Mikä on cyber range?

Cyber range on eristetty, ohjelmistomääritteinen verkkoympäristö, joka uskollisesti jäljittelee kohdeinfrastruktuuria — käyttöjärjestelmiä, palveluja, protokollia ja liikennemalleja — jotta harjoittelijat voivat harjoitella hyökkäys- ja puolustustekniikkoja ilman riskiä tuotantojärjestelmille. Puolustuksen cyber range -ympäristöt mallintavat lisäksi erityisiä verkkotopologioita, teollisuuden ohjausjärjestelmiä ja C2-infrastruktuuria, joita sotilas- ja viranomaisoperaattoreiden on suojattava.

Miten verkkoemulointi eroaa verkkosimulaatiosta cyber rangessa?

Verkkosimulaatio mallintaa pakettivirtoja matemaattisesti — esimerkiksi ns-3-kaltaiset työkalut laskevat, miten liikenne käyttäytyisi — mutta ei suorita todellisia käyttöjärjestelmäpinoja tai sovelluksia. Verkkoemulointi ajaa todellisia käyttöjärjestelmäinstansseja (virtuaalikoneina tai konteineina), jotka on kytketty ohjelmistomääritteiseen verkkoon, joka hallitsee kaistanleveyttä, viivettä ja pakettihäviötä niiden välillä. Ammattikoulutukseen tarkoitetut cyber range -ympäristöt käyttävät lähes aina emulointia, koska harjoittelijoiden on oltava vuorovaikutuksessa todellisten työkalujen ja todellisten haavoittuvuuksien kanssa, ei abstraktien mallien.

Mitä on skenaario-orkestrointi cyber rangessa?

Skenaario-orkestrointi on harjoitustilan automatisoitu hallinta: infrastruktuurin käynnistäminen ja konfigurointi, vastustajan toimien injektoiminen määritellyissä laukaisupisteissä, vaikeustason skaalaaminen harjoittelijoiden edistymisen mukaan, telemetrian kerääminen ja ympäristön alasajo harjoituksen päättyessä. Orkestrointikerros sijaitsee virtualisointiinfrastruktuurin yläpuolella ja tarjoaa skenaarion määrittelykielen, jota harjoitussuunnittelijat käyttävät kuvaamaan tarkoitettua narratiivia — mitkä järjestelmät vaarantuvat milloin, mitä lateraalisia liikkumisreittejä on olemassa ja mitkä havainnot tulisi laueta.

Miten cyber range -harjoitukset pisteytetään?

Pisteytys yhdistää lippujen keräämisen (harjoittelijat lähettävät kohdesysteemin hyväksikäyttötodistusmerkkijonoja), puolustajamittarit (aika havaita injektoitu indikaattori, ennen hyökkäävän pivot-toimintaa puhdistettujen järjestelmien lukumäärä) ja käyttäytymistelemetrian (suoritetut komentosarjat, otetut käyttöön työkalut, SIEM-kyselyt). Puolustukseen keskittyvät range-ympäristöt painottavat puolustajamittareita enemmän kuin CTF-tyylinen lipunkeräyspisteytys, koska koulutuksen tavoite on havaitsemis- ja rajoitusnopeus, ei hyväksikäytön syvyys.

Kuinka kauan cyber rangen nollaaminen harjoitusten välillä kestää?

Nollausaika riippuu taustalla olevasta virtualisointikerroksesta ja harjoituksen aikana tapahtuneen tilamuutoksen laajuudesta. Tilannekuvapohjainen VM-palautus voi palauttaa satoja koneita puhtaalle lähtöviivalle alle viidessä minuutissa, jos tilannekuvat tallennetaan nopeille NVMe-asemille. Muuttumattomia kuvia käyttävät konttipohaiset range-ympäristöt nollaavat solmukohtaisesti sekunneissa. Pullonkaulana on yleensä verkon uudelleenkonfigurointi — VLAN-määritysten, palomuurisääntöjen ja reititystaulujen uudelleenasettaminen — eikä laskentatilapalautus. Hyvin suunniteltu range saavuttaa täyden nollauksen alle viidessätoista minuutissa sadan solmun ympäristölle.

