Architektura cyber range: budowanie obronnego środowiska szkolenia cybernetycznego

Cyber range to najbliższy analog strzelnicy dla organizacji obronnych, służący do rozwijania i testowania zdolności cybernetycznych. Podobnie jak fizyczna strzelnica, musi być wystarczająco realistyczny, aby zapewnić prawdziwy transfer umiejętności, wystarczająco bezpieczny, aby zapobiegać szkodom w systemach operacyjnych, oraz wystarczająco powtarzalny, aby mierzyć poprawę w kolejnych rotacjach szkoleniowych. W odróżnieniu od fizycznej strzelnicy, środowisko docelowe jest całkowicie zdefiniowane programowo – co oznacza, że każda decyzja projektowa dotycząca tego, co emulować, jak orkiestrować scenariusze i jak oceniać wyniki szkolonych, jest wyborem architektonicznym, który bezpośrednio determinuje skuteczność szkolenia. Niniejszy artykuł omawia główne składniki architektoniczne obronnego cyber range oraz decyzje inżynieryjne odróżniające funkcjonalne rangi od tych, które nie przenoszą się na działania operacyjne.

Architektura podstawowa: cztery warstwy obronnego cyber range

Dobrze ustrukturyzowany cyber range rozdziela zagadnienia na cztery warstwy, z których każda ma odrębne wymagania inżynieryjne i interfejsy operacyjne.

1. Warstwa wirtualizacji i emulacji sieci. Warstwa ta zapewnia obliczenia i strukturę sieciową, na której działa emulowane środowisko docelowe. Wirtualizacja (KVM, VMware ESXi lub równoważnik) hostuje instancje systemu operacyjnego z prawdziwymi obrazami OS, prawdziwymi stosami aplikacji i prawdziwymi podatnościami. Struktura emulacji sieci — zwykle zaimplementowana przy użyciu kontrolera programowo zdefiniowanej sieci (SDN) i wirtualnych przełączników — kontroluje topologię łączącą te instancje: jakie sieci VLAN istnieją, jakie ograniczenia przepustowości i opóźnienia dotyczą każdego łącza, jakie reguły zapory rządzą ruchem między segmentami. Wyróżniającą właściwością tej warstwy jest to, że uruchamia prawdziwe binaria: szkolony uruchamiający skaner portów przeciwko celowi w randze otrzymuje taką samą odpowiedź, jaką dostałby od żywego hosta, ponieważ cel jest żywym hostem — po prostu izolowanym w strukturze rangi.

2. Warstwa orkiestracji scenariuszy. Orkiestracja przekształca kolekcję działających VM w ćwiczenie szkoleniowe. Orkiestrator odczytuje definicje scenariuszy — ustrukturyzowane pliki opisujące stan początkowy środowiska, sekwencję działań adversarialnych do wstrzyknięcia, warunki, które zaawansują lub rozgałęzią scenariusz, oraz kryteria punktacji — i wykonuje je na warstwie wirtualizacji przez API. Po uruchomieniu ćwiczenia orkiestrator dostarcza środowisko ze snapshotów, konfiguruje stan sieci, uruchamia generatory ruchu w tle i przekazuje kontrolę timerowi ćwiczenia. Podczas ćwiczenia wstrzykuje z góry napisane działania adversarialne (zrzuty plików, modyfikacje rejestru, połączenia sieciowe, wpisy w logach) według harmonogramu lub w odpowiedzi na działania szkolonych. Po zakończeniu ćwiczenia zbiera telemetrię i uruchamia resetowanie środowiska.

3. Warstwa generowania ruchu i telemetrii. Ranga bez realistycznego ruchu bazowego jest słabym środowiskiem szkoleniowym — każda anomalia wyróżnia się, ponieważ linia bazowa jest płaska. Warstwa generowania ruchu produkuje aktywność tła autentyczną protokołowo: sesje przeglądania HTTP/S, przepływy e-mail SMTP i IMAP, sekwencje uwierzytelniania w domenie Windows, dostęp do udostępniania plików, zapytania DNS, a tam gdzie to istotne, wymianę protokołów przemysłowych systemów sterowania (Modbus, DNP3, IEC 61850). Warstwa telemetrii jednocześnie zbiera pełne przechwytywanie pakietów i ustrukturyzowane logi z każdego węzła do instancji SIEM, z której szkoleni korzystają podczas ćwiczenia. Kalibrowanie wolumenu ruchu tak, aby wstrzyknięty ruch adversarialny był wykrywalny, ale nie trywialnie oczywisty, jest jednym z bardziej wymagających zadań projektowania treści w operacji rangi.

