Đăng kí CyberRangeS và thực hành tấn công, khai thác, kiểm thử bảo mật, điều tra máy tính hay giám sát an ninh mạng với các bài lab mô phỏng miễn phí tại đây. Ngoài ra còn có các gói nâng cao Essential và Professional chỉ từ 19.9 $ / tháng với hàng trăm hệ thống giả lập, đầy đủ tất cả các lab mô phỏng kèm chứng chỉ hoàn thành (có điểm rèn luyện CPE hợp lệ để gia hạn các chứng chỉ quốc tế của CompTIA, ISC2,ECouncil …)

ECSO : Là Tổ chức An ninh mạng Châu Âu (ECSO) ASBL là một tổ chức phi lợi nhuận tự tài trợ hoàn toàn theo luật Bỉ, được thành lập vào tháng 6 năm 2016.

ECSO đại diện cho đối tác hợp đồng với Ủy ban Châu Âu để thực hiện Quan hệ đối tác Công-Tư về An ninh mạng theo hợp đồng (cPPP). Thành viên ECSO bao gồm nhiều bên liên quan đa dạng từ các Quốc gia Thành viên EU, Các nước EEA/EFTA và các nước liên kết H2020, như các công ty lớn, SME và Start-up, trung tâm nghiên cứu, trường đại học, người dùng cuối, nhà điều hành, cụm và hiệp hội cũng như chính quyền địa phương, khu vực và quốc gia của các Quốc gia Thành viên Châu Âu.

1. GIỚI THIỆU Tài liệu này nhằm cung cấp tổng quan về cyber range, bắt đầu từ định nghĩa, các trường hợp sử dụng và chức năng, đồng thời xem xét các loại công nghệ và mô hình kinh doanh khác nhau hiện đang phân biệt chúng. Mục tiêu của tài liệu này là cung cấp cho người đọc hiểu rõ hơn về cyber range và một bộ tiêu chí có thể được sử dụng để xác định và lựa chọn tốt hơn các cyber range phù hợp để đáp ứng các nhu cầu và yêu cầu cụ thể.
2. CÁC TỪ VIẾT TẮT

APT – Mối đe dọa liên tục nâng cao
API – Giao diện lập trình ứng dụng
Bins – Tệp nhị phân hoặc tệp thực thi
CDX – Diễn tập phòng thủ mạng
CNCI – Sáng kiến An ninh mạng Quốc gia Toàn diện (Hoa Kỳ)
CNO – Hoạt động mạng máy tính
CR – Cyber Range
CRP – Nền tảng Cyber Range
CTF – Capture The Flag
DDOS – Từ chối dịch vụ phân tán
ICT – Công nghệ thông tin và truyền thông
IoT – Internet vạn vật
Libs – Thư viện
OS – Hệ điều hành
OT – Công nghệ vận hành
UI – Giao diện người dùng
VM – Máy ảo

3. ĐỊNH NGHĨA

Capture the Flag (CTF) – Trong bối cảnh bảo mật máy tính, CTF là một loại trò chơi chiến tranh mạng, có thể chơi theo đội hoặc cá nhân. Một loại CTF phổ biến là tấn công và phòng thủ, trong đó người tham gia cạnh tranh để xâm nhập hệ thống của những người tham gia khác trong khi cố gắng bảo vệ hệ thống của chính họ.

Năng lực – Năng lực là tập hợp các thuộc tính như kiến thức, kỹ năng và khả năng cần thiết để thực hiện thành công các nhiệm vụ cụ thể.

Đơn vị Hoạt động Mạng Máy tính (CNO) – Đây là các đơn vị nằm trong cơ cấu quân đội của một quốc gia có nhiệm vụ tham gia các hoạt động liên quan đến mạng máy tính.

Khả năng Không gian mạng – Khả năng không gian mạng là các nguồn lực và tài sản có sẵn cho một quốc gia để chống lại hoặc tạo ảnh hưởng thông qua không gian mạng.

Diễn tập Phòng thủ mạng – Còn được gọi phổ biến là CDX, diễn tập phòng thủ mạng là một loại diễn tập mạng đặc biệt tập trung vào kiểm tra khả năng phòng thủ mạng.

Diễn tập mạng – Diễn tập mạng là một sự kiện được lên kế hoạch trong đó một tổ chức mô phỏng các cuộc tấn công mạng hoặc sự cố bảo mật thông tin hoặc các loại gián đoạn khác để kiểm tra khả năng mạng của tổ chức, từ khả năng phát hiện sự cố bảo mật đến khả năng ứng phó phù hợp và giảm thiểu mọi tác động liên quan.

Khả năng phục hồi mạng – Khả năng phục hồi mạng là khả năng dự đoán, chịu đựng, phục hồi và thích nghi với các điều kiện bất lợi, căng thẳng, tấn công hoặc xâm phạm trên các hệ thống bao gồm tài nguyên mạng.

Điều phối – Điều phối là việc cấu hình, phối hợp và quản lý tự động các hệ thống máy tính và phần mềm.

Hypervisor – Hypervisor là lớp phần mềm giữa phần cứng và máy ảo (VM). Nó phối hợp các VM đảm bảo chúng không can thiệp lẫn nhau và mỗi VM có quyền truy cập vào các tài nguyên vật lý cần thiết để thực thi.

Nền tảng – Nền tảng là một nhóm công nghệ được sử dụng làm cơ sở để phát triển các ứng dụng, quy trình hoặc công nghệ khác.

Kịch bản – Kịch bản là nội dung được sử dụng trên cyber range. Một kịch bản có thể chỉ chứa môi trường ảo để người dùng tương tác hoặc cũng có thể bao gồm cốt truyện với các mục tiêu cụ thể, một số thử thách thực tế hoặc lý thuyết, hoặc các loại câu hỏi khác nhau.

Tự cung cấp – Tự cung cấp, thường được gọi là tự phục vụ trên đám mây, là một tính năng của nhiều nhà cung cấp dịch vụ đám mây cho phép người dùng cuối tự cung cấp tài nguyên và thiết lập hoặc khởi chạy dịch vụ hoặc ứng dụng mà không cần sự can thiệp của nhân viên IT chuyên dụng hoặc chính nhà cung cấp dịch vụ.

Máy ảo – Máy ảo (VM) là một chương trình phần mềm mô phỏng hành vi của một máy tính vật lý.

4. BỐI CẢNH VÀ NGỮ CẢNH

Hai năm qua đã chứng kiến sự phát triển của nhiều công nghệ cyber range, sản phẩm và sáng kiến quốc gia và quốc tế. Điều đó không phải ngẫu nhiên và, ngoài những từ khóa marketing, có một số lý do tại sao cyber range đột nhiên trở nên ngày càng phổ biến và nhiều tổ chức, cả tư nhân và công cộng, bắt đầu đầu tư vào chúng. Ở cấp độ cao, hai động lực chính chịu trách nhiệm cho nhu cầu ngày càng tăng đối với cyber range là việc củng cố không gian mạng như một lĩnh vực chiến tranh riêng biệt và sự phát triển và phổ biến rộng rãi của công nghệ đám mây, đóng vai trò là yếu tố chính cho phép cyber range phát triển.

4.1 Không gian mạng như một Lĩnh vực Quân sự Riêng biệt

Kết thúc chiến tranh lạnh và cuộc chạy đua phát triển khả năng hạt nhân đã chuyển sang chiến tranh thông tin và cuộc chạy đua để có được khả năng không gian mạng, được định nghĩa là các nguồn lực và tài sản có sẵn cho một quốc gia để chống lại hoặc tạo ảnh hưởng thông qua không gian mạng. Các quốc gia hiện đang đầu tư vào công nghệ, phương pháp và quy trình để phát triển những khả năng không gian mạng đó và cyber range đang được xem như là tương đương với một trường bắn truyền thống, nơi các thế hệ lính không gian mạng tương lai sẽ trải qua các bài tập mô phỏng tấn công và phòng thủ mạng. Một nghiên cứu của Hội đồng Quan hệ Đối ngoại cho thấy số lượng Đơn vị Hoạt động Mạng Máy tính (CNO) trên thế giới đã tăng lên trong 15 năm qua.

Ở châu Âu, các cuộc diễn tập mạng thực chiến hàng năm “Locked Shields” và “Crossed Swords” được tổ chức tại Estonia bởi Trung tâm Xuất sắc về Phòng thủ Mạng Hợp tác NATO và các chính phủ ngày càng đầu tư nhiều hơn mỗi năm để phát triển cyber range của NATO. Các ví dụ khác bao gồm các cuộc diễn tập Cyber Europe của ENISA mô phỏng các sự cố an ninh mạng quy mô lớn có thể leo thang thành các cuộc khủng hoảng mạng.

4.2 Phổ biến hóa Công nghệ Đám mây

Ảo hóa máy tính và tài nguyên tính toán mạnh mẽ đã đạt đến mức độ phổ biến cao, cho phép từ từ chuyển đổi khả năng mở rộng của giáo dục và đào tạo thực hành lên các mức chưa từng có. Sự phổ biến của công nghệ ảo hóa và điện toán cũng đang thay đổi cách thức đào tạo và giáo dục được hình thành và cung cấp, cho phép các hình thức học tập liên tục và phát triển chuyên môn liên tục được xây dựng phức tạp hơn, chưa kể đến việc đánh giá năng lực cũng được ảnh hưởng tích cực.