Cyber range -arkkitehtuuri: puolustuksen kyberharjoitusympäristön rakentaminen

Cyber range on lähin vastine live-fire-harjoitusalueelle, joka puolustusorganisaatiolla on kyberkyvykkyyksien kehittämiseen ja testaamiseen. Kuten fyysisellä harjoitusalueella, sen on oltava riittävän realistinen, jotta se tuottaa aitoa taitojen siirtymistä, riittävän turvallinen, jotta se ei vahingoita operatiivisia järjestelmiä, ja riittävän toistettava, jotta parannusta voidaan mitata koulutuskierrosten välillä. Toisin kuin fyysinen harjoitusalue, kohdeympäristö on kokonaan ohjelmistomääritteinen — mikä tarkoittaa, että jokainen suunnittelupäätös siitä, mitä emuloidaan, miten skenaarioita orkestrOidaan ja miten harjoittelijoiden suoritusta pisteytetään, on arkkitehtuurinen valinta, joka suoraan määrää koulutuksen tehokkuuden. Tässä artikkelissa tarkastellaan puolustuksen cyber rangen keskeisiä arkkitehtuurisia komponentteja sekä niitä suunnitteluratkaisuja, jotka erottavat toimivat range-ympäristöt niistä, jotka epäonnistuvat operatiivisessa siirrossa.

Ydinarkitehtuuri: puolustuksen cyber rangen neljä kerrosta

Hyvin jäsennelty cyber range erottaa huolenaiheet neljään kerrokseen, joilla kullakin on omat suunnitteluvaatimuksensa ja operatiiviset rajapintansa.

1. Virtualisointi- ja verkkoemulointikerros. Tämä kerros tarjoaa laskenta- ja verkkoinfrastruktuurin, jolla emuloitu kohdeympäristö toimii. Virtualisointi (KVM, VMware ESXi tai vastaava) isännöi käyttöjärjestelmäinstansseja todellisilla käyttöjärjestelmäkuvilla, todellisilla sovelluspinolla ja todellisilla haavoittuvuuksilla. Verkkoemulointiverkko — tyypillisesti toteutettu ohjelmistomääritteisellä verkko-ohjaimella (SDN) ja virtuaalikytkimillä — hallitsee näitä instansseja yhdistävää topologiaa: mitkä VLAN-verkot ovat olemassa, mitkä kaistanleveys- ja viiverapoitukset koskevat kutakin linkkiä, mitkä palomuurisäännöt ohjaavat segmenttien välistä liikennettä. Tämän kerroksen erottava ominaisuus on se, että se ajaa todellisia binäärejä: harjoittelija, joka ajaa porttiskannerin range-kohdetta vastaan, saa saman vastauksen kuin live-isäntää vastaan, koska kohde on live-isäntä, vain eristettynä range-verkkoon.

2. Skenaario-orkestrointikerros. Orkestrointi on se, mikä muuttaa kokoelman käynnissä olevia VM-yksiköitä harjoitukseksi. Orkestroija lukee skenaarion määrittelyjä — jäsenneltyjä tiedostoja, jotka kuvaavat ympäristön alkutilaa, injektoitavien vastustajan toimien järjestystä, skenaariota edistäviä tai haaroittavia ehtoja sekä pisteytyksen kriteerejä — ja suorittaa ne virtualisointikerrosta vastaan API:n kautta. Kun harjoitus käynnistetään, orkestroija provisioi ympäristön tilannekuvista, konfiguroi verkon tilan, käynnistää taustaliikenteen generaattorit ja luovuttaa hallinnan harjoituksen ajastimelle. Harjoituksen aikana se injektoi ennalta skriptattuja vastustajan toimia (tiedostoja, rekisterimuutoksia, verkkoyhteyksiä, lokimerkintöjä) aikataulun tai harjoittelijoiden toimien mukaan. Harjoituksen päättyessä se kerää telemetrian ja käynnistää ympäristön nollauksen.

