数字靶场能力点阵图2022
自2020年《网络靶场能力指南》发布以来,已经过去了近两年。为了紧跟技术与行业的变化,数世咨询今年将传统网络安全靶场与工业靶场结合,在数字安全的范畴下,定义了“数字靶场”的概念,并更新了相关点阵图。同时,基于过去两年的变化,有了新的关键发现。
数世咨询对“数字靶场”的定义如下:
数字靶场点阵图2022
点阵图将数字靶场厂商分为三种类型:
本次最终参与并进入数字靶场点阵图的厂商共有20家,分别为:360政企安全、安帝科技、安恒信息、安码科技、博智安全、长扬科技、烽台科技、华顺信安、锦行网络、六方云、绿盟科技、木链科技、奇安信、启明星辰、赛宁网安、四叶草、星阑科技、易霖博、永信至诚、丈八网安。
关键发现
数字靶场的应用场景依然在教育、实训、竞赛、演练、研究五个领域。五个场景的落地情况均有大幅度的提升。但是,对于绝大部分企业而言,数字靶场依然属于“奢侈品”,大部分需求(客户数量,非市场份额)依然停留在教学、实训。
数字靶场的技术实现已经开始向“原子化聚合”方向转变:过去的传统网络靶场与工业靶场主要会根据教育、实训、竞赛、演练和研究的不同用途形成不同的靶场平台类产品,而当前有越来越多的企业将这五类应用场景从底层统一到同一个产品中,从而让客户可以基于自己每个不同时间点上不同的需求,在统一个平台上构建各种应用场景。尤其对于一些近年的数字靶场创业企业,都在致力于自研底层架构,实现同一平台、不同场景应用场景的实现。
数字靶场需要在数字安全防护能力本身的虚拟化程度上进一步发力。数字靶场的一大落地场景是攻防演练,在此基础上可以实现多维度的推演。但是,真实的数字环境当中,安全防护能力(如防火墙、EDR、蜜罐等)是不可或缺的。因此,如何将安全能力虚拟化到数字靶场当中会是对数字靶场的下一个挑战。
数字靶场技术的另一个发展方向在流量仿真上。一个真正的数字环境并非只有攻与防的流量,而是应该以正常的业务为主要流量。如果要使演练、推演更贴近实际使用环境,需要更为贴近用户本身的正常业务流量——这不仅包括了正常应用之间频繁的交互,甚至还需要掺杂一些错误信息的流量。
在交付模式上,数字靶场的市场份额由两年前的标准化单品为主,转向定制化加运营的模式。从调研过程来看,标准化单品的需求量依然很多,但是定制化加运营的模式往往单个项目的价格非常高,使得从销售额上来看,定制化加运营模式的数字靶场占比大幅度上升。
对于绝大部分企业而言,数字靶场当前依然属于数字安全的“奢侈品”,是独立于企业数字安全架构之外的。数字靶场如何能够融入企业的数字安全架构,并且基于企业自身的数字安全历史事件,为企业提供针对性的方案推演支持、事件复现和员工培训,是未来值得去挖掘的方向。
数字靶场市场调研
数字靶场在数世咨询数字安全能力图谱2022中位于安全运营下的安全演练分类中;在数世咨询的2022年度数字安全成熟度阶梯(安全运营)中位于热力区,市场成熟度属于发展市场,技术维度属于融合创新阶段。
根据本次调研,2020年数字靶场市场收入已经达到11.68亿元(合同额),2021年收入达到18.94亿元。预计2022年可达24亿元,2023年收入有望超过31亿元,超出数世咨询在2020年《网络靶场能力指南》中的预测。
首先,360政企安全、烽台科技、绿盟科技、赛宁网安、永信至诚在这两年发展迅猛。尤其是科技馆、城市基地相关项目的涌现,使得数字靶场收入呈现井喷的情况。但是,考虑到企业人员规模以及当前项目建设周期等因素,部分头部企业收入发展增速会放缓。
