Giải Pháp Thao Trường An Ninh Mạng – Cybexer

Giải Pháp Thao Trường An Ninh Mạng – Cybexer

1.     Giới thiệu về giải pháp

Giải pháp Thao Trường An Ninh Mạng là giải pháp nền tảng mô phỏng và đào tạo không gian mạng siêu thực tế, cho phép các tổ chức cấp cao thành lập và quản lý các trung tâm đào tạo về an ninh mạng. Nền tảng này cho phép các tổ chức mô phỏng mạng, lưu lượng truy cập và các kịch bản tấn công, đào tạo và kiểm tra con người, quy trình và công nghệ trong một môi trường an toàn và có thể kiểm soát được.

Hình 1.1: Phương pháp tiếp cận mô phỏng siêu thực tế của Giải pháp Thao Trường an ninh mạng

Giải pháp sẽ cung cấp cơ sở hạ tầng để đào tạo các cá nhân cũng như các tổ chức lớn và nhỏ trong môi trường SOC ảo bao gồm mạng cấp công ty ảo, các cuộc tấn công trong thế giới thực, lưu lượng truy cập lành tính và các công cụ được cấp phép thương mại để giảm thiểu các cuộc tấn công. Các buổi đào tạo có thể được điều hành bởi một hướng dẫn viên hoặc do học viên thực hiện (tự đào tạo). Nền tảng này giúp tăng cường trình độ, giảm thời gian chứng nhận và giúp tạo ra đội ngũ nhân viên hoạt động tốt hơn.

Thao Trường cho phép mô phỏng mạng, lưu lượng và các mối đe dọa trên máy ảo. Môi trường mô phỏng được đưa vào với lưu lượng truy cập, mô phỏng hoạt động điển hình như email của người dùng, lướt web và giao tiếp máy chủ. Ngoài ra, các kịch bản tấn công trong đời thực được đưa vào môi trường, sử dụng thư viện kịch bản tấn công được cấu hình trước của giải pháp cũng như các kịch bản được xây dựng tùy chỉnh.

Các học viên được cung cấp thông tin phản hồi theo thời gian thực thông qua một quá trình gồm các cột mốc, mục tiêu, câu đố và các bước khi họ thực hành phát hiện và phản ứng với các sự kiện mạng.

Phiên đào tạo được ghi lại và ghi lại trên một dòng thời gian, sau đó sẽ được phát lại và xem xét trong một phiên thảo luận. Các kỹ năng và năng lực của học viên được đánh giá để tham khảo và đào tạo thêm. Mỗi phiên có thể được quay lại và lặp lại.

Giải pháp Thao Trường cũng cung cấp môi trường IT và mô phỏng mạng OT tùy chọn với phần cứng OT vật lý, đồng thời hỗ trợ cả các tình huống giả định cho cá nhân và tổ chức. Sử dụng thiết kế trực quan để xây dựng các mạng và kịch bản tấn công mới cũng như để điều chỉnh các kịch bản hiện có để đáp ứng bối cảnh mối đe dọa mạng luôn thay đổi liên tục.

2.     Cấu trúc giải pháp

Hình 2.1: Cấu trúc giải pháp nâng cao

Để đảm bảo tính hiệu quả của các buổi đào tạo, giải pháp Thao Trường an ninh mạng cấu thành từ các thành phần như sau:

2.1. Ứng dụng đào tạo và đánh giá tự động

Giải pháp được tích hợp sẵn Hệ thống Quản lý Đào tạo (TMS – Training Management System) cho phép hướng dẫn viên dễ dàng thiết lập, chạy và thực hiện một buổi đào tạo cho các học viên. Ứng dụng dành cho hướng dẫn viên là một ứng dụng phong phú cung cấp các khả năng cần thiết để tiến hành một khóa đào tạo trong đời thực: giám sát thời gian thực của các trạm của học viên, thiết lập một cuộc tấn công hoặc thêm lưu lượng truy cập lành tính, đánh giá học viên, ghi lại tất cả các trạm của học viên trong quá trình đào tạo, lịch sử đào tạo, báo cáo,..

Ngoài ra, nền tảng bao gồm một mô-đun đánh giá tự động hữu ích giúp giảm công việc từ hướng dẫn viên trong suốt phiên đào tạo. Trong trường hợp khóa đào tạo được định cấu hình để chạy ở chế độ tự đào tạo (do học viên tự vận hành), giải pháp có thể cung cấp cho học viên các gợi ý hoặc giải pháp ngắn gọn trong trường hợp cần thiết.