5. CYBER RANGE LÀ GÌ?

Ý nghĩa của cyber range đã thay đổi theo thời gian và cách chúng được định nghĩa cũng vậy. Một đánh giá về các định nghĩa và diễn giải hiện có từ khắp nơi trên thế giới từ cả các sáng kiến cyber range khu vực công và tư nhân xác định rộng rãi hai cách có thể định nghĩa cyber range:

Môi trường mô phỏng – Cách nhìn này về cyber range tập trung vào những gì mà cyber range đã cung cấp theo truyền thống, đó là mô phỏng môi trường ICT và/hoặc OT để sử dụng cho nhiều mục đích khác nhau. Một số định nghĩa xem cyber range bao gồm cả các dịch vụ Internet được kết nối với môi trường mô phỏng. Cách định nghĩa cyber range này có phần tĩnh vì nó thường đề cập đến môi trường mô phỏng được thiết kế một lần để đáp ứng các trường hợp sử dụng và yêu cầu cụ thể, và bất kỳ thay đổi nào trong môi trường đều đòi hỏi thời gian và nỗ lực đáng kể.

Nền tảng – Nền tảng thường được định nghĩa là một nhóm công nghệ được sử dụng làm cơ sở để phát triển các ứng dụng, quy trình hoặc công nghệ khác. Trong bối cảnh cyber range, nền tảng có thể được hiểu là một nhóm công nghệ được sử dụng để tạo ra và sử dụng môi trường mô phỏng. Nhấn mạnh ở đây là từ “sử dụng” vì để cyber range được sử dụng cho các mục đích cụ thể, cyber range phải có các khả năng bổ sung và hiển thị các chức năng cụ thể cho người dùng cuối. Cách nhìn này về cyber range rõ ràng là động hơn vì nó ngụ ý rằng các môi trường khác nhau có thể được tạo ra dễ dàng hơn và các chức năng được cung cấp để giúp sử dụng môi trường mô phỏng. Mức độ dễ dàng trong việc tạo động các môi trường mô phỏng khác nhau và phạm vi chức năng được cung cấp sẽ khác nhau giữa các cyber range khác nhau.

Định nghĩa của NIST, ví dụ, thuộc về cách diễn giải đầu tiên về cyber range là gì, không đề cập đến các dịch vụ và/hoặc chức năng sẽ được cung cấp bởi cyber range ngoài môi trường mô phỏng:

“Các diễn đạt mô phỏng tương tác của mạng cục bộ, hệ thống, công cụ và ứng dụng của tổ chức được kết nối với môi trường cấp Internet mô phỏng. Chúng cung cấp môi trường an toàn, hợp pháp để đạt được kỹ năng mạng thực hành và môi trường bảo mật để phát triển sản phẩm và kiểm tra tư thế bảo mật. Cyber range có thể bao gồm phần cứng và phần mềm thực tế hoặc có thể là sự kết hợp của các thành phần thực tế và ảo. Các range có thể tương tác với các môi trường cyber range khác. Phần Internet của môi trường range bao gồm không chỉ lưu lượng mô phỏng, mà còn sao chép các dịch vụ mạng như trang web, trình duyệt và email theo nhu cầu của khách hàng.”

Thách thức trong việc định nghĩa cyber range thuần túy từ góc độ môi trường mô phỏng có thể được so sánh với thách thức của việc định nghĩa một chiếc xe theo các đặc điểm kỹ thuật chung như có 4 bánh, một động cơ, một hộp số, ghế cho người lái và cho hành khách khác. Từ điển Cambridge định nghĩa xe hơi là:

“một phương tiện đường bộ có động cơ, bốn bánh xe và ghế ngồi cho một số lượng nhỏ người”

Khi nói đến xe hơi, con người có gần 200 năm kinh nghiệm và họ có thể dễ dàng phân biệt giữa xe thể thao, xe F1, SUV, xe cabrio, xe 4×4 v.v. và họ có thể, với mức độ dễ dàng khác nhau, tìm kiếm và lựa chọn chiếc xe phù hợp dựa trên nhu cầu cụ thể của họ. Điều tương tự không thể nói về cyber range chỉ mới xuất hiện trong vài năm qua. Giống như xe hơi, cyber range có thể được sử dụng cho các mục đích khác nhau và bởi các loại người dùng khác nhau. Tuy nhiên, không giống như xe hơi, cyber range đã phát triển để có thể cấu hình cao đến mức mà trong khi chúng ta không thể dễ dàng chuyển đổi xe F1 thành xe gia đình, chúng ta có thể dễ dàng hơn nhiều khi sử dụng cyber range cho nhiều mục đích như nghiên cứu bảo mật, đào tạo bảo mật, đánh giá khả năng phục hồi mạng và nhiều mục đích khác nữa.

Phần lớn cyber range hiện có từ cả khu vực công và tư nhân đều cung cấp các khả năng bổ sung ngoài môi trường mô phỏng đơn thuần. Hơn nữa, hầu hết các trường hợp sử dụng cyber range đều yêu cầu một hoặc nhiều khả năng ngoài môi trường mô phỏng. Do đó, logic để suy ra rằng cyber range sẽ được định nghĩa tốt hơn như một nền tảng hơn là một môi trường mô phỏng. Trên cơ sở đó, ECSO định nghĩa cyber range như sau:

Cyber range là một nền tảng để phát triển, cung cấp và sử dụng các môi trường mô phỏng tương tác. Môi trường mô phỏng là đại diện cho ICT, OT, hệ thống di động và vật lý, ứng dụng và cơ sở hạ tầng của một tổ chức, bao gồm cả việc mô phỏng các cuộc tấn công, người dùng và hoạt động của họ và của bất kỳ dịch vụ Internet, công cộng hoặc bên thứ ba nào mà môi trường mô phỏng có thể phụ thuộc vào. Cyber range bao gồm sự kết hợp của các công nghệ cốt lõi để thực hiện và sử dụng môi trường mô phỏng và các thành phần bổ sung, từ đó, mong muốn hoặc yêu cầu để đạt được các trường hợp sử dụng cyber range cụ thể.

5.1 Người dùng Mục tiêu và Trường hợp Sử dụng

Cyber range có thể được sử dụng cho nhiều mục đích và mục đích chính trong những năm qua đã thay đổi phù hợp với những thay đổi trong công nghệ và tầm quan trọng ngày càng tăng của không gian mạng, đặc biệt là như một chiều của khả năng quân sự của một quốc gia (khả năng không gian mạng). Các trường hợp sử dụng được mô tả trong phần này không được trình bày theo thứ tự tầm quan trọng hoặc nhu cầu cao nhất từ thị trường. Đối với mỗi trường hợp sử dụng, điều quan trọng là phải hiểu rằng, để đáp ứng đầy đủ các yêu cầu cụ thể của trường hợp sử dụng, cyber range phải có hoặc hiển thị các chức năng và/hoặc khả năng cụ thể.

Cyber range có thể được sử dụng bởi nhiều đối tượng người dùng mục tiêu. Tuy nhiên, không phải mọi cyber range đều mở hoặc dành cho mọi danh mục người dùng. Sau đây là danh sách người dùng mục tiêu và tổ chức mục tiêu của cyber range:

• Doanh nghiệp (tư nhân và chính phủ)
• Người ra quyết định chiến lược (tư nhân và chính phủ)
• Chuyên gia bảo mật
• Cơ quan quân sự và CNO
• Trung tâm Điều hành An ninh (SOC)
• Nhà giáo dục
• Sinh viên
• Nhà nghiên cứu
• Tổ chức sự kiện

5.1.1 Kiểm thử Bảo mật Cùng với nghiên cứu bảo mật, đây là trường hợp sử dụng truyền thống nhất của cyber range, nơi mô phỏng hệ thống và ứng dụng được kiểm tra và các cuộc tấn công bảo mật được thực hiện chống lại chúng, theo cách có kiểm soát, để xác định các lỗ hổng tiềm ẩn trước khi triển khai và sử dụng.

5.1.2 Nghiên cứu Bảo mật
Cyber range là phương tiện cơ bản để thực hiện nghiên cứu bảo mật trên nhiều lĩnh vực bảo mật khác nhau. Theo bản chất của chúng, cyber range đang được các nhà nghiên cứu trên toàn thế giới phát triển để nghiên cứu các phương pháp phát hiện và giảm thiểu tấn công mới, mô phỏng phần mềm độc hại và nhiều hơn nữa.

5.1.3 Xây dựng Năng lực Phần lớn đào tạo bảo mật hiện nay được thực hiện thông qua các khóa học trực tuyến và trực tiếp. Trong cả hai trường hợp, hầu hết việc học diễn ra thông qua việc nghe video hoặc bài giảng trực tiếp, và thông qua đọc ghi chú hoặc slide. Thời gian dành cho học thực hành tương đối ít. Việc sử dụng cyber range thay đổi điều đó vì nó có thể cung cấp cách thuận tiện và hiệu quả về chi phí hơn để cung cấp đào tạo thực hành, cũng như đánh giá và chứng nhận đào tạo liên quan. Theo Gartner, đến năm 2022, 15% doanh nghiệp lớn sẽ sử dụng cyber range để phát triển kỹ năng của đội ngũ bảo mật của họ, tăng từ dưới 1% hiện nay.