另一方面,近年来有不少新的企业进入数字靶场领域,尽管这些企业当前各自的市场份额很小,但是发展潜力很大。未来几年,这类企业能够贡献相当一部分国内数字靶场的收入增长数额。
《网络靶场能力指南》2020年预测
和2019年相比,数字靶场交付模式最大的变化在于从单一标准化产品转向了定制化产品与运营。单一标准化产品的占比从60%下降了一半到30%,而定制化产品与运营的方式则从19%跃升至41%。数世咨询认为,这一转变的一大原因在于数字靶场应用场景的变化。对于教学/实训、竞赛类的应用场景,往往单一标准化的数字靶场产品就已经足够了;但是对于演练、研究的落地场景,尤其是需要长期使用的数字靶场,则需要定制化或者长期运营服务的方式进行。尽管从需求量上来看,教学与竞赛相关场景的数量居多,但是这类产品的单笔项目销售额相对演练、研究场景(包括一些多场景需求的数字靶场)这类需要定制化或者运营的数字靶场项目单笔销售额,差距极大。
另一方面,数字靶场的SaaS化交付模式已经接近6%。
《网络靶场能力指南》2020年报告交付对比
从销售方式来看,数字靶场能力以直销为主,占比为72%。渠道销售占比有明显提升,从15%提升到了25%。
《网络靶场能力指南》2020年报告销售对比
数字靶场最大购买区域为华北,占33%;其次为华东,占21%。西南、华中和华南地区差距不大。
数字靶场当前最大使用行业为地方政府,占比29%,相比2019年占比增长了8%,其原因是过去两年里,有大量的城市基地项目开始建立,其中包括了大量的靶场相关产品。教育与科研和监管机构占比变化不大,依然为第二和第三位置。
《网络靶场能力指南》2020年报告行业用户对比
部分厂商简评
数世咨询从进入点阵图的厂商中,选出部分数世咨询认为较有特色的靶场厂商,分别做一些简单的评价(按名称排序):
360政企安全:360政企安全的靶场收入在过去两年增长速度极快,主要来源为各个城市基地项目中的靶场功能部分。360的数字靶场在实网演练上有着很大的优势。同时,360自身的其他安全能力,尤其是相关实验室,能够为其数字靶场提供更为丰富的知识库与剧本支持。
博智安全:博智安全能够提供多类特种领域靶场,能够满足多种特殊领域的演练与研究需求。
烽台科技:烽台科技能够对大量工控系统进行细致的仿真。除了能够应对多种工控场景的推演,烽台科技的靶场还能够对多类工控设备、工控系统本身进行研究、分析,发现其存在的漏洞与风险。
绿盟科技:绿盟科技兼有传统网络靶场与工业靶场两种靶场。同时,绿盟科技的数字靶场能够进行基于知识图谱的挂图作战模拟,进一步提升攻防演练的效果。
木链科技:木链科技基于底层引擎出发,衍生出多种工业互联网安全产品——包括工业靶场。木链科技的工业靶场正在与工业互联网安全管理平台结合,通过工业互联网安全管理平台的数据和反馈,将客户自身环境中存在的安全问题映射到工业靶场,从而进行针对性的实训与演练。
赛宁网安:作为国内首个联赛制CTF比赛的主办方,赛宁网安在数字靶场有相当深厚的积累。尤其在攻防能力与武器库的研究层面,赛宁网安的数字靶场能够为高级别攻防对抗的演练和研究,提供良好的环境。
永信至诚:作为国内领先的数字靶场企业,永信至诚无论在底层仿真能力上,还是在业务仿真能力上,都有深厚的积累。永信至诚能够构建多种领域的复杂业务靶场,能够帮助企业从实际需要解决的问题与演练的目标出发,在同一靶场平台上构建不同使用场景。
丈八网安:丈八网安的靶场可称之为原生数字靶场,具备元计算、原子化和自主可控三大特点,极具创新力。此外,丈八网安还在运营着国内颇具影响力的漏洞社区,有力支撑数字靶场。
案例一:某金融行业企业基于靶场构建SWIFT复现对比场景项目(本案例由360政企安全提供)