3. Liikennegeneraattori- ja telemetriakerros. Range ilman realistista taustaliiikennettä on huono harjoitusympäristö — jokainen poikkeama erottuu, koska lähtöviiva on tasainen. Liikennegenerointikerros tuottaa protokolla-autenttista taustaaktiviteettia: HTTP/S-selaussessioita, SMTP- ja IMAP-sähköpostivirroja, Windowsin toimialueen autentikointijaksoja, tiedostonjako-aktiviteettia, DNS-kyselyitä sekä tarvittaessa teollisuuden ohjausjärjestelmäprotokollien vaihtoja (Modbus, DNP3, IEC 61850). Telemetriakerros kerää samanaikaisesti täydellisen pakettitallenteen ja jäsennetyt lokit kaikista solmuista SIEM-instanssiin, jota harjoittelijat käyttävät harjoituksen aikana. Liikennevolyymin kalibrointi siten, että injektoitu vastustajan liikenne on havaittavissa mutta ei triviaalisin havaita, on yksi range-toiminnan vaativimmista sisällönsuunnittelutehtävistä.

4. Pisteytys-, AAR- ja hallintakerros. Pisteytys tallentaa harjoitusten tulokset — kerätyt liput, havaitsemisaikaleiimat, rajoitustoimet, käyttöön otetut työkalut — ja esittää ne harjoituksen valvojille reaaliajassa sekä harjoittelijoille jälkitarkastelussa. Hallintakerros käsittelee käyttäjä- ja tiiminhallintaa, ympäristöjen allokoinnin, harjoitusten aikatauluttamisen ja infrastruktuurin terveysseurannan. Nämä kaksi huolenaihetta on usein yhdistetty yhdeksi verkkosovellukseksi, mutta niillä on erilaiset pääsynhallinnan vaatimukset: pisteytystiedot on suojattava harjoittelijoilta harjoituksen aikana, ja infrastruktuurin seurannan on oltava range-operaattoreiden saatavilla, vaikka harjoituksen käyttöliittymä ei olisi käytettävissä.

Verkkoemulointi: topologian tarkkuus ja eristys

Verkkoemulointikerros on se, jossa useimmat puolustuksen cyber range -arkkitehtuurit tekevät merkittävimmät kompromissit. Perustavanlaatuinen valinta on täyden virtuaalikoneemuloinnin ja konttipohjaisen emuloinnin välillä. Virtuaalikoneet tarjoavat korkeimman tarkkuuden — kukin isäntä ajaa täydellistä käyttöjärjestelmäydintä kohdeympäristön tarkalleen vastaavin patchitasoin, konfiguraatioin ja palvelujoukoin — mutta kuluttavat merkittävästi muistia ja vaativat pidemmät nollausajat. Kontit jakavat isäntäytimen, käynnistyvät sekunneissa ja nollautuvat lähes välittömästi, mutta eivät pysty emuloimaan ytintason haavoittuvuuksia tai käyttöjärjestelmäkohtaisia käyttäytymisiä, jotka eroavat Linux-jakelutiedostojen ja Windowsin välillä.

Puolustuksen range-ympäristöt käyttävät usein hybridilähestymistapaa: Windows-isännät ja ICS-päätepisteet, jotka vaativat erityistä ydinkäyttäytymistä, toimivat VM-yksiköinä; Linux-pohjaiset palvelut ja verkkoinfrastruktuuri toimivat konteineina. SDN-verkko (Open vSwitch OpenFlow-ohjaimella tai kaupallinen vastaava) yhdistää molemmat ilman erottelua, noudattaen samoja kaistanleveys-, viive- ja ACL-sääntöjä riippumatta taustalla olevasta virtualisointiteknologiasta.