Giải pháp Thao Trường an ninh mạng cung cấp đầy đủ các tài liệu kỹ thuật bao gồm cả tài liệu hướng dẫn vận hành và hướng dẫn giải pháp ngăn chặn tấn công giúp mô tả, trợ giúp hướng dẫn viên thiết lập một phiên đào tạo và xác định năng lực của học viên để thiết kế các bài đào tạo phù hợp với trình độ nhằm có được một buổi đào tạo hiệu quả

2.2 Công cụ vận hành an ninh mạng ( Virtualized SOC)

Virtualized SOC là một tập hợp các công cụ thương mại tốt nhất trong lớp để phát hiện và ngăn chặn các Cuộc tấn công mạng. Các công cụ thương mại được cung cấp để các học viên có thể học cách quản lý hiệu quả các công cụ mà họ sử dụng hàng ngày. Nền tảng này cũng bao gồm các máy trạm của học viên cuối kết nối với các công cụ đó và có thể kết nối với các phần tử của mạng bị tấn công.

Bộ công cụ phụ thuộc vào hệ thống mạng được sử dụng cho một tình huống cụ thể nhưng thường bao gồm ít nhất một công cụ từ một số danh mục dưới đây:

• Firewall: Palo Alto, CheckPoint
• Endpoints Security: McAfee, Symatec và Cyberbit
• SIEM: Splunk, IBM Qradar, MicroFocus Ácight
• OT Security
• Các công cụ công nghệ thông tin phổ thông

Lưu ý: các công cụ cung cấp trong giải pháp đều dưới dạng ảo hóa.

2.3 Hạ tầng mạng ảo hóa:

Cốt lõi của giải pháp là các mạng ảo hóa có thể được sử dụng để mô phỏng bất kỳ loại mạng nào của người dùng, từ Mạng CNTT điển hình đến Mạng Ngân hàng, Mạng Bảo mật Quân đội, Mạng ICS,…

Giải pháp đã tích hợp sẵn một thư viện lưu trữ các topo mạng ngoại vi điển hình chứa cả các máy chủ và thiết bị đầu cuối CNTT doanh nghiệp cũng như các công cụ mạng và bảo mật hàng đầu trên thị trường. Các tổ chức có thể sử dụng các mạng này nguyên trạng hoặc tùy chỉnh và xây dựng các mạng mới.

Các thành phần của hệ thống hạ tầng mạng của giải pháp được dựa vào các máy ảo và yếu tố vật lí được cài đặt sẵn. Các giao diện vật lí và các máy ảo được lưu tại kho lưu trữ tập trung và hoạt động dưới một khuôn mẫu có sẵn để phục vụ cho quá trình đào tạo. Mô-đun quản trị mạng tích hợp sẵn phục vụ cho việc thiết lập, tái thiết lập và sao chép các hệ thống mạng đào tạo.

Với việc sử dụng hạ tầng mạng ảo hóa và cho phép sao chép ( cloning) các topo mạng. Giải pháp Thao Trường an ninh mạng sẽ cho phép mô phỏng tấn công gây ra thiết hại thực cho hệ thống mạng. Điều này cho phép các học viên có thể biết được cuộc tấn công trong thực tế sẽ diễn ra như thế nào và mang lại hậu quả như thế nào. Và triển khai mạng ảo hóa có thể đảm bảo rằng, quản trị viên, học viên có thể dễ dàng xóa bỏ các thiệt hại và khôi phục mạng về trạng thái ban đầu trong khoảng thời gian rất ngắn.

Ngoài ra, giải pháp được tích hợp sẵn các vùng, phân vụng mạng được cấu hình sẵn để phục vụ đào tạo cho một phân vùng cụ thể. Các phân vùng mạng chính bao gồm”

• Vùng internet (mô phỏng các dịch vụ Web phổ biến như webmail, trang web và các dịch vụ khác)
• Vùng bảo mật
• Vụng DMZ
• Vùng Domain
• Vùng VPN
• Một số mạng con với máy chủ, cơ sở dữ liệu và trạm người dùng

Ngoài các mạng dựa trên IP, giải pháp bao gồm các phần của mạng SCADA như bộ điều khiển MODBUS vật lý và các thành phần SCADA khác để mô phỏng các mạng phức tạp của các vị trí cơ sở hạ tầng quan trọng và các công cụ bảo mật mạng tiêu chuẩn, chẳng hạn như tường lửa, bộ định tuyến, Hệ thống quản lý mạng (NMS), phần mềm chống vi-rút, SIEM và các công cụ khác, đảm bảo mô phỏng đúng nhất môi trường thực.