5.1.4 Giáo dục Bảo mật Giáo dục bảo mật đề cập cụ thể đến học thuật, trái ngược với việc học tập và đào tạo suốt đời mà các chuyên gia trải qua sau khi rời trường đại học. Một trong những khiếu nại thường xuyên từ ngành công nghiệp là thiếu kinh nghiệm thực tế của sinh viên mới tốt nghiệp. Nguyên nhân gốc rễ của khoảng cách như vậy là chi phí và độ phức tạp của việc cung cấp cho sinh viên kinh nghiệm thực tế trong khi vẫn không làm giảm giá trị giáo dục của bằng đại học. Các trường đại học trên toàn thế giới đã bắt đầu xem xét cyber range như một phương tiện để cải thiện giảng dạy và học tập.

5.1.5 Phát triển Khả năng Không gian mạng Khả năng không gian mạng là các nguồn lực và tài sản có sẵn cho một quốc gia để chống lại hoặc tạo ảnh hưởng thông qua không gian mạng. Ở cấp độ con người, khả năng không gian mạng trùng khớp với năng lực của các chuyên gia bảo mật trên nhiều lĩnh vực tấn công và phòng thủ mạng. Trong bối cảnh đó, cyber range là một phần của khả năng không gian mạng của một quốc gia và có thể được sử dụng để phát triển khả năng của các chuyên gia bảo mật, để nghiên cứu và phát triển công cụ không gian mạng và các tài sản khác, và để liên tục cung cấp các bài tập không gian mạng để kiểm tra những khả năng không gian mạng đó. Cụ thể, cyber range cho phép một quốc gia thực hiện phát triển khả năng không gian mạng ở một quy mô và mức độ hiệu quả hoàn toàn khác. Ngoài ra, trong bối cảnh phát triển khả năng không gian mạng, cyber range có thể được sử dụng để tổ chức các cuộc diễn tập không gian mạng quy mô lớn với sự tham gia của hàng trăm đến hàng nghìn người.

5.1.6 Phát triển Khả năng Phục hồi Mạng

Khả năng phục hồi mạng đề cập đến khả năng của một tổ chức để ứng phó và duy trì khả năng chống chịu một sự cố bảo mật hoặc tấn công mạng trong khi vẫn duy trì khả năng cung cấp các dịch vụ kinh doanh cốt lõi của mình. NIST định nghĩa khả năng phục hồi mạng là “khả năng dự đoán, chịu đựng, phục hồi và thích nghi với các điều kiện bất lợi, căng thẳng, tấn công hoặc xâm phạm trên các hệ thống bao gồm tài nguyên mạng”. Gartner định nghĩa nó là “…mức độ thích nghi và đáp ứng với một mối đe dọa hoặc sự cố của hệ sinh thái kinh doanh số”. Nhìn chung, khả năng phục hồi mạng áp dụng cho bất kỳ quy trình, hệ thống, doanh nghiệp và tổ chức nào có sự phụ thuộc vào IT, OT, IoT – điều này bao gồm phần lớn các tổ chức trong một quốc gia, bao gồm cả cơ sở hạ tầng trọng yếu.

Trong bối cảnh khả năng phục hồi mạng, các cuộc diễn tập mạng tạo cơ hội cho các tổ chức thể hiện khả năng quan trọng và cho thấy họ tích hợp hiệu quả như thế nào giữa con người, quy trình và công nghệ để bảo vệ thông tin, dịch vụ và tài sản quan trọng của họ. Các cuộc diễn tập mạng có thể được chia thành ‘Capture The Flag‘ (CTF) và các cuộc diễn tập thực chiến. CTF thường được tổ chức theo kiểu tấn công và phòng thủ, trong đó các cá nhân hoặc đội phải tìm và sửa lỗ hổng trong hệ thống của họ trong khi đồng thời tấn công hệ thống thuộc về những người tham gia khác. Các cuộc diễn tập mạng thực chiến cho phép các đội huấn luyện các chuyên gia mạng để phát hiện và giảm thiểu các cuộc tấn công mạng quy mô lớn trong khi liên tục bị tấn công bởi một “đội đỏ” gồm các hacker.

Các cuộc diễn tập mạng tạo cơ hội để kiểm tra khả năng của một tổ chức trong việc xử lý các sự cố mạng phức tạp liên quan đến nhiều tổ chức cùng một lúc, từ đó mô phỏng sự tương tác với các nhà thầu phụ, nhà cung cấp dịch vụ, khách hàng, v.v. mà các tổ chức hiện đại phụ thuộc vào. Các cuộc diễn tập mạng cũng cho phép các tổ chức tìm ra khoảng trống và lĩnh vực cần phát triển trong quy trình, thủ tục và công nghệ của họ. Bằng cách giải quyết các phát hiện từ các cuộc diễn tập, các tổ chức có thể tăng cường đáng kể khả năng phục hồi mạng của họ chống lại các cuộc tấn công mạng hiện đại.

5.1.7 Đánh giá Năng lực

Năng lực là tập hợp các thuộc tính như kiến thức, kỹ năng và khả năng cần thiết để thực hiện thành công các nhiệm vụ cụ thể. Khi khoảng cách về kỹ năng bảo mật ngày càng tăng, các tổ chức cần một cách hiệu quả để đánh giá và lựa chọn nhân sự phù hợp. Sử dụng cyber range có thể cho phép các tổ chức thực hiện đánh giá năng lực vượt ra ngoài các bài kiểm tra truyền thống, dựa trên các câu hỏi trắc nghiệm hoặc mô phỏng lý thuyết. Cyber range cho phép việc đánh giá trở nên thực tế và dựa trên việc hoàn thành thành công các nhiệm vụ thực tế và/hoặc dựa trên quan sát hành vi người dùng và các lựa chọn được thực hiện trong quá trình thực hiện nhiệm vụ hoặc bài tập thực tế.

5.1.8 Tuyển dụng

Vì cyber range được sử dụng để đánh giá năng lực, cũng có thể dự đoán rằng chúng sẽ thay đổi thực tiễn tuyển dụng cho phép các tổ chức xác định, xác thực và tuyển dụng ứng viên phù hợp tốt hơn. Ứng dụng này phụ thuộc nhiều vào sự phát triển của các khung năng lực quốc gia và quốc tế hiện đang được phát triển trên toàn thế giới.

5.1.9 Khéo léo Số

Khéo léo số, theo định nghĩa của Gartner, là “khả năng và mong muốn khai thác các công nghệ hiện tại và mới nổi cho kết quả kinh doanh”. Một cách đầy màu sắc và đơn giản hóa, nhưng hiệu quả, để mô tả trường hợp sử dụng của cyber range liên quan đến khéo léo số là nghĩ về chúng như một môi trường phát triển trên steroid. Các phương pháp phát triển phần mềm truyền thống và thực hành bảo mật tốt nhất khuyến nghị sử dụng các môi trường khác nhau như phát triển, dàn dựng và sản xuất. Với quá trình chuyển đổi số đang diễn ra và yêu cầu hỗ trợ nhiều thách thức về truyền thông và kinh doanh, các tổ chức đang phải đối mặt với thách thức để triển khai những thực hành tốt nhất truyền thống đó trên các kênh khác nhau trong khi đồng thời hỗ trợ các chu kỳ phát triển nhanh hơn. Các thuật ngữ như DevSecOps đã trở thành một phần không thể thiếu trong cơ cấu của các tổ chức hiện đại và cyber range đang được xem xét để cung cấp cho các tổ chức khả năng cải thiện khéo léo số của tổ chức.

5.1.10 Các Cuộc Thi An ninh mạng Quốc gia và Quốc tế

Ngày càng nhiều quốc gia tổ chức các cuộc thi an ninh mạng quốc gia và tham gia các cuộc thi quốc tế như một cách để khám phá tài năng an ninh mạng mới và giúp lấp đầy khoảng trống về kỹ năng bảo mật. Các cuộc thi như vậy thường được tổ chức dưới dạng CTF bao gồm kết hợp các thử thách thực tế. Cyber range đang thay đổi cách thức tổ chức các cuộc thi như vậy, cho phép tổ chức các sự kiện quy mô lớn hơn và mô phỏng thực tế hơn. Các ví dụ nổi bật bao gồm Thách thức An ninh mạng Châu Âu do ENISA tổ chức, World Skills và cuộc thi CyberStars.

6. CHỨC NĂNG VÀ KHẢ NĂNG CỦA CYBER RANGE

Phần này chứa mô tả về các chức năng được cung cấp bởi cyber range. Nhấn mạnh ở đây là về các khả năng kỹ thuật được tích hợp vào chính cyber range có sẵn cho người dùng cuối hoặc quản trị viên cyber range. Theo định nghĩa, một cyber range không cần phải bao gồm tất cả hoặc bất kỳ khả năng nào được liệt kê trong phần này. Tuy nhiên, tùy thuộc vào mục đích sử dụng của cyber range, một số chức năng nhất định có thể được coi là mong muốn hoặc thậm chí là bắt buộc trên thực tế. Trong trường hợp những chức năng đó không được cyber range hỗ trợ tự nhiên, các hệ thống và ứng dụng của bên thứ ba sẽ cần được tích hợp với cyber range. Trong những trường hợp như vậy, người ta phải đánh giá và giải quyết cẩn thận các thách thức về tích hợp và tương thích có thể phát sinh.