Eristys on ehdoton vaatimus mille tahansa range-ympäristölle, joka isännöi samanaikaisia harjoituksia. Range-arkkitehtuuri, joka sallii liikenteen karata yhden harjoitusvuokraajan verkosta toiseen — tai, mikä pahempaa, tuotantoverkkoon — on tietoturvapoikkeama, ei harjoitusympäristö. Eristys on noudatettava SDN-kerroksessa eksplisiittisin sallittulistauksilla, ei luottamalla VM-sisäiseen palomuurikonfiguraatioon, jota harjoittelijat saattavat muokata osana harjoitusta. Hallintaverkon, jota range-operaattorit ja orkestrointialusta käyttävät, on oltava fyysisesti tai kryptografisesti erillisellä segmentillä, jota range-osallistujat eivät pysty saavuttamaan.

ICS- ja OT-ympäristön emulointi

Puolustusorganisaatiot tarvitsevat yhä enemmän range-ympäristöjä, jotka emuloivat operatiiviseen teknologiaan (OT) liittyviä ympäristöjä: teollisuuden ohjausjärjestelmiä, SCADA-verkkoja sekä IT/OT-rajapintaa, joka on ensisijainen hyökkäyspinta infrastruktuurikeskeisissä uhkissa. ICS-ympäristön emuloiminen harjoitustarkkuudella vaatii sekä ohjelmistosimulaattoreita PLC-logiikalle ja insinöörityöasemille että tarkkaa protokollasimulaatiota Modbus TCP:lle, DNP3:lle ja IEC 61850:lle. Useat avoimen lähdekoodin alustat tarjoavat ohjelmisto-PLC-emuloinnin, joka on riittävä koulutukseen — keskeinen vaatimus on, että emuloitu PLC vastaa protokollakyselyihin tavalla, jonka todelliset hyökkäys- ja puolustustyökalut tunnistavat live-laitteeksi.

Skenaario-orkestrointi: harjoituksen ohjauskerros

Skenaario-orkestrointi on komponentti, joka suorimmin määrää harjoituskokemuksen laadun. Kehittynyt virtualisointikerros, joka ajaa keskinkertaista skenaariota, tuottaa keskinkertaista koulutusta. Skenaarion määrittelyn on koodattava paitsi injektoitavat vastustajan toimet myös realistiset artefaktit, joita kukin toimi tuottaa — tarkat lokimerkinnät, rekisteriavaimet, verkkovirrat ja tiedostojärjestelmämuutokset, joita pätevä puolustaja havaitsisi ja tutkisi.

Skenaarion määrittelyjä tulisi versioda yhdessä niiden viittaaman infrastruktuurin kanssa. Skenaario, joka on kirjoitettu tietylle käyttöjärjestelmäkuvan versiolle, saattaa tuottaa erilaisia artefaktimalleja päivitetyllä kuvalla — lokiformaattimuutokset, tapahtuma-ID-muutokset, verkkopinon käyttäytymiserot — jotka hiljaisesti rikkovat koulutuksen validiteetin. Skenaariosisällön käsitteleminen koodina samoilla arviointi- ja testaamusdisipliineillä kuin ohjelmistossa on käytäntö, joka erottaa operatiivisesti kypsät range-ohjelmat niistä, jotka tuottavat hämmentäviä ja epäjohdonmukaisia harjoittelijakokemuksia.

Injektointiputki — mekanismi, jolla orkestroija istuttaa vastustajan artefakteja käynnissä oleviin VM-yksiköihin — on turvallisuusherkän komponentti. Se toimii tyypillisesti agentin kautta, joka toimii kullakin VM-yksiköllä ja hyväksyy allekirjoitettuja injektointikomentoja orkestrointikerrokselta. Agentin on vahvistettava komentojen allekirjoitukset ennen suoritusta, jotta kompromisoitunut harjoittelijatyöasema ei voisi injektoida luvattomia artefakteja. Injektointiagentin viestintäkanavan on oltava hallintaverkossa, ei harjoitusverkossa — jos se on harjoitusverkosta tavoitettavissa, taitava harjoittelija voisi käyttää sitä skenaarion tilan muokkaamiseen.