Hình 2.2: Cấu hình tạo lưu lượng mạng

2.4 Máy chủ tấn công:

Máy chủ tấn công là một máy tính tấn công tự động, có nhiệm vụ thực hiện các tình huống tấn công và chèn phần mềm độc hại vào mạng. Trình tạo tự động hoạt động từ các phân vùng mạng khác nhau phụ thuộc vào cấu hình của kịch bản.

Máy tính sẽ tự động triển khai tấn công toàn bộ sau khi được kích hoạt trong phần mềm ứng dụng đào tạo bởi hướng dẫn viên. Máy chủ tấn công có thể thực hiện được các cuộc tấn cùng từ các khu vực khác nhau của hệ thống:

• External ( Phân vùng Internet): Giả lập tấn công từ ngoài mạng vào
• Internal ( Phân vùng người dùng): Giả lập tấn công từ phân vùng nội bộ.

2.5 Kịch bản tấn công:

Giải pháp Thao Trường an ninh mạng cung cấp sẵn các gói kịch bản có sẵn cho nhiều chuyên ngành an ninh mạng khác nhau. Ngoài các gói này, tổ chức có thể xây dựng các kịch bản tấn công mới hoặc tùy chỉnh các kịch bản hiện có bằng cách sử dụng công cụ trình tạo kịch bản được tích hợp sẵn.

Trong các gói kịch bản tấn công, hướng dẫn viên có thể tùy chỉnh và điều chỉnh mức độ khó bằng cách thay đổi một số thông số kịch bản, dễ dàng điều chỉnh mức độ phức tạp của kịch bản cho phù hợp với trình độ kỹ năng của học viên. Ví dụ về các tham số có thể định cấu hình:

• Bật hoặc tắt các cảnh báo tấn công trên các công cụ bảo mật
• Xóa các log trong quá trình tấn công
• Kiểm soát tốc độ tấn công
• Thay đổi địa chỉ IP của tin tặc trong các giai đoạn của cuộc tấn công
• Script tùy chỉnh – tích hợp các script tấn công mà người dùng tạo để truyền các cuộc tấn công chuyên biệt vào luồng tấn công theo kịch bản.

Các kịch bản tấn công mô phỏng một loạt các mối đe dọa tự động và lặp lại, chẳng hạn như sâu, Trojan, vi rút, botnet, DDOS, v.v. Các kịch bản cũng có nhiều phương thức lây nhiễm khác nhau, phản ánh thiệt hại về mạng như tính toàn vẹn của dữ liệu, tính khả dụng của dịch vụ và mất tính bảo mật.

2.6 Máy chủ tạo lưu lượng dữ liệu (Traffic Generator):

Máy chủ tạo lưu lượng nâng cao được tích hợp bên trong giải pháp cho phép hướng dẫn viên tạo ra luồng lưu lượng dữ liệu cụ thể cho hệ thống mạng đào tạo nhằm giả lập lưu lượng dữ liệu ngoài đời thực và tạo ra tính ngẫu nhiên của cuộc tấn công. Luồng lưu lượng được tạo ra có thể bao gồm: lưu lượng web, FTP request, xác thực người dùng và các hoạt động khác thể hiện lưu lượng mạng thực (HTTP, HTTPS, FTP, POP3, SMTP, SSH vv.). Hướng dẫn viên có thể cấu hình các thông số lưu lượng khác nhau như:

• Địa chỉ nguồn và đích của các lưu lượng được tạo
• Loại lưu lượng và giao thức
• Thời gian tồn tại của lưu lượng dữ liệu
• Định lượng lưu lượng dữ liệu – bằng cách cho phép tạo các nhóm luồng lưu lượng

Với việc có thể kiểm soát được lưu lượng, hướng dẫn viên kiểm soát số lượng cảnh báo dương tính giả (false Positive) được kích hoạt trong các công cụ an ninh mà học viên sử dụng trong suốt quá trình đào tạo.

