网络靶场竞争分析：锁盾供应商CybExer

最近在梳理网络靶场的竞品分析，国内的网络靶场竞品分析就不公开发布了，可以私下讨论交流。发点我整理的国外靶场厂商的内容。

一、简介

CybExer Technologies是一家快速发展的爱沙尼亚网络安全公司，专门为政府、国际组织和公司提供网络安全风险评估，并建立网络靶场，以进行复杂的大规模网络安全演习。主要服务对象范围包括欧洲、拉丁美洲、东南亚和海湾地区的客户。

CybExer Technologies开发的网络靶场解决方案，来源于CybExer专家在各种攻防演习期间作出的技术支持和经验积累。LOCKED SHIELDS演习是北约塔林合作网络防御卓越中心组织的全球规模最大、最全面的实弹网络防御演习。此外，CybExer Technologies还支持了欧盟首个非正式国防部长的网络安全桌面演习CYBRID 2017以及在哥伦比亚、秘鲁和美洲国家组织等进行了类似或相关的培训和演习支撑。

CybExer Technologies的网络靶场侧重实战网络攻防演习能力上，主要是基因是其参与支撑的LOCKEDSHIELDS等系列演习。此外，效能评估是CybExer Technologies的网络靶场独具特色的优势能力。2018年，CybExer Technologies为LOCKED SHIELDS演习开发的网络攻防演习效能评估和可视化工具ISA获得了北约信息通信局（NCIA）国防创新奖，根据北约塔林合作网络防御卓越中心公布的网络攻防演习效能评估和可视化工具ISA论文，我们可以看到北约在网络攻防演习效能评估和可视化方面的应用实践。

二、靶场架构

CybExer公司的网络靶场平台（CRP）构建的是一个旨在安全和隔离的环境中准备和进行网络练习和培训的完整的自治系统。预集成网络攻防演练包含所有必需的硬件和软件组件，可用于预先打包和专门构建的练习和培训环境和流程。

为了提供最大的灵活性和可伸缩性，该靶场以模块化的方式构建，并且在架构上由4个模块组成：

（1）共享的底层基础架构（用以支持多源虚拟化和云）

（2）基础设施服务

（3）导调服务（GameNet）

（4）蓝队和红队系统

下图说明了CybExer网络靶场平台（CRP）逻辑设计，该逻辑设计由按功能分隔的各种网络区域组成（团队角色：蓝队、红队、绿队）。

图1 CybExer网络靶场平台（CRP）逻辑设计

CybExer网络靶场平台（CRP）这种模块化方法允许快速开发并同时运行多个练习场景。另外，由于所使用的网络靶场系统是根据企业网络的通用设计原理构建的，因此可以轻松地将第三方系统包含和集成到练习场景中。

在基础设施方面，CybExer网络靶场平台（CRP）支持本地化服务器集群部署和云端虚拟化部署，即可以在本地运行又可以在云服务环境上运行。基础设施方面模块化设计具有较大弹性。下图显示了CybExer网络靶场平台（CRP）的架构中包含的主要功能组件。

图2 CybExer网络靶场平台（CRP）主要组件

如上图所示，CybExer网络靶场平台（CRP）包括用于导调开发和自动化部署的vLab Manager（vLM）软件。所有攻防演习导调部署、重新部署和销毁都通过vLM软件处理。即该软件模块实现整个CybExer网络靶场平台（CRP）的资源剧情导调功能。此外，还包括流量生成和管控等模块。

在共享的基础结构中，vLab Manager通过控制用户门户（vLM-UP）软件，为红蓝队等角色提供统一的登录访问门户，该（vLM-UP）软件是一款安全远程访问网关，可为红队提供攻击基础设施的访问权限和基于浏览器的远超操作控制台访问；此外，该（vLM-UP）软件为蓝队提供基本的虚拟机和容器管理功能，并通过兼容HTML5的Web浏览器对虚拟机和容器进行远程控制台访问的功能。

另外最重要的特色功能就是，该网络靶场平台集成了网络攻防演习计分、效能评估和可视化工具（ISA）软件解决方案，该解决方案在网络演习期间提供了近乎实时的评分和态势感知可视化和报告功能。