4. Warstwa punktacji, AAR i administracji. Punktacja rejestruje wyniki ćwiczeń — zdobyte flagi, znaczniki czasu detekcji, działania izolujące, użyte narzędzia — i prezentuje je kontrolerom ćwiczenia w czasie rzeczywistym, a szkolonym podczas przeglądu po akcji. Warstwa administracji obsługuje zarządzanie użytkownikami i zespołami, alokację środowisk, harmonogramowanie ćwiczeń i monitorowanie kondycji infrastruktury. Te dwa zagadnienia są często łączone w jedną aplikację webową, ale mają różne wymagania kontroli dostępu: dane punktacji muszą być chronione przed szkolonymi podczas ćwiczenia, a monitorowanie infrastruktury musi być dostępne dla operatorów rangi nawet wtedy, gdy frontend ćwiczenia jest niedostępny.

Emulacja sieci: wierność topologii i izolacja

Warstwa emulacji sieci jest miejscem, w którym większość architektur obronnego cyber range dokonuje najbardziej konsekwentnych kompromisów. Fundamentalny wybór dotyczy pełnej emulacji maszyn wirtualnych versus emulacji opartej na kontenerach. Maszyny wirtualne zapewniają najwyższą wierność — każdy host uruchamia kompletne jądro OS z dokładnym poziomem łatania, konfiguracją i zestawem usług środowiska docelowego — ale zużywają znaczną ilość pamięci i wymagają dłuższego czasu resetowania. Kontenery współdzielą jądro hosta, uruchamiają się w sekundy i resetują niemal natychmiastowo, ale nie mogą emulować podatności na poziomie jądra ani zachowań specyficznych dla OS, różniących się między dystrybucjami Linuxa i Windows.

Rangi obronne często stosują podejście hybrydowe: hosty Windows i punkty końcowe ICS wymagające specyficznego zachowania jądra działają jako VM; usługi oparte na Linuksie i infrastruktura sieciowa działają jako kontenery. Struktura SDN (Open vSwitch z kontrolerem OpenFlow lub odpowiednik komercyjny) łączy oba bez różnicy, wymuszając te same reguły przepustowości, opóźnienia i ACL niezależnie od bazowej technologii wirtualizacji.

Izolacja jest niezbędna dla każdej rangi hostującej równoczesne ćwiczenia. Architektura rangi, która pozwala na ucieczkę ruchu z sieci jednego tenanta ćwiczebnego do sieci innego — a co gorsza, do sieci produkcyjnej — jest incydentem bezpieczeństwa, a nie środowiskiem szkoleniowym. Izolacja musi być wymuszana na warstwie SDN z jawnym zezwalaniem na ruch, a nie przez poleganie na konfiguracji zapory wewnątrz VM, którą szkoleni mogą modyfikować w trakcie ćwiczenia. Sieć zarządzania, używana przez operatorów rangi i platformę orkiestracji, musi być w fizycznie lub kryptograficznie odrębnym segmencie, do którego uczestnicy rangi nie mają dostępu.

Emulacja środowisk ICS i OT

Organizacje obronne coraz częściej wymagają rang emulujących środowiska technologii operacyjnych (OT): przemysłowe systemy sterowania, sieci SCADA i granicę IT/OT, która jest główną powierzchnią ataku w zagrożeniach skoncentrowanych na infrastrukturze. Emulowanie ICS z wiernością szkoleniową wymaga zarówno emulatorów oprogramowania logiki PLC i stacji inżynierskich, jak i dokładnej symulacji protokołów dla Modbus TCP, DNP3 i IEC 61850. Kilka otwartych platform zapewnia emulację programowych PLC wystarczającą do celów szkoleniowych — kluczowym wymaganiem jest to, aby emulowany PLC odpowiadał na zapytania protokołów w sposób, który prawdziwe narzędzia ataku i obrony rozpoznają jako żywe urządzenie.