2.7 Đào tạo từ xa

Giải pháp Thao Trường an ninh mạng bao gồm tùy chọn tổ chức các buổi đào tạo trực tuyến cho phép sinh viên / học viên và hướng dẫn viên tham gia từ nhiều địa điểm khác nhau. Các sinh viên có thể kết nối từ xa và đào tạo theo nhóm hoặc tham gia đào tạo cá nhân (tùy thuộc vào kịch bản đã chọn). Mô-đun đào tạo trực tuyến cho phép sinh viên kết nối từ máy tính xách tay cá nhân của họ thông qua trình duyệt mà không cần tải ứng dụng từ xa về thiết bị của họ trước khi bắt đầu khóa đào tạo.

Việc triển khai giải pháp Thao Trường an ninh mạng có thể hỗ trợ đồng thời cả chế độ đào tạo tại chỗ và từ xa cho phép mang lại trải nghiệm đào tạo linh hoạt.

Hình 2.3: Giao diện trung tâm đào tạo an ninh mạng từ xa

2.8 Tính cách ly độc lập của giải pháp ( Air gap)

Tất cả các kết nối với hệ thống được thực hiện thông qua một kết nối an toàn ở chế độ Remote Desktop RDP. Do đó, các thiết bị bên ngoài Thao Trường không thiết lập bất kỳ kết nối trực tiếp nào đến các trạm đào tạo hoặc mạng mô phỏng. Kết nối này không cho phép chia sẻ khay nhớ tạm, chia sẻ ổ đĩa hoặc bất kỳ ánh xạ thiết bị nào.

Các kết nối vào hệ thống Thao Trường có thể được thực hiện bằng liên kết cục bộ lớp 3 hoặc thông qua internet. Hoặc để hạn chế hơn nữa các kết nối tới hệ thống, kết nối tới Thao Trường có thể được định cấu hình để chỉ chấp nhận đăng nhập từ một địa chỉ IP cụ thể.

Hệ thống Thao Trường chỉ có thể được vận hành như một hệ thống độc lập. Người dùng không thể kết nối hệ thống của Thao Trường với bất kỳ mạng hoặc môi trường bên ngoài nào, ngoại trừ các kết nối nói trên. Hệ thống cũng không cho phép tải xuống hoặc xuất bất kỳ loại tệp nào từ môi trường Phạm vi sang nguồn bên ngoài. Bất kỳ kết nối bất hợp pháp nào hoặc bất kỳ kết nối nào ngoài các kết nối đã đề cập ở trên, hoặc bất kỳ tải xuống nào, hoàn toàn bị ngăn chặn.

Hình 2.4: Mô hình kết nối độc lập của giải pháp

3.     Quy trình đào tạo

Thao Trường an ninh mạng Cyber Range là một giải pháp đào tạo toàn diện phải bao gồm ba giai đoạn đào tạo chính và các mô-đun trợ năng để thực hiện các giai đoạn này. Tất cả các học phần đào tạo được quản lý bởi Hệ thống Quản lý Đào tạo (TMS).

Giai đoạn Một: Xây dựng phiên đào tạo

Hướng dẫn viên có thể chọn bắt đầu khóa đào tạo từ một trong các hạng mục đào tạo được đề xuất hoặc theo loại hình đào tạo

Hình 3.1: Giao diện hướng dẫn viên

Các loại hình đào tạo bao gồm:

Đào tạo Blue team: Học viên được đào tạo bảo vệ mạng trước các tình huống tấn công.

Đào tạo Red team: Học viên được đào tạo đột nhập, tấn công vào mạng để thăm dò lỗ hổng bảo mật của hệ thống

War game: Các đội Red và Blue thi đấu giả lập tấn công tự do. Nhiệm vụ của Blue là bảo vệ trong khi nhiệm vụ của Red là thâm nhập vào hệ thống mạng.

Giai đoạn Hai: Triển khai đào tạo

Hướng dẫn viên bắt đầu đào tạo, triển khai trực tuyến các cuộc tấn công mô phỏng và lưu lượng truy cập vào mạng mô phỏng.

Các sinh viên hoặc học viên được yêu cầu thực hiện tất cả các hành động cần thiết để chống lại cuộc tấn công giống như trong một cuộc tấn công trong thế giới thực bao gồm phát hiện, phản ứng và giảm thiểu tác động các cuộc tấn công

Trong một buổi đào tạo có hướng dẫn, hướng dẫn viên theo dõi màn hình của học viên trong thời gian thực, cung cấp hướng dẫn và phản hồi cho nhóm theo các chỉ số đánh giá trên cho từng tình huống tấn công. Trong một buổi tự đào tạo, học viên sẽ bắt đầu khóa đào tạo mà không có hướng dẫn viên, thực hiện tất cả các nhiệm vụ và bước liên quan để phát hiện, ứng phó và giảm thiểu một cuộc tấn công. Nếu học viên không chắc chắn về các bước tiếp theo trong buổi học, giải pháp có thể cung cấp các gợi ý và hướng dẫn hỗ trợ cho học viên thực hiện nhiệm vụ.