场景介绍
该金融企业行业领军企业,在网络安全领域,该企业着眼于世界,对国际范围内发生的各种网络安全事件,特别是发生在金融领域的网络安全威胁事件,会进行持续的关注和研究,并期望能够将其凝练为经验,完善网络安全团队的整体能力体系。
在此案例中,客户选择了金融领域中发生的影响较大的SWIFT劫持事件作为一期建设目标。
客户需求
事件重现:针对SWIFT事件的真实历史过程,重现其历史背景、事件过程、攻防手法、关键技术点等核心内容,通过靶场系统的态势展示模块进行形象展示,用以帮助网络安全人员建立起对SWIFT劫持事件的初步认知。
场景模拟:根据处于SWIFT劫持事件暴风眼的孟加拉央行的实际网络环境,模拟抽象出一个近似的虚实结合场景,用以供网络安全人员进入实操以切身体会事件中所涉及的攻防技术手法。
对比研究:针对客户现行业务网络环境,抽象模拟出近似的虚实结合场景,并与孟加拉央行的模拟网络环境进行平行对比,以探究现行业务网络环境的安全性配置是否能够成功抵御类似网络安全威胁。
解决方案
本次项目根据客户的具体需求,整个解决方案按照事件重现->场景复现->业务场景模拟->复盘推演四个维度展开。
事件重现:360网络安全智库团队深入调研了SWIFT劫持事件的始末,将事件重现分为了历史事件回放、技术细节分析、应对过程分析三个部分。历史事件回放部分,完整的将事件发生的背景以及事件演进步骤利用3D动画的形式进行了展现,以形象的描述事件始末。技术细节分析则将事件的关键点进行了拆分,并利用视频课件及ppt课件,对其所涉及到的网络安全技术进行了详细的讲解。应对过程分析则是紧跟技术细节分析给出,让网络安全人员对当时的应急处理策略有一个整体认知。
场景复现:360场景资源团队,在深入研究了SWIFT劫持事件的调查资料后,复原了孟加拉央行当时的网络结构,并依照构建了虚拟网络场景。为了保证场景的真实性,360靶场团队与客户深度合作,将客户的测试用SWIFT真机通过虚实结合的方式接入了上述虚拟场景,同时也将SWIFT劫持事件中的关键设备——打印机——通过虚实结合的方式进行了接入,由此便完整复现了SWIFT劫持事件中的最核心流程——打印虚假票据。复现后的场景接近与1:1还原了孟加拉央行当时的实际网络,为网络安全人员研究和学习SWIFT劫持事件提供了真实环境。
业务场景模拟:为了能够将客户处的现行网络与孟加拉央行网络进行对比研究,360场景资源团队还对客户的现行业务网络进行了仿真和模拟。
复盘推演:利用对比推演和岔路重选技术,将孟加拉央行网络模拟与客户现行网络模拟进行对比推演,在事件关键点,通过岔路重选技术,选择不同应对策略观察推演事件进展流程,从而对客户现行网络防护策略和应急响应机制提供修正建议。
客户价值
通过将SWIFT劫持事件复现在靶场平台中,客户为其网络安全人员提供了一个可反复学习和试验的环境,以提升自身网络安全技能以及针对此类网络安全威胁的防护能力。
同时,通过将现行业务网络与孟加拉央行网络进行对比分析,一方面展示了自身业务网络的健壮性和安全性,同时,为今后防范此类网络安全威胁提供了可行的安全策略和应急响应方案。
客户评价
借助于360网络攻防靶场的事件复现能力及推演复盘能力,充分提升了所属网络安全团队的整体技能水平,对于历年发生的著名网络安全事件构建起了整体分析和应对能力,通过推演复盘,反复推敲现行业务网络的薄弱点和应对方案,让行内构建起了更加高效的安全防护策略和应急响应预案。
案例二:某钢铁集团工业互联网安全运营平台与融合靶场(本案例由木链科技提供)
客户背景