Hình minh họa các thành phần kiến trúc phổ biến và các chức năng liên quan của cyber range. Đáng chú ý là nhiều chức năng của cyber range trong hình sau cũng sẽ yêu cầu hoặc ít nhất là được hưởng lợi từ các chức năng quản lý người dùng và quản lý kịch bản.

6.1 Điều phối

Điều phối là việc cấu hình, phối hợp và quản lý tự động các hệ thống máy tính và phần mềm. Liên quan đến cyber range và công nghệ ảo hóa, điều phối đề cập đến công nghệ chịu trách nhiệm tạo ra quy trình tự động hóa bao gồm cấu hình hàng loạt, tạo, sửa đổi và xóa máy ảo, tự cung cấp và tự động hóa các tác vụ giữa cơ sở hạ tầng ảo và các thành phần cyber range khác hoặc các hệ thống khác giao tiếp với cyber range.

Về mặt kỹ thuật, điều phối thuộc phần công nghệ của cyber range và sẽ trong suốt với người dùng cuối truy cập cyber range. Tuy nhiên, việc sử dụng một bộ điều phối có thể ảnh hưởng lớn đến khả năng sử dụng và chi phí sử dụng cyber range cũng như hỗ trợ cho các trường hợp sử dụng cụ thể. Một cyber range có khả năng điều phối có thể hỗ trợ các chức năng bổ sung, nếu không sẽ yêu cầu nỗ lực và phối hợp thủ công bổ sung và do đó tăng chi phí cho người dùng cyber range.

Ở mức cơ bản nhất, điều phối bao gồm điều phối môi trường ảo. Ở mức tinh vi nhất, điều phối cũng có thể được sử dụng để tự động hóa các tác vụ và tương tác giữa các thành phần khác nhau của cyber range như khả năng lập lịch tấn công và mô phỏng người dùng, tiêm sự kiện để bắt đầu thu thập hoạt động của người dùng và nhiều hơn nữa, tùy thuộc vào các trường hợp sử dụng cụ thể.

Một cách tổng quát, bất kỳ kịch bản cyber range nào liên quan đến hàng trăm đến hàng nghìn máy ảo, bất kể trường hợp sử dụng, đều có yêu cầu thực tế về điều phối.

6.2 Mô phỏng Dịch vụ Internet

Mô phỏng dịch vụ Internet là một thuật ngữ rộng để mô tả bất kỳ dịch vụ nào bên ngoài môi trường mô phỏng chính mà môi trường mô phỏng phụ thuộc vào để thực hiện một trường hợp sử dụng cụ thể. Trong danh mục này, chúng ta tìm thấy việc mô phỏng các nền tảng mạng xã hội như Facebook, LinkedIn, Twitter, cửa hàng ứng dụng, giao thức định tuyến internet và các cấp độ dịch vụ khác nhau của nhà cung cấp, kho lưu trữ cập nhật và phần mềm có kiểm soát cho các hệ điều hành khác nhau, dịch vụ toàn cầu như phân giải tên, PKI, pgp, trang tin tức công cộng và diễn đàn thảo luận và cho đến dark web và mạng TOR.

Mô phỏng các dịch vụ Internet làm tăng tính thực tế của các kịch bản được triển khai bởi cyber range. Các cuộc tấn công hiện đại sử dụng cơ sở hạ tầng và dịch vụ toàn cầu đáng kể để tránh bị phát hiện. Do đó, việc cyber range ngày nay có thể mô phỏng Internet và các dịch vụ của nó một cách thực tế là rất quan trọng. Tuy nhiên, trong nhiều trường hợp, dịch vụ Internet không được mô phỏng do độ phức tạp được thêm vào để đảm bảo mức độ thực tế phù hợp.

6.3 Mô phỏng Tấn công

Mô phỏng tấn công đề cập đến khả năng mô phỏng các cuộc tấn công trong và đến môi trường mô phỏng cyber range. Mô phỏng tấn công là một lĩnh vực đang phát triển với một số công ty và công cụ. Tuy nhiên, trọng tâm kinh doanh của hầu hết các công cụ và nền tảng mô phỏng tấn công là kiểm tra (bán) tự động tư thế bảo mật của doanh nghiệp. Cụ thể, mô phỏng tấn công thuộc về cái hiện được gọi là mô phỏng xâm nhập và tấn công. Trong khi công nghệ quét lỗ hổng truyền thống tập trung vào việc xác định các lỗ hổng của hệ thống, mạng và ứng dụng, các công cụ mô phỏng tấn công tiến thêm một bước bằng cách cho phép mô phỏng các giai đoạn khác nhau của chuỗi giết chóc bảo mật trong khi đồng thời cung cấp các khuyến nghị về cách bảo mật tổ chức.

Gần đây hơn, mô phỏng xâm nhập và tấn công đã tập trung ngày càng nhiều vào cơ sở kiến thức MITRE ATT&CK™ về chiến thuật và kỹ thuật của đối thủ, chuyển dần khỏi mô hình chuỗi giết chóc bảo mật truyền thống. Cách thức mô phỏng tấn công nằm ngoài phạm vi của bài báo này. Tuy nhiên, có thể nói rằng khả năng mô phỏng các cuộc tấn công mang một mức độ phức tạp tương đương với khả năng của cyber range để mô phỏng môi trường ICT/OT và trên thực tế, người ta nên phân biệt giữa mô phỏng và giả lập các cuộc tấn công.

Trong nhiều trường hợp, mô phỏng tấn công trong cyber range bị giới hạn ở khả năng phản hồi/tiêm các bản ghi lưu lượng với mức độ tùy chỉnh khác nhau. Đó là bởi vì lĩnh vực mô phỏng xâm nhập và tấn công vẫn đang phát triển và đang được thúc đẩy bởi các nhà cung cấp hoạt động cụ thể trong lĩnh vực đó trong khi ít phổ biến hơn, mặc dù rất mong muốn, giữa các nhà cung cấp cyber range. Các tính năng mong muốn liên quan đến mô phỏng tấn công là sự có sẵn của thư viện tấn công, chứa danh sách các cuộc tấn công được xác định trước, và khả năng nhập/tạo các cuộc tấn công tùy chỉnh.

6.4 Mô phỏng Hoạt động Người dùng

Mô phỏng người dùng đề cập đến khả năng mô phỏng sự hiện diện và hành vi của người dùng lành mạnh trong môi trường cyber range. Mặc dù công nghệ, công cụ và phương pháp được sử dụng có thể giống với những gì được sử dụng để mô phỏng tấn công, mô phỏng hoạt động người dùng là cần thiết cho các kịch bản cụ thể mô tả môi trường thực. Bên cạnh việc mô phỏng thực tế các hệ thống và ứng dụng, mô phỏng hoạt động người dùng rất quan trọng vì nó làm cho môi trường mô phỏng trở nên thực tế hơn nhiều. Mô phỏng người dùng có thể đề cập đến cả người dùng nội bộ và người dùng khách hàng giả định của môi trường mô phỏng. Ví dụ, nếu môi trường mô phỏng là mạng doanh nghiệp ngân hàng, mô phỏng người dùng có thể đề cập đến việc mô phỏng các thành viên nhân viên của tổ chức ngân hàng giả định và mô phỏng khách hàng của ngân hàng giả định đăng nhập vào trang web ngân hàng trực tuyến.

Ví dụ về mô phỏng hoạt động người dùng bao gồm:

• Hoạt động duyệt Internet của người dùng
• Người dùng xem video YouTube
• Người dùng sử dụng ứng dụng chia sẻ tệp P2P để tải xuống tệp
• Người dùng gửi email
• Người dùng tương tác với các dịch vụ đám mây như Office 365, Dropbox v.v.

Mô phỏng hoạt động người dùng cũng bao gồm mô phỏng điện thoại di động và công nghệ máy tính để bàn thông qua đó có thể mô phỏng tương tác của người dùng với môi trường mục tiêu. Các tính năng mong muốn liên quan đến mô phỏng người dùng là sự có sẵn của thư viện mô phỏng, chứa danh sách các mô phỏng người dùng được xác định trước, và khả năng nhập/tạo các mô phỏng tùy chỉnh. Cuối cùng, tính thực tế được đạt được thêm thông qua việc mô phỏng người dùng và tuân theo quy trình kinh doanh sử dụng các hệ thống kinh doanh được mô phỏng bởi cyber range.

6.5 Phát triển Kịch bản và Nội dung

Sự hữu ích của cyber range cuối cùng có mối tương quan cao với cách cyber range được sử dụng, điều này lần lượt có mối tương quan với các kịch bản mà cyber range có thể được sử dụng để cung cấp. Điều đó có thể so sánh với trải nghiệm sử dụng máy chơi game liên quan đến số lượng trò chơi có sẵn và số lượng bên thứ ba phát triển trò chơi cho máy chơi game.

Liên quan đến cyber range, trò chơi được đại diện bởi kịch bản, và khả năng hỗ trợ phát triển kịch bản của bên thứ ba, hoặc bởi chính người dùng, làm tăng đáng kể tính hữu ích và giá trị gia tăng của cyber range. Một số cyber range do đó đã bắt đầu trang bị cho mình các công cụ soạn thảo kịch bản, có thể bao gồm bất cứ thứ gì từ khả năng tạo môi trường mô phỏng cơ bản cho đến mô phỏng tùy chỉnh đầy đủ các cuộc tấn công và các dịch vụ khác.

