Thao trường mạng là gì?

Thật không may, công việc hàng ngày trong lĩnh vực an ninh mạng mang lại rất ít cơ hội để được đào tạo như vậy về công việc.

Thao trường mạng mang đến một giải pháp. Được mô phỏng theo các môi trường vật lý được sử dụng bởi cảnh sát và quân đội, thao trường mạng tạo ra một không gian đào tạo mô phỏng một loạt các sự cố an ninh - để các chuyên gia an ninh mạng có thể thực hành và học cách ứng phó hiệu quả.

Nhiều bang hiện đang xây dựng các thao trường mạng. Bài viết này khám phá cách hoạt động của các thao trường mạng và lý do tại sao các quốc gia sử dụng thao trường mạng để tăng cường các vị thế bảo mật của họ.

Thao trường mạng là gì?

Thao trường mạng là một môi trường công nghệ tương tác, được kiểm soát, nơi các chuyên gia an ninh mạng tiềm năng có thể học cách phát hiện và giảm thiểu các cuộc tấn công mạng bằng cách sử dụng cùng một loại thiết bị mà họ sẽ sử dụng trong công việc. Thao trường mô phỏng các cuộc tấn công tồi tệ nhất có thể xảy ra đối với cơ sở hạ tầng CNTT, mạng, nền tảng phần mềm và ứng dụng. Thiết lập bao gồm công nghệ có thể vận hành và theo dõi tiến trình cũng như hiệu suất của học viên khi họ phát triển và học hỏi thông qua trải nghiệm mô phỏng. Nếu được sử dụng đúng cách một thao trường mạng có thể giúp những người làm công tác an ninh mạng vững tin.

Thao trường này cũng chứa các thành phần quản lý học tập (“Hệ thống quản lý học tập” hoặc LMS). Một nèn tảng LMS cho phép cả giảng viên và học viên đạt được tiến bộ đã được đo lường thông qua một chương trình đào tạo xác định. LMS cũng có thể kết nối với cái được gọi là “lớp điều phối” kết nối các phần cụ thể của chương trình học với các nội dung CNTT cơ bản bao gồm thao trường. Ví dụ: nếu người hướng dẫn muốn mô phỏng một cuộc tấn công có tính năng lọc dữ liệu, lớp điều phối sẽ chuyển các tham số tấn công này sang dữ liệu và các thành phần mạng của thao trường mạng. Sau đó, học viên có thể trải nghiệm cuộc tấn công mô phỏng xâm nhập và áp dụng các kỹ thuật phòng thủ của mình.

Cơ sở hạ tầng cơ bản của thao trường có thể bao gồm mạng, bộ nhớ, máy tính (máy chủ) cũng như bộ chuyển mạch, bộ định tuyến, tường lửa, v.v. Trong một số trường hợp, thao trường được xây dựng bằng nền tảng mã nguồn mở như OpenStack. Lớp ảo hóa giúp giảm dấu vết vật lý của thao trường. Một số thao trường dựa trên một phần hoặc toàn bộ đám mây. "Cơ sở hạ tầng mục tiêu" của thao trường mô phỏng các thiết bị  kỹ thuật số thực tế có thể bị tấn công mạng. Mục tiêu có thể bao gồm các sản phẩm thương mại trong “thế giới thực”, ví dụ: Microsoft Windows Server. Độ chính xác như vậy rất quan trọng, vì nó cho phép người hướng dẫn đánh giá xem học viên đã thành thạo các kỹ năng cần thiết để đẩy lùi một cuộc tấn công thực sự hay chưa. Các giảng viên sau đó có thể cung cấp phản hồi trong thời gian thực.

Ngoài đào tạo, thao trường mạng còn hữu ích cho những ai muốn thử nghiệm các công nghệ phòng thủ mạng mới. Họ có thể sử dụng thao trường này như một nơi an toàn để giải quyết các vấn đề mạng phức tạp. Họ có thể thử nghiệm các ý tưởng mới và xem cách các nhóm tương tác với các giải pháp an ninh mạng mới nổi.

Các động lực phát triển thao trường mạng

Có nhiều trình điều khiển khác nhau của việc tạo thao trường mạng. Một điều cần lưu ý là không ai trở nên hoàn toàn đủ năng lực về phòng thủ mạng khi chỉ tham gia lớp học. Người vận hành cần được thực hành. Tuy nhiên, thế giới thực không thích hợp cho loại hình đào tạo này. Việc cho phép các học viên học các kỹ năng mạng trên các hệ thống sản xuất và dữ liệu thực là quá rủi ro. Ngoài ra, khả năng xảy ra sự cố có thể sửa đổi được trong lịch trình phù hợp với chương trình đào tạo là rất thấp. Trên thực tế, có thể mất hàng tháng trời mới có một cuộc tấn công mạng lớn - nhưng khi nó xảy ra, điều cần thiết là phải luôn sẵn sàng. Do đó, thao trường là rất cần thiết.