Orkiestracja scenariuszy: płaszczyzna sterowania ćwiczeniem

Orkiestracja scenariuszy jest składnikiem, który najbardziej bezpośrednio determinuje jakość doświadczenia szkoleniowego. Zaawansowana warstwa wirtualizacji uruchamiająca przeciętny scenariusz produkuje przeciętne szkolenie. Definicja scenariusza musi kodować nie tylko to, jakie działania adversarialne są wstrzykiwane, ale realistyczne artefakty, które każde działanie produkuje — konkretne wpisy w logach, klucze rejestru, przepływy sieciowe i modyfikacje systemu plików, które kompetentny obrońca wykryłby i zbadał.

Definicje scenariuszy powinny być kontrolowane wersyjnie razem z infrastrukturą, do której się odnoszą. Scenariusz napisany dla konkretnej wersji obrazu OS może produkować różne wzorce artefaktów na zaktualizowanym obrazie — zmiany formatu logów, zmiany identyfikatorów zdarzeń, różnice w zachowaniu stosu sieciowego — które po cichu psują trafność szkolenia. Traktowanie zawartości scenariuszy jak kodu, z taką samą dyscypliną przeglądu i testowania jak w przypadku oprogramowania, to praktyka odróżniająca operacyjnie dojrzałe programy rangowe od tych, które produkują mylące i niespójne doświadczenia szkolonych.

Potok wstrzykiwania — mechanizm, przez który orkiestrator implantuje artefakty adversarialne do działających VM — jest składnikiem wrażliwym na bezpieczeństwo. Zazwyczaj działa przez agenta działającego na każdej VM, który akceptuje podpisane polecenia wstrzykiwania z warstwy orkiestracji. Agent musi walidować podpisy poleceń przed wykonaniem, aby zapobiec wstrzyknięciu nieautoryzowanych artefaktów przez przejętą stację roboczą szkolonego. Kanał komunikacji agenta wstrzykiwania musi być w sieci zarządzania, a nie w sieci ćwiczebnej — jeśli jest osiągalny z sieci ćwiczebnej, wykwalifikowany szkolony mógłby go użyć do modyfikowania stanu scenariusza.

Generowanie ruchu: tworzenie realistycznej linii bazowej

Generowanie ruchu w tle jest najmniej efektownym i najczęściej niedoinwestowanym składnikiem cyber range. Konsekwencją niedoinwestowania jest ranga, w której każdy wstrzyknięty wskaźnik kompromitacji jest natychmiast oczywisty, ponieważ jest jedynym nietrywialnym ruchem w sieci. Produkuje to nadmiernie pewnych siebie szkolonych, którzy uczą się wykrywać oczywiste zagrożenia w sterylnym środowisku i mają trudności, gdy te same techniki są stosowane na tle hałaśliwej linii bazowej prawdziwej sieci.

Wiarygodny generator ruchu musi produkować przepływy semantycznie spójne, a nie tylko statystycznie prawdopodobne. Generator sesji HTTP produkujący losowe sekwencje bajtów w odstępach czasowych kształtowanych przez HTTP nie zmyli szkolonego badającego przechwycone pakiety — ładunki nie będą zawierać prawidłowego HTML, nagłówki content-type nie będą pasować do ciała. Narzędzia takie jak replay PCAP, agenty symulacji użytkowników i dedykowane platformy ruchu rangowego oferują różne kompromisy między wiernością a złożonością. Replay PCAP z przechwytywań z prawdziwych sieci korporacyjnych zapewnia najwyższą wierność ładunków, ale nie może dostosować się do konkretnej topologii rangi ani generować nowych zdarzeń uwierzytelniania z prawidłowymi danymi uwierzytelniającymi.