Liikenteen generointi: realistisen lähtöviivan tuottaminen

Taustaliikenteen generointi on cyber rangen vähiten glamouröosi ja useimmin alirahoitettu komponentti. Alirahoituksen seurauksena on range-ympäristö, jossa jokainen injektoitu kompromissin indikaattori on välittömästi ilmeinen, koska se on ainoa ei-triviaali liikenne langalla. Tämä tuottaa yliluottavaisia harjoittelijoita, jotka oppivat havaitsemaan ilmeisiä uhkia steriilissä ympäristössä ja kamppailevat, kun samat tekniikat kohdistetaan todellisen verkon kohinapohjaiseen lähtöviivaan.

Uskottavan liikennegeneraattorin on tuotettava virtoja, jotka ovat semanttisesti koherentteja, eivät vain tilastollisesti uskottavia. HTTP-sessioita generoiva työkalu, joka tuottaa satunnaisia tavujonoja HTTP-ajoitetuissa väleissä, ei hämää harjoittelijaa, joka tutkii pakettitallenteita — hyötykuormat eivät sisällä kelvollista HTML-koodia, content-type-otsikot eivät vastaa runkoa. Työkalut, kuten PCAP-toisto, käyttäjäsimulaatioagentit ja tarkoitukseen rakennetut range-liikenteen alustat, tarjoavat erilaisia tarkkuus-kompleksisuus-kompromisseja. PCAP-toisto todellisten yritysverkkojen tallenteista tarjoaa korkeimman hyötykuormatarkkuuden, mutta ei pysty sopeutumaan rangen erityiseen topologiaan eikä generoimaan uusia autentikointitapahtumia kelvollisilla tunnistetiedoilla.

Keskeinen havainto: Yleisin epäonnistumistapa puolustuksen cyber range -ohjelmissa ei ole hyökkäyspuolen sisältö — se on realistisen lähtöviivan puuttuminen. Kun jokainen lokitransaktio ja jokainen paketti rangella on injektoitu orkestroijan toimesta, puolustajat oppivat pitämään jokaista artefaktia merkittävänä. Todellisessa verkossa taito on erottelu — vastustajan toiminnan erottaminen laillisesta kohinasta. Range-ympäristöt, jotka ohittavat lähtöviivainvestoinnin, epäonnistuvat järjestelmällisesti tämän erottelutaidon kouluttamisessa.

Pisteytys ja jälkitarkastelu

Puolustuksen cyber rangen pisteytysarkkitehtuuri eroaa capture-the-flag-kilpailuista tärkeässä suhteessa: ensisijainen koulutustavoite on havaitsemis- ja rajoitusnopeus, ei hyväksikäytön syvyys. Pisteytysmallin, joka palkitsee vain lippujen palautuksen (hyväksikäyttötodistusmerkkijonot), kannustaa harjoittelijoita optimoimaan lippujen etsimistä, ei rakentamaan havaitsemis- ja reagointityönkulkuja, jotka siirtyvät operaatioihin.

Puolustuksen range-pisteytyksen tulisi instrumentoida puolustajan työnkulku suoraan. Havaitsemismittarit tallentavat, kun harjoittelija tekee SIEM-kyselyn, joka vastaa injektoitua indikaattoria, avaa injektoitu liikenteen tuottaman hälytyksen tai suorittaa tutkimustoiminnon vaarantuneella isännällä. Rajoitusmittarit tallentavat, kun harjoittelija eristää isännän, estää C2-takaisinkutsuosoitteen tai nollaa vaarantuneet tunnistetiedot — kukin aikaleimattuna suhteessa injektointiin, joka edellytti näitä toimia. Nämä aikaleiimat yhdistettynä harjoitusskenaarion aikajanaan tuottavat havaitsemisvälimittarin: aikavälin vastustajan toiminnon ja puolustajan ensimmäisen vasteen välillä. Tämä mittari on ensisijainen harjoittelijakompetenssin mittari, jonka red team vastaan blue team -harjoitus on suunniteltu pienentämään.