Thiếu các chuyên gia an ninh mạng được đào tạo bài bản

Lý do số một khiến các thao trường mạng ngày càng trở nên phổ biến và tinh vi là do không có nơi nào có đủ nhân viên an ninh mạng được đào tạo để đáp ứng nhu cầu. Theo một nghiên cứu năm 2019 của Trung tâm Nghiên cứu Chiến lược & Quốc tế (CSIS), 82% người sử dụng lao động đang báo cáo sự thiếu hụt lực lượng lao động có kỹ năng an ninh mạng. 71% tin rằng khoảng cách thiếu hụt này dẫn đến thiệt hại trực tiếp và có thể đo lường được cho tổ chức của họ.

Một nỗ lực nghiên cứu khác của Tổ chức Sáng kiến ​​Quốc gia về Giáo dục An ninh Mạng (NICE) tiết lộ rằng Hoa Kỳ đang thiếu hơn 300.000 chuyên gia về an ninh mạng. Trên toàn thế giới, số lượng vị trí an ninh mạng đang cần là gần 2 triệu. BankInfoSecurity.com đã công bố nghiên cứu dự đoán rằng việc làm trong lĩnh vực an ninh mạng phải tăng hơn 40% ở Mỹ và 89% trên toàn thế giới để lấp đầy khoảng trống nhân tài.

Sự phát triển của các vectơ tấn công tiên tiến, không ngừng phát triển

Khi khoảng cách về nhân tài ngày càng tăng, mối đe dọa ngày càng trở nên nghiêm trọng hơn. Bất cứ ai theo dõi tin tức trong những năm gần đây sẽ thấy sự gia tăng đáng kể về các vụ vi phạm dữ liệu và các cuộc tấn công trắng trợn - bao gồm cả sự xâm nhập gây sốc của các cơ quan chính phủ Hoa Kỳ thông qua cuộc tấn công chuỗi cung ứng Solar Winds. Hầu hết mọi tổ chức doanh nghiệp và khu vực công ở Mỹ đều đang phải đối mặt với các cuộc tấn công từ các tổ chức nhà nước quốc gia. Tiền chuộc chưa bao giờ cao hơn thế.

Cần đào tạo mô phỏng các kiểu tấn công khác nhau

Các cuộc tấn công cũng trở nên đa dạng và nhiều sắc thái hơn. Các chuyên gia mạng cần được đào tạo về môi trường công nghệ hoàn chỉnh nếu họ muốn có cơ hội bảo vệ các thiết bị kỹ thuật số nhạy cảm khỏi các mối đe dọa dai dẳng nâng cao (APT) và các vectơ tấn công tinh vi khác. Chúng bao gồm lừa đảo trực tuyến, từ chối dịch vụ phân tán (DDoS), tấn công bot, tấn công API và hơn thế nữa. Trong nhiều trường hợp, việc phát hiện cuộc tấn công đòi hỏi phải học cách phát hiện những điểm bất thường dường như rất nhỏ trong hành vi mạng và nhật ký thiết bị. Tất cả những điều này cần được đào tạo chuyên sâu và kiểm tra cá nhân để xác định năng lực.

Luôn sẵn sàng

Cuối cùng, nhu cầu đào tạo và nhân sự có khả năng được giải quyết bởi các thao trường mạng là để đạt được trạng thái sẵn sàng cao cho phòng thủ mạng. Không thể chờ đợi cho đến khi mối đe dọa trở nên gay gắt hơn để bắt đầu tuyển dụng và đào tạo các chuyên gia an ninh mạng. Điều này phải được tiến hành ngay bây giờ, phù hợp với nguy cơ gia tăng xảy ra trong mạng trên toàn thế giới.

Các kế hoạch ứng phó sự cố cần được kiểm tra

Tuy nhiên, sự sẵn sàng không chỉ là việc lấp đầy những vị trí cần thiết. Sẵn sàng bảo vệ thiết bị kỹ thuật số có nghĩa là chứng minh rằng một hoạt động an ninh mạng có thể ứng phó với các sự cố. Thao trường mạng cung cấp một môi trường nơi các chuyên gia an ninh mạng có thể chứng tỏ rằng họ biết cách thực hiện các kế hoạch ứng phó sự cố. Điều này có thể liên quan đến việc học từ các “sách vở” ứng phó sự cố đã thiết lập để chỉ ra cách phản ứng với các mối đe dọa khác nhau.