6.6 Quản lý Năng lực

Năng lực là tập hợp các thuộc tính như kiến thức, kỹ năng và khả năng cần thiết để thực hiện thành công các nhiệm vụ cụ thể. Trong thời gian dài, các tổ chức đã sử dụng ISO17024 để chứng nhận hồ sơ công việc thông qua việc thực hiện phân tích nhiệm vụ công việc để xác định các năng lực liên quan đến một công việc cụ thể liên quan đến các nhiệm vụ cụ thể của công việc. Gần đây hơn, công việc đã được thực hiện ở cấp độ quốc gia và quốc tế để xác định các khung năng lực bao gồm phân loại toàn diện các năng lực và mô hình để xác định hồ sơ công việc hoặc vai trò mới. Một số khung cũng có các hồ sơ công việc mẫu, thể hiện cách áp dụng khung. Các khung năng lực đáng chú ý bao gồm Khung NICE của NIST và Khung năng lực điện tử Châu Âu (eCF).

Hệ thống quản lý năng lực (CMS) là các hệ thống cho phép tổ chức quản lý chương trình năng lực từ phân tích khoảng cách kỹ năng và lập hồ sơ người dùng cho đến việc xác định lộ trình học tập và đánh giá năng lực. Do đó, các hệ thống quản lý năng lực cũng có thể bao gồm hệ thống quản lý học tập (LMS) để quản trị, tài liệu hóa, theo dõi, báo cáo và cung cấp nội dung học tập và đánh giá.

6.7 Thu thập và Phân tích Dữ liệu

Thu thập dữ liệu đề cập đến khả năng của cyber range trong việc thu thập tương tác của người dùng với cyber range như lưu lượng được tạo ra, các bản ghi bộ nhớ, công cụ được sử dụng, hệ thống mục tiêu v.v. Ở mức độ cơ bản nhất, khả năng như vậy có thể chỉ bao gồm việc thu thập dữ liệu do người dùng cung cấp (ví dụ: câu trả lời cho các nhiệm vụ hoặc thách thức). Ở mức độ nâng cao nhất, nó sẽ thu thập tất cả tương tác của người dùng.

Khả năng này phụ thuộc vào công nghệ cốt lõi của cyber range và cách thức tạo môi trường mô phỏng vì một số công nghệ có thể cung cấp hỗ trợ gốc tốt hơn cho việc thu thập dữ liệu trong khi những công nghệ khác sẽ yêu cầu phát triển, tùy chỉnh hoặc tích hợp thêm các giải pháp của bên thứ ba.

Phân tích dữ liệu đề cập đến khả năng của cyber range trong việc cho phép phân tích dễ dàng hơn các dữ liệu được thu thập để tìm hiểu về cách sử dụng cyber range, cách người dùng thực hiện v.v. Về mặt này, phân tích dữ liệu của cả dữ liệu được thu thập tự động và đầu ra của hoạt động người dùng là nền tảng cho khả năng cung cấp phản hồi có ý nghĩa cho người dùng cyber range. Phần phân tích cũng có thể bao gồm công nghệ AI. Do tính chất chuyên biệt của công nghệ AI, khả năng phân tích như vậy ít có khả năng là công nghệ cốt lõi của cyber range và có nhiều khả năng là giải pháp của bên thứ ba được tích hợp trong cyber range.

6.8 Tính điểm và Báo cáo

Tính điểm cung cấp khả năng ngoài băng tần để cho phép người dùng cyber range được chấm điểm dựa trên hoạt động và tương tác của họ với cyber range. Đây là cách tiếp cận được nhiều cyber range theo đuổi, nơi trọng tâm truyền thống đã là về chính môi trường mô phỏng và không phải về việc quản lý người dùng và tương tác của họ với cyber range. Hệ thống tính điểm có thể đơn giản như thu thập đầu vào của người dùng cho câu hỏi và nhiệm vụ, cho đến các hệ thống tấn công và phòng thủ phức tạp hơn bao gồm các bài kiểm tra tự động để kiểm tra tính khả dụng của dịch vụ, tính toàn vẹn của hệ thống v.v.

Hệ thống tính điểm cũng bao gồm các chức năng như khả năng giám sát tiến trình của hoạt động người dùng và hiển thị dòng thời gian hiệu suất của cá nhân và nhóm, đồng thời nhấn mạnh các vai trò khác nhau trong một nhóm. Để đạt được khả năng tính điểm cao, cần có sự kết hợp và tích hợp mạnh mẽ giữa cyber range và hệ thống tính điểm đến mức một số hệ thống tính điểm đã được phát triển thêm để bao gồm các khả năng cyber range gốc.

Phần báo cáo có thể bao gồm danh sách các báo cáo tiêu chuẩn (ví dụ: theo người dùng hoặc theo nhóm chơi các kịch bản) và khả năng tạo các báo cáo tùy chỉnh mới mà tổ chức có thể sử dụng để trực quan hóa tốt hơn khả năng phục hồi hoặc hiệu suất mạng của họ theo thời gian v.v.

Điều quan trọng cần lưu ý là hầu hết các khả năng bổ sung của cyber range đều bao gồm và/hoặc yêu cầu ở mức độ ít hay nhiều một số khả năng báo cáo. Cuối cùng, mặc dù không theo nghĩa chặt chẽ của từ này, báo cáo cũng bao gồm nhận thức tình huống mạng theo thời gian thực để cho phép hiển thị rõ ràng việc sử dụng cyber range, tác động của các công cụ được sử dụng và hành động được thực hiện bởi người dùng cyber range (đặc biệt là trong bối cảnh diễn tập mạng).

6.9 Công cụ Giảng viên

Công cụ giảng viên đề cập đến các khả năng mong muốn và/hoặc yêu cầu của giảng viên sử dụng cyber range cho mục đích giáo dục và/hoặc đào tạo. Tùy thuộc vào công nghệ cốt lõi cụ thể của cyber range, một số chức năng như phản chiếu phiên người dùng có thể không có sẵn, thậm chí không có thông qua các thành phần của bên thứ ba. Hơn nữa, công cụ giảng viên nên hỗ trợ đánh giá người dùng và hành động của họ. Những dữ liệu này rất quan trọng để cung cấp phản hồi và đánh giá mục tiêu và mục đích trong CDX và CTF.

Các chức năng mẫu bao gồm:

• Các phương tiện giao tiếp (ví dụ: chat, phát sóng sự kiện v.v.)
• Chức năng chế độ giảng viên để hiển thị câu trả lời mẫu
• Khả năng kiểm soát quy trình của kịch bản (dừng, tạm dừng, ngắt việc thực hiện kịch bản)
• Khả năng ghi và phát lại phiên màn hình của người dùng
• Khả năng ghi và xem lại hành động của người dùng (ví dụ: các lệnh được thực thi)
• Khả năng phân tích hành động người dùng được ghi lại và dữ liệu khác được thu thập
• Khả năng thực hiện đánh giá người dùng
• Khả năng cung cấp đánh giá và phản hồi người dùng, và các báo cáo liên quan

1. TÓM TẮT CHỨC NĂNG VÀ TRƯỜNG HỢP SỬ DỤNG

Bảng sau so sánh các chức năng cyber range với các trường hợp sử dụng khác nhau. Mỗi khả năng của cyber range được đánh dấu là (D) Mong muốn. Điều quan trọng cần nhấn mạnh là mỗi cyber range, bất kể các chức năng được cung cấp, đều có thể được sử dụng cho nhiều trường hợp sử dụng khác nhau.

Sự khác biệt giữa các cyber range nằm chủ yếu ở lượng công việc cần thiết cho mỗi cyber range để thực hiện các trường hợp sử dụng cụ thể. Ví dụ, khi giải quyết trường hợp sử dụng đào tạo an ninh mạng, mặc dù chức năng điều phối gốc là mong muốn, người ta cũng có thể áp dụng một cyber range không hỗ trợ điều phối, nơi việc điều phối được thay thế bằng nỗ lực thủ công hoặc bằng cách điều chỉnh quy trình làm việc sử dụng cyber range. Cuối cùng, dựa trên định nghĩa được cung cấp trong bài báo này và các khả năng cyber range đã xác định, có thể lập luận rằng một laptop hiện đại mạnh mẽ chứa môi trường ảo hóa có thể được coi là một ví dụ cực đoan của cyber range, tuy nhiên là một cyber range tập trung vào việc cung cấp các hoạt động đào tạo và giáo dục cho một nhóm nhỏ người dùng. Cuối cùng, việc lựa chọn cyber range nên dựa trên các trường hợp sử dụng dự định.