Giai đoạn Ba: Tổng kết

Hướng dẫn viên thực hiện tổng kết kết quả cho học viên bằng cách xem lại hoạt động của họ trong buổi đào tạo, phân tích cách thức cuộc tấn công tiến triển và học viên phản ứng trong khi thực hiện các hành động cụ thể. Buổi đào tạo kết thúc với phản hồi của cá nhân và nhóm, tóm tắt các bài học kinh nghiệm, các lĩnh vực được đề xuất để cải thiện và lên lịch cho buổi đào tạo tiếp theo để tiếp tục xây dựng kỹ năng.

Các thành phần phụ trợ cho quy trình đào tạo bao gồm:

3.1. Hệ thống quản lý đào tạo (TMS)

Hướng dẫn viên thực hiện cấu hình, chạy và thực hiện các phân tích, tổng kết về một buổi đào tạo và phân tích hiệu suất của các học viên bằng Hệ thống Quản lý Đào tạo. Quy trình sau đây trình bày một số công cụ TMS chính được hướng dẫn viên sử dụng trong một buổi đào tạo

Cấu hình đào tạo

Hướng dẫn viên có thể chọn cấu hình đào tạo mong muốn theo chuyên ngành an ninh mạng hoặc theo loại hình đào tạo. Hầu hết các tình huống có thể được thực hiện ở chế độ tự đào tạo, học viên có thể tự thực hiện các tình huống. Hướng dẫn viên có thể quyết định cho phép học viên thực hiện bài tập này ở chế độ tự đào tạo hay đào tạo có hướng dẫn viên.

Hình 3.2: Giao diện lựa chọn kịch bản tấn công

Hướng dẫn viên chọn những người tham gia cho buổi đào tạo và phân bổ mỗi học viên đến một trạm. Hoặc có thể sử dụng chức năng ‘Tự động tùy chọn ‘để hệ thống phân bổ ngẫu nhiên các trạm.

Hình 3.3: Mô hình mạng được triển khai trong giải pháp

Hình 3.4: Phần công học viên tại các trạm khác nhau

Thực hiện, Kiểm soát và Giám sát Đào tạo

Màn hình giám sát

Buổi đào tạo được thực hiện bằng cách sử dụng màn hình giám sát mở ra sau khi hoàn thành thiết lập đào tạo. Hướng dẫn viên bắt đầu khóa đào tạo, chạy các tình huống, kiểm soát lưu lượng truy cập mô phỏng được đưa vào, đặt lại mạng giữa các tình huống để có một mạng sạch để chạy và hơn thế nữa.

Trong suốt quá trình đào tạo, tất cả các màn hình của học viên đang được chụp và ghi lại, cho phép hướng dẫn viên xem tất cả các hoạt động của học viên, đánh dấu các mục tiêu đã đạt được ngoài mô-đun tự động đánh giá và đánh dấu các điểm cụ thể trong thời gian các hành động được thực hiện để đánh giá như một phần của phiên phỏng vấn. Lịch trình đào tạo theo dõi các hoạt động đào tạo, các bước kịch bản, sự kiện mạng và thành tích của học viên.

Hình 3.5: Giao diện màn hình giám sát

Chế độ tự đào tạo

Trong một buổi tự đào tạo, sinh viên hoặc học viên có thể tự bắt đầu bài huấn luyện của mình mà không cần sự trợ giúp của hướng dẫn viên. Học viên hoặc học viên nhận được một liên kết kết nối đến trạm được phân bổ trước và nên kết nối trạm vào thời gian được thiết lập để đào tạo. Ứng dụng này bao gồm tất cả các công cụ mà sinh viên hoặc học viên yêu cầu để hoàn thành khóa đào tạo: thông tin cơ bản về bài tập đã chọn, video trợ giúp giải thích cách sử dụng ứng dụng và tất cả thông tin mạng ảo hóa bao gồm thông tin đăng nhập và liên kết truy cập nhanh, v.v. Ngoài ra, giải pháp còn cho phép sinh viên hoặc học viên nhận phản hồi về tiến độ đào tạo dựa trên độ chính xác của cuộc điều tra.

