据中心设备的统一验证,这个网络靶场设备的能力也能让军事和政府组织的设备厂商在整个IT供应链中负责。
采用的流程必须像动能防御中使用的材料化学或核物理一样具有系统性。IT基础架构的每个网元——每个芯片、设备、堆栈和运行在上面的应用程序——都必须进行弹性的经验、可重复测量,这些测量也是IT供应链中每个设备厂商都必须进行的。只有一致、守纪律地采用标准的弹性测量才能确保组织机构和设备厂商保持维护切身利益所需的性能、稳定性和安全性。
通过每个网络飞地的网络靶场,网络部队拥有保持关键联网基础架构每个元素最高弹性所需的能力和成熟的方法——不仅是在部署它们时,也作为反应影响网络、数据中心和虚拟化环境的流量、配置、应用程序和攻击的持续流程。这种严格、统一的流程应体现采用真实场景和标准化认证的网络专家认证。
结束语
培养保护关键基础架构的网络战士迫切地需要可持续、实用的新方法。只有BreakingPoint通过把高成本效益的现代网络靶场打包到一个设备中而实现了这种方法。这个网络靶场设备在可控的环境中重现了互联网规模的网络战、解释结果并提供快速应对威胁所需的信息。
BreakingPoint方法目前已经得到广泛应用。例如,上文提到的一个军事基地利用一台BreakingPoint设备替换了数百台服务器,让基地的网络战士进行大规模模拟,用于测试目标设备、培训防御者、加强基础架构并执行该基地的战略任务。
BreakingPoint产品利用复杂的创新,以直接的方式解决复杂的问题。这些强大的产品通过唯一的方式解决了培训网络战士和加强IT弹性的双重挑战:这种科学、可持续的方法利用先进的技术和自动化实现可以快速部署的网络靶场。
利用本文中描述的获得专利的BreakingPoint产品线和现代网络靶场策略,组织机构现在能够让网络战士获得标准化的最新IA、IO和MA培训,使其能够保护关键的基础架构并加强基础架构以抵御最新威胁。
附录A — BreakingPoint FireStorm Features
军事、情报和执法部门利用全面、易于使用且维护成本较低的BreakingPoint FireStorm产品创造互联网规模的最新网络战条件。这款设备采用获得专利的网络处理器架构,让组织机构能够根据来自其合作伙伴和BreakingPoint的应用与威胁情报(ATI)安全研究团队的场景分析和威胁更新而保持永远最新的条件。这个紧凑的3插槽设备在性能和功能上相当于数百个机柜的高性能服务器,包括:
来自单个产品的前所未有的高性能
120 Gbps全状态业务流量
来自一台设备的每秒120,000多个SSL会话
1亿2000万个同时TCP会话
每秒300万个TCP会话
每秒300万个稳定状态完整TCP会话
利用任何密码进行38 Gbps SSL批量加密
12个通用1GE/10GE接口
真实的应用和网络配置
针对各种网络的预配置全状态业务流量配置:移动、运营商、企业、政府、高等教育等等
混合200多种全球性应用程序,包括AOL® IM、Google® Gmail、Facebook、FIX、Gnutella、IBM DB2、VMware® VMotion™、HTTP、Microsoft® CIFS/SMB、MAPI、Oracle、Encrypted BitTorrent™、eDonkey、MSN® Nexus、RADIUS、SIP、Skype™、Windows Live™ Messenger、World of Warcraft®、Yahoo!® Mail、Yahoo!® Messenger等等,包括主要的SCADA协议
混合多种协议不会降低性能
彻底的协议模糊化以检验畸形数据包的影响
最新、最全面的IPv4/IPv6双协议栈验证
捕获流量的全状态重建,包括业内领先的每个端口2 GB捕获缓冲
可选的定制应用工具包,用于模拟专有应用程序
真实的网络攻击
包含40000多个安全攻击的可搜索知识库,加上震网(Stuxnet)和零日漏洞等最新的真实恶意软件
全面的Microsoft® 星期二补丁覆盖
超过180个逃避措施来验证普通的安全防御
全面DDoS模拟,数百万个同时僵尸网络客户端
复杂的Markov文本生成器,用于模拟真实的垃圾邮件
用于生成定制攻击的可选定制打击工具包
一体化应用与威胁情报(ATI)
最新的攻击和应用,以及新的产品特性、升级、维护、服务及支持
拥有专门的ATI安全研究员团队
合法拦截、信号分析与数据丢失预防验证
复杂的多语种大海捞针式场景,用于验证处罚匹配的精确性
Evergreen Protocol计划,旨在确保大多数流行的网络邮箱和即时通讯软件总是最新版本,包括Google® Gmail™、Microsoft’s Hotmail™、AOL Messaging™、ICQ和Jabber
全状态高性能流量,提供压力并测量深度报文检测(DPI)引擎的性能
易于使用、易于扩展
面向对象的直观用户界面,用于创建真实的模拟
类似向导的实验室,用于加快配置
能够扩展至无限的性能级别
附录B — BreakingPoint网络战士培训课程
信息保障(IA)基础
所有网络指挥官都必须掌握基础性的IA能力,不管他们从事IA、信息作战(IO)还是任务保障(MA)工作。结构化的网络战士培训课程应当包含自学模块和网络靶场实战演习,培养IA人员的能力,使其能够防御关键的互联网基础架构和军事通信网络,同时严格遵守标准。在获得IA基础培训的认证之后,学员应继续恰当的发展路径:中级和高级IA培训,或初级、中级和高级IO培训,也可以选择进行MA培训。
IA课程提供综合的初级、中级和高级教学,涉及现代网络、数据中心和应用程序的架构、测试、部署、保护和维护。学员应当全面理解网络、数据中心、应用程序和攻击多年以来的发展情况,以及这些发展对于提高网络弹性并确保符合标准的影响。该培训强调在整个现代网络、服务器、服务器和安全设备中使用深度封包检测(DPI)技术所带来的革命性影响,凸显DPI带来的风险和好处。
学员完成自学部分之后,会学习用于在实验室或网络靶场中分析和诊断网络的基本工具。在网络靶场内,学员能够创建真实的网络和攻击场景并检查他们对弹性的印象——性能、安全性和稳定性。网络靶场演习让学员能够亲身体验真实的互联网规模的网络运营和攻击,巩固在自学阶段学到的知识。
信息作战(IO)基础
在获得IA初级或更高级的认证之后,学员即能够开始学习高效的信息作战和事故响应技能。通过IO战略、基础概念、主要组件和方法的学习,IO方向的学员将有机会获得初级、中级和高级IO技能认证。
高级学员将掌握进攻和防御型IO,学习进行电子监控和进攻所需的技能。战术层面的IO规划和实战演习进一步加强了教学效果,网络战士将由此掌握分析和抵御攻击中用到的工具。
任务保障(MA)基础
确保在各种情况下——包括存在网络威胁时——继续军事任务对于阻止和打败侵略者至关重要。妨碍任务成功的威胁包括多种形式:有组织的犯罪、国家、黑客和恐怖主义。除了培养打击敌人的MA技能,课程还应当提供技能培训,即使IT系统受损时也能保障IT任务的执行。
以网络为中心的集成功能是MA运作的组成部分,必须全面地实现,因为这个与任务的整体执行息息相关。只有在至少掌握了IA和IO基础技能之后,才能学习这个跨学科的课程。在此基础上,学员将学到所有必要的MA技能,包括MA基础、任务评估方法(MAM)、情景感知与任务关联,以及作战规划延续性(COOP)。