8. CÔNG NGHỆ CYBER RANGE

Khi nói về công nghệ cyber range, trọng tâm của cuộc thảo luận chuyển sang ảo hóa vì đó là công nghệ duy nhất cho phép tạo ra mô phỏng hiệu quả về chi phí và hiệu quả. Tự nhiên, không phải mọi thứ đều có thể được mô phỏng bằng cách sử dụng công nghệ ảo hóa và một số phần của môi trường mô phỏng có thể thực sự yêu cầu các thành phần vật lý. Tuy nhiên, hầu hết các trường hợp sử dụng của cyber range có thể đạt được thông qua ảo hóa. Với điều đó trong tâm trí, cyber range có thể được chia rộng rãi thành hai loại, dựa trên công nghệ chính được sử dụng để phát triển chúng:

1) Cyber Range Thông thường – Đây là các cyber range dựa trên ảo hóa thông thường
2) Cyber Range Dựa trên Đám mây – Đây là các cyber range dựa trên công nghệ đám mây

Khi công nghệ đám mây và ảo hóa thông thường tiếp tục phát triển, một loại thứ ba của cyber range lai sẽ bắt đầu phát triển, dựa trên việc sử dụng các công nghệ khác nhau. Loại này không được đề cập trong bài báo này.

8.1 Ảo hóa Thông thường

Hình minh họa sau đây thể hiện các loại ảo hóa thông thường cơ bản, bao gồm ảo hóa truyền thống dựa trên hypervisor và công nghệ container. Nhiều cyber range dựa vào một trong hai loại này, hoặc kết hợp cả hai.

Đáng chú ý là trong hình trên, công nghệ container được đại diện bởi Docker trong khi không có ví dụ cụ thể nào được minh họa đối với ảo hóa truyền thống. Điều này là do, không giống như ảo hóa truyền thống được đặc trưng bởi nhiều hương vị công nghệ, công nghệ container trên thực tế được thống trị bởi công nghệ Docker.

8.1.1 Ảo hóa Truyền thống

Theo truyền thống, ảo hóa đạt được thông qua việc tạo ra một máy ảo là một chương trình phần mềm mô phỏng hành vi của một máy tính vật lý. Vì nhiều máy ảo có thể chạy trên phần cứng thực, một lớp phần mềm bổ sung được sử dụng, gọi là hypervisor, đảm bảo rằng các máy ảo không can thiệp vào nhau và mỗi máy có quyền truy cập vào các tài nguyên vật lý cần thiết để thực thi. Có hai loại hypervisor:

• Type 1 hoặc hypervisor “bare-metal” tương tác trực tiếp với các tài nguyên vật lý bên dưới, thay thế hoàn toàn hệ điều hành truyền thống. Chúng thường xuất hiện trong các kịch bản máy chủ ảo và do đó dành cho việc phát triển trung tâm dữ liệu.
• Type 2 hypervisor chạy như một ứng dụng trên hệ điều hành hiện có (OS). Chúng thường được sử dụng trên các thiết bị đầu cuối để chạy các hệ điều hành thay thế và mang chi phí hiệu suất vì chúng phải sử dụng hệ điều hành chủ để truy cập và điều phối các tài nguyên phần cứng bên dưới.

Các hypervisor mẫu được liệt kê trong bảng sau.

Type 1	Type 2
Thương mại:

• VMware’s ESXi (tập trung vào trung tâm dữ liệu) | • VMware Workstation (Player hoặc pro)
• Microsoft Hyper-V | • Parallels
• XenServer, hiện được biết đến như Citrix Hypervisor |
• IBM z/VM |
  Mã nguồn mở: |
• KVM (kernel-based virtual machine) | • VirtualBox
  | • QEMU

Một số cyber range tồn tại đã được xây dựng trên ảo hóa truyền thống, đặc biệt là những cyber range được xây dựng trước khi công nghệ đám mây phổ biến. Phần lớn các cyber range như vậy đã được xây dựng dựa trên các nhà cung cấp ảo hóa thương mại (phần lớn là VMware) dẫn đến chi phí đầu tư lớn và chi phí vận hành lớn liên quan đến việc cấp phép hàng năm của phần mềm ảo hóa.

Theo bản chất của nó, công nghệ ảo hóa truyền thống không có mức độ điều phối nâng cao nên nhà cung cấp cyber range cần phải phát triển thêm trên nó. Ngoài ra, công nghệ ảo hóa truyền thống đã được phát triển với trung tâm dữ liệu trong tâm trí, để cung cấp cho các tổ chức khả năng quản lý hàng trăm máy chủ hiệu quả hơn và tiết kiệm chi phí hơn. Tuy nhiên, trường hợp sử dụng chính cho ảo hóa truyền thống là để có các máy chủ đang chạy (khởi động một lần và khởi động lại khi cần) và không phải để có một số lượng lớn cả máy chủ và máy khách khởi động động, tắt, xóa, cấu hình theo yêu cầu v.v. Vì lý do này, các cyber range được xây dựng trên ảo hóa truyền thống không được đặc trưng bởi mức độ điều phối mạnh mẽ.

Tuy nhiên, không giống như các cyber range dựa trên đám mây công cộng, các cyber range được xây dựng trên ảo hóa truyền thống được hưởng lợi từ mức độ linh hoạt và kiểm soát tuyệt vời, điều này dựa trên công việc phát triển được thực hiện bởi nhà cung cấp cyber range, có thể bao gồm hỗ trợ cho các khả năng khác nhau và quan trọng nhất là kiểm soát dữ liệu và thông tin cyber range.

8.1.2 Công nghệ Container

Cách tiếp cận truyền thống khác để ảo hóa, một cách đã chứng kiến sự phát triển công nghệ to lớn trong những năm gần đây, là dựa trên công nghệ container. Không giống như ảo hóa thông thường nơi mỗi máy ảo chạy hệ điều hành (OS) riêng của mình, các container chia sẻ kernel hệ điều hành của máy. Cụ thể, công nghệ container đã được phát triển để tạo điều kiện và cải thiện tính di động của các ứng dụng trên các môi trường điện toán khác nhau bằng cách gộp mã ứng dụng cùng với các tệp cấu hình, thư viện và các phụ thuộc liên quan cần thiết để nó chạy.

Công nghệ container cung cấp cho các nhà cung cấp cyber range khả năng chạy nhiều container trên cùng một máy ảo. Công nghệ container cũng cung cấp các khả năng điều phối có thể cấu hình trước các mạng phức tạp và giao tiếp giữa các container làm cho chúng hiệu quả hơn về chi phí. Tuy nhiên, do bản chất của chúng, công nghệ container không mô phỏng một hệ thống thực mà thay vào đó là một phiên bản thu gọn của môi trường được thiết kế chỉ với mục đích chạy một ứng dụng. Phạm vi mô phỏng được cung cấp bởi container do đó bị hạn chế.

Ví dụ, mặc dù công nghệ container đã làm việc trên hệ thống Windows trong một thời gian dài, chúng bị hạn chế trong khả năng mô phỏng một hệ thống Windows đầy đủ. Cụ thể, bạn không thể mô phỏng một cơ sở hạ tầng Windows đầy đủ với Active Directory, máy chủ Windows và máy trạm Windows, chỉ sử dụng container. Vì lý do này, các trường hợp sử dụng phổ biến nhất của cyber range dựa trên công nghệ container liên quan đến đào tạo và giáo dục bảo mật, nhưng không phải tất cả các loại đào tạo có thể được giải quyết.

Khi nói đến bảo mật, cả công nghệ container và ảo hóa đều có những vấn đề vốn có. Khi sử dụng container, tất cả các ứng dụng riêng lẻ chạy dưới cùng một máy chủ và được cách ly, ở cấp độ phần mềm, bởi hệ điều hành. Cấu hình sai của các container riêng lẻ hoặc lỗ hổng ảnh hưởng đến kernel máy chủ có thể dẫn đến lộ dữ liệu nhạy cảm hoặc thậm chí xâm phạm các container liền kề. Các cuộc tấn công như vậy có thể được giảm thiểu bằng cách thực thi các chính sách cấu hình và vá lỗi nghiêm ngặt trên các máy chủ container riêng lẻ.

Một trong những ưu điểm của công nghệ container là các bản vá bảo mật có thể được triển khai dễ dàng với sự gián đoạn tối thiểu. Mặt khác, công nghệ ảo hóa truyền thống hoạt động ở cấp độ phần cứng. Cấu hình sai của hypervisor là một khả năng, nhưng là một khả năng rất nhỏ. Các lỗ hổng vẫn tồn tại ở cấp độ phần cứng hoặc hypervisor có thể cho phép kẻ tấn công xâm phạm máy chủ và bất kỳ máy ảo liền kề nào chạy trên nó. Mặc dù tần suất các lỗ hổng như vậy được công bố là thấp, điều đó không nhất thiết có nghĩa là chúng không tồn tại. Việc giảm thiểu có thể đạt được với sự gián đoạn tối thiểu, vì công nghệ ảo hóa thường cho phép di chuyển máy chủ, và bằng cách thực thi các chính sách và thủ tục vá lỗi nghiêm ngặt.

Gartner dự đoán rằng đến năm 2022, hơn 75% tổ chức toàn cầu sẽ chạy các ứng dụng container hóa trong sản xuất, so với dưới 30% hiện nay. Trong những năm tới, có thể an toàn khi giả định rằng cyber range sẽ yêu cầu khả năng mô phỏng container ngày càng tăng.

8.2 Ảo hóa Đám mây

Với ảo hóa thông thường, tài nguyên không được sử dụng hiệu quả và trên thực tế không thể tận dụng một cách tự nhiên vào các tài nguyên vật lý chưa sử dụng trải dài trên toàn bộ cơ sở hạ tầng. Trong khi xây dựng trên ảo hóa thông thường, ảo hóa đám mây trừu tượng hóa các tài nguyên vật lý cơ bản trên toàn bộ cơ sở hạ tầng (RAM, không gian đĩa, mạng v.v.) và làm cho chúng có sẵn một cách trong suốt cho hypervisor để có thể sử dụng tốt hơn và đầy đủ hơn tất cả tài nguyên có sẵn.