Học viên hoặc học viên có thể quyết định yêu cầu trợ giúp (gợi ý hoặc tóm tắt giải pháp) và nhận các phương pháp hay nhất để giải quyết bài tập đào tạo. Các yêu cầu trợ giúp sẽ được ghi lại trên báo cáo đào tạo để đảm bảo người đào tạo có thể giải thích được khoảng cách về kỹ năng hoặc kiến ​​thức mà học viên hoặc học viên thể hiện.

Hình 3.6: Giao diện gợi ý cho học viên trong chế độ tự đào tạo

Đánh giá tự động

Hệ thống Thao Trường đánh giá các học viên dựa vào các kỹ năng và kiến ​​thức mà học viên thể hiện trong một buổi đào tạo. Công cụ Đánh giá cho phép một số mục tiêu hoặc bước được tự động đánh dấu là hoàn thành trong buổi đào tạo trong khi những mục tiêu khác được hướng dẫn viên đánh dấu là hoàn thành thủ công. Đánh giá tự động loại bỏ một phần công việc đáng kể khỏi người huấn luyện và cho phép người huấn luyện hỗ trợ nhiều hoạt động song song đồng thời giảm sự phụ thuộc của học viên vào người huấn luyện.

Hình 3.7: Giao diện giám sát trong quá trình tấn công

Công cụ tương tác:

Giải pháp Thao Trường an ninh mạng có một nền tảng cho phép giao tiếp giữa các học viên và huấn luyện viên. Nền tảng này cho phép giao tiếp giữa các nhân viên của phòng SOC, điều hành, phân tích viên, v.v. Sinh viên hoặc thực tập sinh có thể chia sẻ thông tin chi tiết, ảnh chụp màn hình và tin nhắn cho hướng dẫn viên và các sinh viên hoặc thực tập sinh khác. Sinh viên hoặc học viên và huấn luyện viên có thể gửi tin nhắn trực tiếp cho nhau liên quan đến tin nhắn cá nhân, các vấn đề kỹ thuật và hơn thế nữa. Hướng dẫn viên có thể sử dụng sự công cụ tương tác để thêm nhận xét, đề cập đến học sinh và mở một kênh mới cho mỗi chủ đề. Ví dụ: #FW_configuration, #Malware_analysis, #invesgation_general, #prevention_methods, v.v.

Hình 3.8: Giao diện tương tác giữa các học viên

Công cụ ghi lại buổi đào tạo:

Các học hiên có thể ghi lại quá trình đào tạo của mình trong buổi đào tạo huấn luyện. Sau khi hướng dẫn viên dừng phiên đào tạo, các bản record phiên đào tạo được lưu lại và có thể xem lại bất kỳ lúc nào. Hướng dẫn viên có thể xem lại và hướng dẫn cho người tập bằng cách sử dụng bản phát lại của phiên và dòng thời gian để cung cấp ngữ cảnh cho các ghi chú của anh ấy và điều hướng bản ghi.

Công cụ tạo báo cáo:

Các Báo cáo Huấn luyện Cá nhân chứa các chi tiết của buổi huấn luyện và thông tin đánh giá có thể được tạo vào cuối mỗi buổi huấn luyện cho mỗi học viên. Ngoài luồng đào tạo chính, ứng dụng dành cho hướng dẫn viên chứa nhiều tính năng hữu ích hơn như Dashboard dành cho hướng dẫn viên và Bảng giám sát trực tiếp. Cả hai tính năng đều hỗ trợ dễ dàng quản lý nhiều buổi đào tạo đồng thời.

Hình 3.9: Bản báo cáo với từng học viên

Dashboard cho hướng dẫn viên:

Bảng điều khiển giúp hướng dẫn viên theo dõi các buổi đào tạo đồng thời và sử dụng tốt hơn các tài nguyên của Thao Trường. Hướng dẫn viên sử dụng bảng điều khiển để:

• Xem trạng thái phiên đào tạo
• Kiểm tra tính sẵn sàng của hệ thống
• Mở một phiên đào tạo
• Sao chép hoặc loại bỏ các phiên đào tạo bị tạm dừng

Hình 3.10: Giao diện Dashboard cho hướng dẫn viên

Bảng giám sát trực tiếp (live) cho hướng dẫn viên:

Bảng giám sát trực tiếp hiển thị danh sách tất cả các phiên đào tạo đang hoạt động và cho phép hướng dẫn viên quản lý tất cả các phiên đào tạo từ một ứng dụng khung cửa sổ duy nhất. Chức năng bảng giám sát trực tiếp cho phép một hướng dẫn viên duy nhất quản lý và điều hướng nhiều phiên đào tạo đồng thời.