Jälkitarkastelu vaatii toistokykyä: kyvyn rekonstruoida koko harjoituksen aikajana — vastustajan injektoinnit, verkkoliikenne, SIEM-kyselyt, harjoittelijoiden terminaalikomennot — synkronoidussa näkymässä, jonka avulla ohjaajat voivat käydä harjoituksen läpi harjoittelijoiden kanssa. Täydellinen pakettitallennus ja sessiorekisteröinti kaikista solmuista ovat tallennusintensiivisiä mutta operatiivisesti välttämättömiä. Range-ympäristö, joka tuottaa yksityiskohtaisia pisteytysmittareita mutta ei pysty selittämään, miksi pisteet olivat mitä olivat, tarjoaa rajallisen opetusvaikutuksen. Laajemmasta näkökulmasta simulaatioarkkitehtuurien tukemista koulutustuloksista eri toimialoilla, katso artikkeli sotilaallisen harjoitussimulaation ohjelmistoarkkitehtuurista.

Ympäristön nollaus: infrastruktuuri toistettavana artefaktina

Kyky nollata range-ympäristö tunnettuun hyvään lähtötilaan nopeasti ja luotettavasti on se, mikä erottaa ammattimaisen rangen improvisoidusta laboratoriosta. Range-ympäristö, jonka nollaaminen harjoituskierrosten välillä kestää tunteja, rajoittaa koulutuksen läpimenoa ja lisää operatiivisia kustannuksia. Range-ympäristö, joka nollautuu epäjohdonmukaisesti — jossa osa ajoista alkaa puhtaalta lähtöviivalta ja toiset kantavat edellisten harjoitusten tilaa — tuo muuttujia, jotka tekevät suorituksen vertailun kierrosten välillä merkityksettömäksi.

Tilannekuvapohjainen nollaus VM-yksiköille ja kuvien korvaaminen konteineille ovat vakiomenetelmiä. Molemmat riippuvat siitä, että tilannekuva tai kuva on aidosti puhdas — ei tilannekuva, joka otettiin edellisen harjoituksen jälkeen ja johon on kertynyt konfiguraatiopoikkeamia. Range-operaattoreiden tulisi validoida lähtötilan terveys jokaisen nollauksen jälkeen automaattisilla tarkistuksilla: palvelun saatavuusanturit, konfiguraation vaatimustenmukaisuusskannarit ja liikenteen generoinnin sydämenlyöntitestit, jotka vahvistavat, että harjoitusympäristö on odotetussa tilassa ennen sen luovuttamista harjoittelijoille.

Infrastructure-as-code on käytäntö, joka tekee nollauksesta sekä nopean että luotettavan. Kun jokainen VM, verkkosääntö ja palvelukonfiguraatio on määritelty versioiduissa malleissa — ja range-alusta pystyy instantioimaan koko ympäristön näistä malleista — nollauksesta tulee deterministinen toimenpide eikä manuaalinen menettely. Se mahdollistaa myös rangen käyttöönottamisen uudelle laitteistolle tai eri pilvipalvelualueelle luottaen siihen, että syntyvä ympäristö on identtinen sen kanssa, jolla harjoitussisältö vahvistettiin.

Rakenna ja suorita kyberharjoituksesi WARG:lla

WARG on Corvus Intelligencen sodanpeli- ja harjoitusalusta — tarkoitukseen rakennettu puolustusorganisaatioille, jotka tarvitsevat toistettavia, pisteytettyjä kyberharjoitusympäristöjä realistisella skenaario-orkestroinnilla ja täydellisellä jälkitoistomahdollisuudella. Rakennettu erityisesti puolustuksen harjoitusohjelmien tempo- ja luokitteluvaatimuksiin.

Tutustu WARG:iin → Varaa esittely

Tämän analyysin ovat valmistelleet Corvus Intelligencen insinöörit, jotka rakentavat kriittistä ohjelmistoa puolustus- ja viranomaisorganisaatioille. Lue tiimistämme →