Kết quả là, lợi thế ngay lập tức nhất của ảo hóa đám mây là giảm chi phí thông qua tăng hiệu quả. Tuy nhiên, một lợi thế tuyệt vời khác đi kèm với ảo hóa đám mây là khả năng điều phối gốc của nó để tự động hóa và tạo điều kiện cho việc quản lý quy trình làm việc của máy ảo. Điều quan trọng cần lưu ý là công nghệ đám mây cung cấp cho người dùng cả ảo hóa truyền thống dựa trên hypervisor và ảo hóa công nghệ container. Nói cách khác, có thể chạy cả máy ảo tiêu chuẩn và container trên đám mây, tùy thuộc vào công nghệ đám mây và nhà cung cấp cụ thể.

Hỗ trợ vốn có cho cấu hình động, tăng hiệu quả và khả năng mở rộng làm cho công nghệ đám mây trở thành lựa chọn tự nhiên để triển khai cyber range hiện đại, mặc dù không phải cho tất cả các trường hợp sử dụng cyber range và không nhất thiết trên các loại người dùng cyber range khác nhau. Cụ thể, có ba loại cyber range dựa trên đám mây tồn tại liên quan đến cùng ba loại triển khai đám mây thường được sử dụng cho các ứng dụng kinh doanh tiêu chuẩn.

8.2.1 Đám mây Công cộng

Trong môi trường đám mây công cộng, các dịch vụ đám mây mở cho công chúng đăng ký, cho phép người dùng truy cập dịch vụ mà không phải lo lắng về việc chạy hoặc bảo trì cơ sở hạ tầng đám mây, điều này được thực hiện bởi nhà cung cấp đám mây. Đám mây công cộng chủ yếu chạy trên mô hình trả tiền theo sử dụng, cho phép phát triển cyber range bắt đầu mà không cần đầu tư ban đầu lớn và không phải lo lắng về việc mua sắm phần cứng. Thông thường, các nhà cung cấp đám mây công cộng cho phép truy cập vào ảo hóa đám mây của họ thông qua API và tất cả những gì nhà cung cấp cyber range phải làm là phát triển nền tảng cyber range trên đó, để lại tất cả công việc nặng nhọc cho nhà cung cấp đám mây. Đó có lẽ là lý do tại sao nhiều cyber range xuất hiện trên thị trường gần đây đều dựa trên các nhà cung cấp đám mây công cộng. Ví dụ về các nhà cung cấp đám mây công cộng bao gồm Amazon Web Services (AWS), Microsoft Azure, Google và Rackspace.

Mặc dù dễ dàng thiết lập và vận hành hơn, các cyber range dựa trên đám mây công cộng có một số nhược điểm mà người ta phải xem xét. Điểm đầu tiên là thiếu kiểm soát vốn có đối với dữ liệu chảy qua cyber range. Một nhược điểm chính khác là mức độ linh hoạt thấp hơn được yêu cầu bởi nhà cung cấp cyber range để phát triển và cấu hình các kịch bản theo yêu cầu và để cung cấp một số khả năng cyber range được nêu trong bài báo này. Mỗi khả năng cyber range mới, ngoài khả năng cốt lõi về tạo và quản lý môi trường mô phỏng, phải đối mặt với các ràng buộc công nghệ của nhà cung cấp đám mây.

Vì lý do này, phần lớn các cyber range đám mây công cộng có sẵn chủ yếu tập trung vào các trường hợp sử dụng đào tạo và giáo dục, nơi khả năng quản lý quy trình làm việc của môi trường mô phỏng một cách nhanh chóng và hiệu quả là một lợi thế lớn. Các nhược điểm khác của cyber range dựa trên đám mây công cộng liên quan đến các hạn chế do nhà cung cấp đám mây công cộng áp đặt để cung cấp các kịch bản tấn công mô phỏng bao gồm nhưng không giới hạn ở các cuộc tấn công DDOS hoặc bất kỳ loại tấn công phá hoại nào khác có thể ảnh hưởng đến cơ sở hạ tầng đám mây công cộng. Cuối cùng, mặc dù mô hình trả tiền theo sử dụng có thể có lợi, đám mây công cộng nổi tiếng là tính phí người dùng dựa trên các yếu tố khác nhau như không gian đĩa, băng thông Internet v.v., điều này có thể nhanh chóng vượt khỏi tầm kiểm soát nếu không được quản lý đúng cách.

8.2.2 Đám mây Riêng

Đám mây Riêng được tạo ra và duy trì bởi một tổ chức tư nhân để sử dụng riêng hoặc để cung cấp dịch vụ cho khách hàng của họ. Để xây dựng đám mây riêng, một tổ chức phải chịu tất cả chi phí thiết lập, bảo trì và vận hành cơ sở hạ tầng đám mây. Lợi ích mặt khác của việc chạy đám mây riêng là kiểm soát hoàn toàn đối với các ứng dụng, dữ liệu và luồng thông tin trong cơ sở hạ tầng đám mây. Vì lý do này, các cyber range đám mây riêng, cùng với cyber range dựa trên công nghệ thông thường, có thể là lựa chọn phù hợp hơn khi quyền riêng tư và bảo mật là yêu cầu bắt buộc, chẳng hạn như cho các ứng dụng chính phủ hoặc quân sự.

Giống như cyber range dựa trên công nghệ thông thường, cyber range đám mây riêng cũng có tính linh hoạt cao trong việc phát triển các khả năng cyber range bổ sung, ngoài các khả năng cốt lõi, hoặc thông qua công việc phát triển riêng của nhà cung cấp hoặc thông qua việc tích hợp các hệ thống và ứng dụng của bên thứ ba. Sự kết hợp của các yếu tố này cũng cho phép các nhà cung cấp cyber range dựa trên đám mây riêng cung cấp các tùy chọn tại chỗ cho cyber range, điều mà các cyber range đám mây công cộng không thể làm được.

Giống như cyber range thông thường, cyber range đám mây riêng phù hợp để cung cấp hỗ trợ cho nhiều trường hợp sử dụng cyber range, với lợi ích bổ sung là sử dụng điều phối công nghệ đám mây. Cyber range được xây dựng trên đám mây riêng có thể được xây dựng trên cả giải pháp thương mại và mã nguồn mở. Các nhà cung cấp dựa trên công nghệ đám mây thương mại có thể có mức giá cao hơn liên quan đến việc cấp phép công nghệ mà họ phụ thuộc, nhưng họ cũng được hưởng hỗ trợ công nghệ mạnh mẽ hơn từ mạng lưới nhà cung cấp đám mây. Các công nghệ mã nguồn mở phổ biến nhất được sử dụng để xây dựng đám mây riêng bao gồm Openstack và OpenNebula.

8.2.3 Đám mây Lai

Đám mây lai, như tên gọi của nó, kết hợp những điều tốt nhất của cả hai thế giới. Đám mây lai là một cơ sở hạ tầng bao gồm các liên kết giữa đám mây riêng, được quản lý bởi tổ chức, và ít nhất một đám mây công cộng, được quản lý bởi bên thứ ba (ví dụ: Amazon, Microsoft v.v.). Đám mây lai cung cấp khả năng kiểm soát mạnh mẽ hơn, đặc biệt là đối với bảo mật của dữ liệu quan trọng, tài sản và hoạt động trong khi đồng thời tận dụng khả năng mở rộng tự nhiên của cơ sở hạ tầng đám mây công cộng.

Cyber range được xây dựng trên công nghệ đám mây lai có thể áp dụng kiểm soát tốt hơn đối với dữ liệu nhạy cảm liên quan đến range. Mặc dù các nhà cung cấp đám mây nỗ lực rất nhiều để bảo vệ dữ liệu của khách hàng, đám mây công cộng về cơ bản là môi trường mở hơn nhiều so với mạng riêng, điều này làm cho chúng dễ bị tấn công mạng và các hình thức rò rỉ dữ liệu khác nhau hơn. Việc sử dụng cyber range tạo ra dữ liệu có thể cung cấp cái nhìn sâu sắc về khả năng không gian mạng của một tổ chức hoặc quốc gia. Đây là một cân nhắc chính đặc biệt khi sử dụng cyber range được phát triển trên đám mây công cộng. Do đó, một số tổ chức, đặc biệt là các tổ chức nhạy cảm về quyền riêng tư từ lĩnh vực quân sự và chính phủ, có thể hưởng lợi từ những ưu điểm của cyber range được xây dựng trên công nghệ đám mây lai. Cuối cùng, cần phải hết sức cẩn thận trong việc quyết định những dịch vụ nào được chạy trên cơ sở hạ tầng công cộng và thông tin nào phải giữ tại chỗ.

9. GIAO TIẾP GIỮA CÁC CYBER RANGE

Các sáng kiến đang được đưa ra để kết hợp nhiều cyber range theo cách tăng hoặc cải thiện khả năng mô phỏng cũng như các khả năng khác vượt ra ngoài những gì có thể được cung cấp bởi một cyber range đơn lẻ.