Punktacja i przegląd po akcji

Architektura punktacji obronnego cyber range różni się od zawodów capture-the-flag w istotnym aspekcie: głównym celem szkoleniowym jest szybkość wykrywania i izolowania, a nie głębokość eksploitacji. Model punktacji nagradzający wyłącznie zdobywanie flag (ciągi potwierdzające eksploitację) zachęca szkolonych do optymalizowania pod kątem znajdowania flag, a nie budowania przepływów pracy wykrywania i reagowania, które przenoszą się na działania operacyjne.

Punktacja obronnej rangi powinna instrumentować bezpośrednio przepływ pracy obrońcy. Wskaźniki detekcji rejestrują, gdy szkolony wysyła do SIEM zapytanie pasujące do wstrzykniętego wskaźnika, otwiera alert wygenerowany przez wstrzyknięty ruch lub wykonuje działanie dochodzeniowe na przejętym hoście. Wskaźniki izolowania rejestrują, gdy szkolony izoluje hosta, blokuje adres zwrotny C2 lub resetuje przejęte dane uwierzytelniające — każdy ze znacznikiem czasu względem wstrzyknięcia, które wymagało tych działań. Te znaczniki czasu, w połączeniu z oś czasu scenariusza ćwiczenia, produkują metrykę luki detekcji: interwał między działaniem adversarialnym a pierwszą odpowiedzią obrońcy. Ta metryka jest podstawową miarą kompetencji szkolonych, którą ćwiczenie red team kontra blue team jest zaprojektowane zmniejszać.

Przegląd po akcji wymaga zdolności odtwarzania: możliwości rekonstrukcji pełnej osi czasu ćwiczenia — wstrzyknięcia adversarialne, ruch sieciowy, zapytania SIEM, polecenia terminalu szkolonych — w zsynchronizowanym widoku, który pozwala instruktorom przejść przez ćwiczenie ze szkolonymi. Pełne przechwytywanie pakietów i rejestrowanie sesji z każdego węzła są intensywne pod względem przechowywania, ale operacyjnie niezbędne. Ranga produkująca szczegółowe metryki punktacji, ale nie mogąca wyjaśnić, dlaczego wynik był taki a nie inny, zapewnia ograniczoną wartość instruktażową. Szersze spojrzenie na to, jak architektury symulacyjne wspierają wyniki szkoleniowe w różnych domenach, zawiera artykuł o architekturze oprogramowania do wojskowych symulacji szkoleniowych.

Resetowanie środowiska: infrastruktura jako powtarzalny artefakt

Możliwość szybkiego i niezawodnego zresetowania środowiska rangi do znanego poprawnego punktu odniesienia jest tym, co odróżnia profesjonalną rangę od improwizowanego laboratorium. Ranga wymagająca godzin na reset między rotacjami ćwiczeń ogranicza przepustowość szkolenia i zwiększa koszty operacyjne. Ranga resetująca niespójnie — gdzie niektóre uruchomienia startują od czystej linii bazowej, a inne przenoszą stan z poprzednich ćwiczeń — wprowadza zmienne zakłócające, które sprawiają, że porównywanie wyników między rotacjami traci sens.

Reset oparty na snapshotach dla VM i zastępowanie obrazów dla kontenerów to standardowe mechanizmy. Oba zależą od tego, czy snapshot lub obraz jest naprawdę czysty — a nie zrobiony po poprzednim ćwiczeniu, które wprowadził dryf konfiguracji. Operatorzy rangi powinni walidować kondycję linii bazowej po każdym resecie przy użyciu automatycznych sprawdzeń: sond dostępności usług, skanów zgodności konfiguracji i pulsów generatora ruchu potwierdzających, że środowisko ćwiczebne jest w oczekiwanym stanie przed przekazaniem go szkolonym.

Infrastruktura jako kod to praktyka, która sprawia, że reset jest zarówno szybki, jak i niezawodny. Gdy każda VM, reguła sieciowa i konfiguracja usługi jest zdefiniowana w szablonach kontrolowanych wersyjnie — i platforma rangi może zinstancjonować całe środowisko z tych szablonów — reset staje się operacją deterministyczną, a nie ręczną procedurą. Umożliwia to również wdrożenie rangi na nowym sprzęcie lub w innym regionie chmury z pewnością, że wynikowe środowisko jest identyczne z tym, na którym zawartość ćwiczenia była walidowana.