Hình 3.11: Giao diện quan sát giữa các lớp đào tạo khác nhau

4.     Ứng dụng dành cho học viên

Ứng dụng dành cho học viên là một hệ thống tương tác dành cho sinh viên hoặc thực tập sinh, cho phép truy cập thêm thông tin về buổi đào tạo, phản hồi về sự tiến bộ, quản lý cuộc điều tra. Bao gồm các tính năng như:

• Theo dõi sơ đồ của hệ thống
• Tiếp nhận những thông tin quan trọng của hệ thống
• Theo dõi thời gian diễn ra cuộc tập huấn
• Trao đổi với hướng dẫn viên
• Tương tác với các học viên khác
• Điều tra hoạt động mạng đáng ngờ và tải lên các phát hiện để đạt được điểm đánh giá, xây dựng luồng tấn công và nhận phản hồi của hệ thống
• Trả lời các câu hỏi kiểm tra kiến thức

Ứng dụng đảm bảo học viên phải thực hành các chiến thuật và quy trình phát hiện, ứng phó và ngăn chặn, giảm bớt sự chú ý cần thiết từ hướng dẫn viên và hỗ trợ học viên hoặc học viên ở bất cứ nơi nào mà không cần sự tham gia của giảng viên

Khi một học viên hoặc học viên tham gia vào một buổi đào tạo mà không có hướng dẫn viên, ứng dụng cho phép các học viên bắt đầu buổi đào tạo một mình. Trước khi bắt đầu một buổi đào tạo, sinh viên hoặc học viên có thể chọn đọc bối cảnh của kịch bản cung cấp thông tin chi tiết cho kịch bản mà họ sắp tham gia.

Một số tình huống có sẵn được hỗ trợ ở chế độ tự đào tạo, cho phép truy cập các gợi ý và tóm tắt giải pháp kịch bản mà học viên có thể yêu cầu mở trong quá trình đào tạo. Các thông tin phụ trợ của kịch bản tấn công cũng có thể được truy cập trong suốt thời gian của buổi đào tạo.

5.     Các gói kịch bản đào tạo

5.1 Môi trường SOC cơ bản:

Gói kịch bản trong môi trường SOC cơ bản bao gồm các tình huống được cấu hình và cập nhật đầy đủ để phản ánh các cuộc tấn công mạng trong thế giới thực. Gói này bao gồm các tình huống cơ bản được tạo ra dựa trên các lỗ hổng bảo mật mạng, bao gồm các thiết bị mạng dựa trên Web, bị định cấu hình sai, các hành động dựa trên người dùng (chèn ổ đĩa flash bị nhiễm, tấn công bắt cá, v.v.) và hơn thế nữa. Sau đây là lựa chọn các tình huống có sẵn: Apache Shutdown, Web Defacement, SQL Injection, DDoS DNS Amplification, …

5.2 Môi trường SOC nâng cao:

Gói SOC Nâng cao bao gồm các tình huống tấn công phức tạp hơn và nên được sử dụng để cải thiện kỹ năng của các thành viên nhóm SOC có trình độ. Gói SOC nâng cao bao gồm các kịch bản như Golden Ticket, Killer Trojan, Dragonfly và nhiều kịch bản đời thực nâng cao hơn. Ngoài ra, Gói SOC nâng cao cũng bao gồm các kịch bản dành cho các nhà phân tích phần mềm độc hại như Lockpos, Kovter, …. Gói SOC nâng cao rất cần thiết để đảm bảo sự chuẩn bị hiệu quả của nhóm SOC của bạn chống lại các mối đe dọa mạng tiên tiến nhất đã biết.

5.3 Môi trường ICS:

Luồng đào tạo và kịch bản SCADA bao gồm sự kết hợp của mạng ảo IT / OT, ​​các tình huống tấn công tùy chỉnh cho ICS và một tủ phần cứng gồm các thành phần SCADA bao gồm:

• Tấm vật lý với cánh quạt, để mô phỏng quá trình sản xuất
• Giao tiếp các thiết bị sử dụng giao thức Modbus TCP / IP
• Tích hợp với môi trường IT và SCADA mô phỏng

Hình 5.1: Hộp SCADA

Mô-đun SCADA đào tạo các học viên để chống lại các cuộc tấn công trong cuộc sống thực trên môi trường ICS và có thể giám sát trực quan tác động thực tế của các cuộc tấn công đối với phần cứng OT ngoài đời thực.