Các cuộc tấn công khác nhau đảm bảo các phản ứng khác nhau. Cách một trung tâm hoạt động bảo mật (SOC) phản ứng với một cuộc tấn công lừa đảo sẽ khác với cách nó đối phó với DDoS, v.v. Trên thao trường mạng, học viên có thể trải qua các quy trình phản ứng và chứng thực khả năng xử lý nhiều loại tấn công khác nhau.

Ví dụ về thao trường mạng đang được sử dụng ngày nay

Nhiều tổ chức đang xây dựng thao trường mạng cho một số trường hợp sử dụng khác nhau, bao gồm các tổ chức giáo dục đang cung cấp chương trình giảng dạy về an ninh mạng. Các chương trình đào tạo bảo mật doanh nghiệp là những người sử dụng chính trong thao trường mạng. Một số sử dụng thao trường để kiểm tra việc thuê nhân viên bảo mật mạng tiềm năng. Những người khác vẫn đang thử nghiệm các úng dụng mới trên thao trường mạng.

Một số ví dụ đáng chú ý về thao trường mạng đang được sử dụng ngày nay bao gồm:

Các thao trường mạng phòng thủ / tình báo - Cũng giống như quân đội xây dựng các thao trường đào tạo cho ngành Chế tạo đại bác (gunnery), hàng không, v.v., họ tạo ra các thao trường mạng để đào tạo các chiến binh mạng. Ví dụ, Lực lượng Không quân Hoa Kỳ điều hành Mạng lưới Tập trận Huấn luyện Giả lập (SIMTEX), còn được gọi là “Black Demon”. Cơ quan Dự án Nghiên cứu Nâng cao Quốc phòng (DARPA) có Thao trường mạng Quốc gia (NCR), trong số những cơ quan khác.

Nghiên cứu / giáo dục - Các trường đại học tạo ra thao trường mạng để tiến hành nghiên cứu về bảo mật, công nghệ và tương tác giữa người và máy, trong số nhiều trường hợp sử dụng. Ví dụ, Đại học Illinois đã phát triển cái mà họ gọi là Môi trường mô phỏng mạng trong thời gian thực (RINSE) vào năm 2006. Nó được sử dụng hầu hết cho đào tạo. Một ví dụ khác là phòng thí nghiệm Chiến tranh Thông tin của West Point (IWAR).

Công nghiệp / thương mại - Một số  thao trường mạng được tạo ra để kiểm tra các sản phẩm thương mại, chẳng hạn như máy chủ, chống lại các tác nhân độc hại. Đó là công việc của Trung tâm Chỉ huy Lực lượng X của IBM, đặt tên cho một  thao trường như vậy. Nó là một trình mô phỏng cho phép người kiểm tra xem các hệ thống sẽ chống lại các cuộc tấn công của phần mềm độc hại như thế nào.

Lưới điện thông minh - Lưới điện là một mục tiêu quan trọng cho các tác nhân độc hại đến nỗi ngành công nghiệp tiện ích đã đầu tư vào việc xây dựng các thao trường mạng cho môi trường mạng và CNTT độc đáo của họ. Các  thao trường này có thể mô phỏng các mạng điện được kết nối với nhau bao gồm lưới điện. Họ cũng điều hành các hệ thống Kiểm soát Giám sát và Thu thập Dữ liệu (SCADA) phổ biến trong ngành điện.

Internet of Things (IoT) - IoT đang phát triển nhanh chóng đại diện cho một cuộc tấn công mới. Nhiều thiết bị IoT thiếu các tính năng bảo mật vốn có, vì vậy điều cần thiết là phải có các nhà khai thác bảo mật có kinh nghiệm làm việc để bảo vệ họ. Thao trường mạng tạo điều kiện cho IoT phải mô phỏng số lượng lớn thiết bị và môi trường phân tán, không có vành đai mà chúng được triển khai.

Tại sao các bang đang phát triển thao trường mạng?