9.1 Liên đoàn Cyber Range

Trong công nghệ thông tin, liên đoàn là một nhóm các nhà cung cấp điện toán hoặc mạng đồng ý về các tiêu chuẩn hoạt động theo cách tập thể. Liên quan đến cyber range, các tiêu chuẩn hoạt động bao gồm ngôn ngữ mô tả kịch bản, mô tả khả năng cyber range, và yêu cầu và cung cấp dịch vụ cyber range trong liên đoàn. Đối với các kịch bản, ví dụ, có thể sử dụng cách chung để mô tả chúng trên các cyber range khác nhau, cho phép mỗi cyber range triển khai và cung cấp chúng theo cách riêng của họ.

Khái niệm liên đoàn dựa trên giả định rằng việc một cyber range cụ thể có thể cung cấp tất cả các khả năng và chức năng cần thiết là rất phức tạp và tốn kém, và do đó có thể hình dung rằng nhiều cyber range, mỗi cái với lĩnh vực chuyên môn của mình, có thể làm việc cùng nhau để cung cấp cho người dùng cuối khả năng đạt được nhiều trường hợp sử dụng và các loại kịch bản khác nhau. Liên đoàn cyber range có thể cung cấp cho người dùng một điểm dừng chân duy nhất cho tất cả các nhu cầu và yêu cầu của họ.

Điều quan trọng cần lưu ý ở đây là liên đoàn không ngụ ý tích hợp, điều này thay vào đó yêu cầu hai hoặc nhiều cyber range phải có khả năng giao tiếp với nhau để cung cấp một kịch bản. Các cyber range trong một liên đoàn có thể hoàn toàn có khả năng giao tiếp. Tuy nhiên, tích hợp không phải là yêu cầu để liên đoàn tồn tại. Có những ví dụ đáng chú ý về các liên đoàn cyber range đang được phát triển ở Châu Âu bởi Cơ quan Phòng thủ Châu Âu (EDA), và dự án được EU tài trợ ECHO. Dự án CyberSec4Europe sẽ trình diễn các yêu cầu, đặc điểm kỹ thuật và trường hợp sử dụng cho liên đoàn cyber range trong năm 2020 và 2021.

9.2 Tích hợp Cyber Range

So với khái niệm liên đoàn, tích hợp yêu cầu các cyber range phải nói chuyện với nhau. Tích hợp cyber range nghĩa là một nhóm gồm hai hoặc nhiều cyber range có thể giao tiếp với nhau để cung cấp môi trường mô phỏng trải rộng trên các cyber range. Tích hợp giữa các cyber range thường đạt được thông qua các phương pháp tích hợp truyền thống, như đường hầm VPN. Việc sử dụng các công nghệ như vậy yêu cầu không gian địa chỉ IP được tích hợp từ các cyber range khác nhau phải khác nhau, để cho phép các cyber range truyền dữ liệu giữa nhau. Nói cách khác, tích hợp yêu cầu kỷ luật trong việc lập kế hoạch môi trường mạng kỹ thuật.

Tích hợp cyber range mang lại nhiều thách thức kỹ thuật và hậu cần hơn so với liên đoàn cyber range. Các thách thức kỹ thuật liên quan đến khả năng điều phối các cyber range chạy trên các công nghệ có thể khác nhau, cùng với các vấn đề về địa chỉ IP, băng thông Internet và nhiều vấn đề khác. Ngoài ra, thiết kế kịch bản phải xem xét đến các công nghệ cyber range khác nhau và các phụ thuộc tiềm năng. Nói cách khác, lợi ích của việc sử dụng tích hợp cyber range phụ thuộc nhiều vào kịch bản được thiết kế và phát triển để tận dụng những lợi ích đó.

10. MÔ HÌNH CUNG CẤP CYBER RANGE

Sau khi đã định nghĩa cyber range là gì, câu hỏi đặt ra là “làm thế nào để có thể truy cập vào nó”? Cyber range có thể được truy cập rộng rãi theo một trong hai cách có thể, đó là:

1) Cyber Range như một Dịch vụ
2) Cyber Range Tại chỗ

Cách truy cập cyber range không phụ thuộc vào công nghệ được sử dụng để triển khai cyber range. Ví dụ, mặc dù nhiều người có thể tự nhiên liên kết chế độ cung cấp Cyber Range như một Dịch vụ với việc sử dụng công nghệ đám mây (sau cùng, SaaS như một chế độ cung cấp là một khái niệm công nghệ đám mây), cũng tồn tại các cyber range có thể truy cập như một dịch vụ nhưng không được phát triển bằng công nghệ đám mây hoặc có sẵn trực tuyến.

Khi công nghệ cyber range trưởng thành, các cyber range chế độ hỗn hợp sẽ trở nên phổ biến hơn và bắt đầu xuất hiện trên thị trường, cung cấp một số chức năng tại chỗ trong tổ chức trong khi để các chức năng khác sẵn có như một dịch vụ (chủ yếu trực tuyến nhưng cũng từ một địa điểm vật lý của nhà cung cấp cyber range).

10.1 Cyber Range như một Dịch vụ

Trong mô hình này, cyber range được sở hữu và quản lý bởi nhà cung cấp cyber range, họ làm cho nó có sẵn cho các bên thứ ba với các mô hình tính phí dựa trên nhà cung cấp cyber range, các chức năng và khả năng cụ thể và cuối cùng là các dịch vụ được cung cấp. Có hai loại chính của cyber range như một dịch vụ tồn tại:

• Trực tuyến – Trong trường hợp này, cyber range được truy cập từ xa bởi khách hàng và rất có thể được phát triển trên công nghệ đám mây, mặc dù không nhất thiết.
• Vật lý – Trong trường hợp này, cyber range được lưu trữ tại một địa điểm vật lý mà khách hàng cần phải đến để sử dụng. Cyber range thường sẽ cung cấp các cơ sở đào tạo vật lý, phòng nghỉ giải lao, và phòng họp tổng kết, tạo thành một phần của dịch vụ được cung cấp.

Như đã đề cập trước đó, các loại công nghệ cyber range cơ bản có thể khác nhau, với các cyber range trước đây được phát triển với công nghệ ảo hóa truyền thống và các cyber range gần đây hơn sử dụng công nghệ đám mây.

10.2 Cyber Range Tại chỗ

Cyber range tại chỗ được triển khai vật lý tại chỗ trong một tổ chức. Đây thường là tùy chọn cyber range đắt tiền nhất vì nó yêu cầu đầu tư vốn ban đầu lớn hơn liên quan đến phần cứng và phần mềm cyber range. Tùy chọn tại chỗ, mặc dù chắc chắn đắt tiền hơn, phù hợp hơn để đáp ứng các yêu cầu bảo mật của một tổ chức có thể thực hiện kiểm soát tốt hơn đối với dữ liệu liên quan đến việc sử dụng cyber range. Khi công nghệ ảo hóa phát triển và mở rộng lĩnh vực mô phỏng, chi phí của cyber range tại chỗ sẽ giảm. Theo định nghĩa, cyber range tại chỗ không thể được xây dựng trên đám mây công cộng và chỉ có thể dựa trên ảo hóa thông thường hoặc công nghệ đám mây riêng.

11. KẾT LUẬN

Bài viết này đã trình bày tổng quan về cyber range và các trường hợp sử dụng liên quan, nhấn mạnh các khả năng khác nhau mà cyber range có thể hiển thị và các loại công nghệ khác nhau làm nền tảng cho việc phát triển cyber range. Cụ thể, bài báo này đã giới thiệu một loạt các tiêu chí có thể được người đọc sử dụng để đánh giá tốt hơn các khả năng của các cyber range khác nhau khi chúng liên quan đến khả năng đáp ứng các yêu cầu của các trường hợp sử dụng cụ thể. Cuối cùng, bài báo này đã phác thảo các công nghệ khác nhau làm nền tảng cho việc phát triển cyber range, nhấn mạnh những hạn chế vốn có và/hoặc khả năng tiềm năng của mỗi công nghệ.

Theo ý kiến của các tác giả, công nghệ cyber range và cyber range ngày nay đã rất trưởng thành để có thể cung cấp một số trường hợp sử dụng, nhưng chưa trưởng thành để cung cấp một số kỳ vọng của thị trường và những lời hứa cuối cùng mà cyber range nhắm đến. Khi thị trường hiện tại thiếu hiểu biết rõ ràng về cyber range và các công nghệ và trường hợp sử dụng liên quan, cyber range được chọn không phân biệt với mục đích đáp ứng các trường hợp sử dụng cụ thể chỉ để nhận ra rằng không phải tất cả cyber range đều giống nhau, do đó dẫn đến kỳ vọng không thành. Như thường xảy ra khi một công nghệ mới nổi và thời thượng bắt đầu trở nên phổ biến trong thị trường, người dùng đưa ra quyết định vội vàng dẫn đến không thể đạt được lợi nhuận đầu tư dự định. Các tác giả hy vọng rằng người đọc có ý định mua, chọn hoặc phát triển cyber range sẽ thấy thông tin trong bài báo này là hướng dẫn hữu ích.

CertMaster Co,Ltd – Đối Tác Đào Tạo & Phân Phối CyberRangeS tại Việt Nam

Thông tin liên hệ – Zalo 0914433339 – Messenger Đông Dương

Tham khảo CyberRangeS Online https://cyberranges.online/