Trong suốt thời gian của một kịch bản đào tạo ICS, cả nhân viên OT và An ninh mạng sẽ trải qua cuộc tấn công từ các tấn công dành cho phân vùng OT và của phân vùng IT.

Hình 5.2: SCADA HMI

Hình 5.3: Mô hình mạng SCADA

5.4 Môi trường kiểm thử truy nhập ( Penetration Testing):

Gói kiểm tra thâm nhập bao gồm các bài tập “Nắm bắt cờ”, cung cấp cho người tập cơ hội tìm kiếm và phát hiện lỗ hổng bảo mật và xâm nhập vào mạng để đạt được mục tiêu hoặc khai thác dữ liệu. Kịch bản được xây dựng cho Red team, được cung cấp các mạng chuyên dụng để hướng dẫn pentester về các kiểu tấn công hoặc kỹ thuật khác nhau mà họ nên biết để bảo mật an toàn cho tổ chức của mình, chẳng hạn như mã hóa AES, SQL Injection,…

6.     Công cụ tùy chỉnh Thao Trường an ninh mạng

6.1 Công cụ xây dựng kịch bản:

Scenario Builder là một trình thiết kế trực quan cho phép người dùng xây dựng các kịch bản và chạy chúng trên môi trường Thao Trường. Sử dụng Scenario Builder, người dùng có thể dễ dàng tạo các tình huống đe dọa mới để tiếp tục đào tạo nhóm của họ chống lại các vectơ tấn công mới.

Hơn nữa, Scenario Builder cho phép dễ dàng điều chỉnh các kịch bản có sẵn sang các mạng bổ sung. Các kịch bản này có thể được sử dụng để xây dựng các kịch bản mới, cũng như để nghiên cứu sâu: Luồng tấn công trông như thế nào? Các lệnh chính xác được sử dụng trong mỗi cuộc tấn công là gì? Bằng cách kéo và thả các khối xây dựng tấn công phức tạp của Thao Trường cung cấp, các kịch bản tấn công mới có thể dễ dàng được xây dựng.

Hình 6.1: Công cụ xây dựng kịch bản

Scenario Builder cung cấp nhiều chức năng cần thiết khác nhau để dễ dàng thực hiện công việc của nhà phát triển kịch bản, bao gồm các định nghĩa khác nhau để cho phép sử dụng lại thông tin mạng trong một số tình huống, tích hợp đầy đủ với mạng trực tiếp để kiểm tra hiệu suất và kết quả của kịch bản, …

Scenario Builder cũng cho phép người dùng dễ dàng cập nhật ngân hàng kịch bản về mối đe dọa có sẵn với các vectơ tấn công chuyên dụng, quản lý nghiên cứu và khả năng xây dựng các thử nghiệm mới cho các mạng và công cụ cụ thể.

6.2 Công cụ tùy chỉnh sơ đồ hệ thống mạng (Network Importer):

Network Importer cho phép người dùng thay đổi các mạng tùy chỉnh do người dùng xây dựng vào môi trường đào tạo và tích hợp chúng với Attack Server, Traffic Generator, Scenario Builder, v.v. Người dùng có thể xây dựng mạng trực tiếp trong vCenter và sử dụng Network Importer để nhập các thành phần mới vào hệ thống.

Sử dụng Network Importer, người dùng có thể tạo các kiến ​​trúc mạng mới và cung cấp cho sinh viên hoặc thực tập sinh trải nghiệm thực tế. Ngoài ra, người dùng có thể sử dụng mô-đun này để xây dựng Phòng thí nghiệm Cyber ​​chuyên dụng, thử nghiệm các công cụ cụ thể hoặc tối ưu hóa kỹ thuật phản hồi. Network Importer hỗ trợ các mạng có hệ điều hành được VMware hỗ trợ và đặc biệt hỗ trợ các công cụ VMware.

Hình 6.2: Công cụ xây dựng hệ thống mạng

Tư vấn và báo giá:

CÔNG TY CỔ PHẦN GIẢI PHÁP CÔNG NGHỆ SONIC
Tầng 16, Tòa nhà Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, TP. Hà Nội
Tel: 0915.059.850
Email: Sales@sonic.com.vn