某钢铁集团有限公司业务涵盖现代物流、国际贸易、教育、体育等多元板块的国家级特大型钢铁联合企业、曾荣获“中国工业大奖”的民营钢铁企业,并连续多年位居全球钢企粗钢产量50强、中国企业500强,中国民营企业、中国制造业百强行列。集团内工业网架构不包含安全设计与部署。
客户需求
某钢铁集团原有网络安全体系在“智慧工厂”的背景下显得捉襟见肘,传统的防火墙、入侵防御等设备在面对互联互通的新场景下,无法有效处理数据安全、生产安全等业务场景,成为了制约智能制造的瓶颈。因此,用户亟需建立一套与当前业务场景相匹配的网络安全体系,保障业务安全,促进业务发展。
与此同时面临越来越庞杂大复杂的生产网架构,集团时刻受到未知安全问题的威胁。尤其在企业数字化改造及两化融合工作进程中,如何确定新信息化方案的安全性与可落地性成了最大的难题,针对新信息化决策的威胁验证工作与工业仿真靶场需求也是用户在本次项目中重要的关注点。
解决方案
该项目根据用户的要求和调研,决定采用平台化方案解决现有的安全问题,根据各厂区实际情况部署工控安全审计平台与集团工控安全生态运营平台,实现双平台联动。
工业融合靶场(即威胁验证平台)以企业威胁验证平台的形式独立构建于工业网,在如上图所示钢铁集团工业互联网安全内生运营体系中,威胁验证平台将来自于工业互联网安全生态运营中心的数据进行风险验证,最终将验证结果反馈给运营中心。以此途径来实现靶场在企业工业信息化过程中无法替代的威胁验证价值。
靶场的数据来源除了由集团工业互联网安全运营平台分析提供的精密数据流之外,还有来自全厂各车间生产网的阶段性数据汇总。在安全防护体系发挥作用的时间内,生产网架构的上下游贯通将会随着两化融合进程的深入逐步落地,而面对未知的生产网未来架构与无法预料的多样化业务需求,靶场将会提供足够的安全性缓冲窗口与应急响应能力孵化手段,帮助用户度过即将到来的严峻安全挑战。
独立架构使用户可以自主开展安全威胁验证、工业环境与流量仿真、安全演练等基础靶场业务。并通过工业互联网安全运营平台与融合靶场之间的数据连接与应用,进一步升华工业互联网安全体系的可持续发展。
客户价值
三重内循环体系,突破狭义安全思维
安全助力生产,充分储备应急响应手段
开放式靶场架构,兼容安全与业务
项目进度总结
目前就该钢铁集团工业互联网安全生态运营平台的建设情况而言,平台已经完成了安全部署区域的安全态势感知,已经进入了安全内循环的阶段。而在靶场平台中已经完成了对试点工业现场的工艺及网络复刻。
在靶场平台与安全运营平台之间,靶场的实验数据被汇总成安全报告与数据仓库,为企业接下来的安全建设与风险应对提供报告依据与数据蓝本。各车间的工控流量,通过modbus等工业协议传递到工业互联网安全运营平台,平台以此为基础,在现有的安全基础上进行下一步的安全设计,而这一步,将在靶场平台中进行首次仿真验证。实际反馈包括业务安全性、业务稳定性、安全态势的均衡掌控等高级安全能力建设。在这些维度木链科技正在和用户做技术对接,包含api接口的开放、工业协议转换、业务属性融合、有梯度的工业安全价值判定体系的构建等等,在此进程中将会涉及到更多未曾提前预料到的问题,凭借技术能力逐一研究,并且时刻与用户的业务部门保持同步,务必融合工业安全与工业生产,任重而道远。
参考阅读
热门文章
调研报告
-
数世咨询:《中国数字安全百强报告(2023)》正式发布
-
报告发布|数世咨询能力指南 - NDR
-
数世咨询:《2023年数字安全大事记》发布(上)
-
数世咨询《现代WAF市场指南》发布
-
报告发布 | 数世咨询能力指南 - 持续评估定义安全运营(附PDF下载)