三、CybExer网络靶场场景

CybExer网络靶场平台的场景仿真在关注点上，重点支撑针对关键基础设施的模拟仿真，当然也支持互联网网络仿真。CybExer网络靶场平台的技术白皮书显示，该平台支持对所有关键基础设施的仿真-包括电力、天然气、石油、电信、市政、智能制造、供热、公共卫生、轨道交通、金融服务等。根据功能，CybExer网络靶场平台可以提供三种主要类型的网络演习功能：

（1）红蓝对抗

（2）CTF夺旗

（3）培训评估

（1）红蓝对抗

类似LOCKED SHIELDS演习，CybExer网络靶场平台的红蓝对抗除了侧重实战化的网络攻防演习外，还特别强调针对红蓝攻防战术进行练习。从蓝队的角度上来说，多个蓝队之间的练习或者演习是蓝队VS蓝队之间的竞争。目标是练习和改进网络事件响应所需的技能和工具。CybExer网络靶场平台通过预置的场景模板和攻防想定剧情来进行红蓝对抗的演习或练习操作。这些预置的场景模板包含了标准IT系统的小型公司到具有复杂网络和特定行业系统（如工业控制系统）的跨领域企业。

图3正在进行的实战演练的示例计分可视化效果展示（蓝队视角）

（2）CTF夺旗

CTF夺旗是个人或团队为完成预设在场景中的既定目标而进行的竞争和比拼。CTF夺旗可用于提供协调、监督的活动，以实现特定的学习或培训目标。

图4 CTF的示例计分可视化效果

（3）培训评估

动态电子学习和风险评估平台（DeLRAP）是基于风险评估的电子培训学习平台，其提供各种电子学习课程和交互式研讨会的集合。该平台可基于网络靶场场景，提供基于培训效能的评估活动，从而可以在同一平台内对培训结果进行评估。CybExer网络靶场平台集成和使用动态电子学习和风险评估平台（DeLRAP）来对培训的人员或团队进行技能水平进行综合评估。对于风险来说，动态电子学习和风险评估平台（DeLRAP）所表达的风险就是进行综合评估，员工可能缺乏某种技能（风险点）。该电子学习和风险评估过程可以并入CybExer网络靶场平台的课堂培训模块中，以提供面对面学习和实质性反馈交流的机会。

图5风险评估的可视化示例

四、CybExer网络靶场数据采集

CybExer网络靶场平台数据采集和可视化软件的核心是集成网络攻防演习计分、效能评估和可视化工具（ISA），该软件能够从各种自动化源中获取数据，以对练习进行自动评分，并提供判断事件状态或态势感知等的报告。

对于自动化服务评估，CybExer网络靶场平台通过部署GameNet Monitoring Agent（GMA）到场景的虚拟机或容器组件中，通过轮询已定义的目标服务（虚拟机或容器等资产），并将可用性（和一致性）信息发送到ISA（网络攻防演习计分、效能评估和可视化工具）。在练习的时候，GameNetMonitoring Agent（GMA）将安装到每个参与者网络（或网段）中。并将通过数据采集将评估所需信息用于评分和可视化。

此外，培训评估也需要使用该GameNet Monitoring Agent（GMA）完成培训操作过程的数据采集。

CybExer网络靶场平台的数据采集方式独特的一点是，其建立以用户配置文件为维度的数据采集存储和处理方式，将所有的数据以用户维度进行预处理和关联，所有的数据都将存储在用户配置文件中，并通过配置文件进行可视化展示计分。这种好处也可将用户的配置文件随时进行回溯、复制和移动。

五、计分、评估和可视化工具（ISA）

靶场计分、评估和可视化工具（ISA）是CybExer网络靶场平台的优势技术，并已获得NCIA数据可视化类别的国防创新奖。通过执行人员视图，可以即时可视化所有靶场导调中的完整攻击活动（无限）、参与者的即时评分、时间轴、个人评分、意识和基准测试。可视化使训练管理体验非常有效。主要体现在该软件可以跟踪训练/演习结果（评分），并在网络训练/演习期间的任何时间点提供情境意识可视化和报告。