Một số bang của Hoa Kỳ đang xây dựng các thao trường mạng của riêng họ. Có nhiều  lý do khác nhau, nhưng ngoài kích thích kinh tế, vốn là một lợi ích phụ, các thao trường mạng giúp các quốc gia đào tạo mọi người trong việc bảo vệ thiết bị kỹ thuật số dễ bị tấn công của chính họ. Thật vậy, các bang đã phải gánh chịu rất nhiều thiệt hại do các cuộc tấn công bằng mã độc tống tiền (ransomware) và các mối đe dọa khác trong những năm gần đây. Các thao trường cũng giúp thu hút nhân tài làm việc cho các chính phủ tiểu bang, vốn có thể gặp khó khăn khi cạnh tranh với ngành tư nhân khi tuyển dụng nhân viên an ninh. Các bang đã xây dựng thao trường mạng bao gồm Florida, Arizona, Michigan, Georgia, Arkansas và Virginia.

Georgia đưa ra một ví dụ điển hình. Vào năm 2017, tiểu bang đã bắt đầu xây dựng một cơ sở an ninh mạng trị giá 35 triệu đô la, bao gồm một thao trường mạng. Theo Thống đốc Nathan Deal khi đó, người đã công bố dự án, bảo vệ mạng cho người dân, doanh nghiệp và các tổ chức chính phủ của Georgia là “mối quan tâm hàng đầu”. Theo GovTech.com, thao trường mạng sẽ có sẵn, cũng như trực tiếp cung cấp khả năng kiểm tra công nghệ, đánh giá lỗ hổng kỹ năng trong nhân viên và cho phép sinh viên đào tạo trong một môi trường an toàn.

Michigan cũng đã tạo ra thao trường mạng của riêng mình, được thiết lập cho các mục đích giáo dục, thử nghiệm và đào tạo về an ninh mạng. Michigan Cyber ​​Range (MCR) cũng được sử dụng để nghiên cứu bảo mật cho các hệ thống điều khiển công nghiệp mới. Nó hoạt động như một đám mây riêng chưa được phân loại với các máy chủ ảo chạy trên mạng cáp quang. Nó có bốn địa điểm thực tế trên khắp Michigan, tất cả đều ở các địa điểm của trường đại học.

Tầm nhìn về MCR đến từ một cựu giáo sư West Point, người đã đóng góp vào việc tạo ra chương trình an ninh mạng của Học viện Quân sự Hoa Kỳ. Ông đã được mời tham gia bởi một vị tướng từ Vệ binh Quốc gia Michigan. Các cựu thành viên khác của quân đội đã tham gia điều hành MCR và thiết kế các chương trình của nó. MCR điều hành một địa điểm kết hợp với Vệ binh Quốc gia Michigan.

Môi trường ảo của MCR mô phỏng các hệ thống thường được tìm thấy trong chính quyền thành phố, công ty điện lực hoặc cơ quan thực thi pháp luật. Nhiều tổ chức khác nhau tận dụng lợi thế của môi trường này, bao gồm Hiệp hội An ninh mạng Tây Michigan (WMCSC), thực hiện các bài tập phối hợp đội đỏ / đội xanh trong một cuộc tấn công mô phỏng vào một đô thị. MCR cũng làm việc với một nhà cung cấp chứng chỉ và khóa học an ninh mạng được NSA công nhận.

Trong nhiều năm, việc cung cấp khóa học phổ biến nhất là lớp Sĩ quan An ninh Hệ thống Thông tin (Systems Security Officer) được Chứng nhận, một chương trình kéo dài 5 ngày, kéo dài 40 giờ. Một số khóa học tận dụng lợi thế của thành phố mô phỏng “Alphaville” của MCR, nơi có thị trấn ảo với thư viện, trường học và tòa thị chính. Mỗi trang web được mô phỏng của Alphaville đều có mạng, hệ điều hành riêng, v.v.

Tương lai của các thao trường mạng

An ninh mạng, chưa bao giờ là dễ dàng, đang trở nên thách thức và nghiêm trọng hơn. Các tổ chức, từ các tập đoàn cho đến các chính quyền tiểu bang, đang phải vật lộn để tìm và đào tạo những nhân viên có thể kích hoạt một hệ thống phòng thủ an ninh mạng mạnh mẽ. Để khắc phục khoảng cách tài năng này, họ đang sử dụng thao trường mạng để đào tạo và kiểm tra nhân viên tiềm năng. Do đó, thao trường mạng đang phát triển.

Ngoài giáo dục và đào tạo, thao trường mạng đóng một vai trò quan trọng trong nghiên cứu an ninh mạng và phát triển các sản phẩm bảo mật mới. Khi bối cảnh an ninh mạng tiếp tục phát triển theo những cách thức ngày càng đe dọa hơn,thao trường mạng sẽ có vai trò nhất định trong việc chuẩn bị cho các chuyên gia mạng sẵn sàng bảo vệ an ninh mạng.