Với mục đích mô phỏng hệ thống CNTT, Thao trường mạng cung cấp các khả năng chính như sau: Mô phỏng các dịch vụ Internet, Mô phỏng các cuộc tấn công, Mô phỏng hoạt động của người dùng, Phát triển nội dung và kịch bản, Quản lý năng lực, Thu thập và phân tích dữ liệu, Cho điểm và báo cáo, Công cụ của người hướng dẫn. Hình 1.1 ở dưới minh họa một số khả năng chính của Thao trường mạng [6].Hình 1.1: Khả năng của Thao trường mạng.

• Mô phỏng các dịch vụ Internet bổ sung tính hiện thực của các kịch bản sử dụng Thao trường mạng. Trong nhiều trường hợp, các dịch vụ Internet không được mô phỏng do cần tăng độ phức tạp để đảm bảo sự phù hợp với thực tế.
• Mô phỏng các cuộc tấn công trong và tới môi trường mô phỏng không gian mạng. Các công cụ mô phỏng tấn công thể hiện các giai đoạn khác nhau của chuỗi tiêu diệt, đồng thời đưa ra các khuyến nghị về cách đảm bảo an toàn cho tổ chức.
• Mô phỏng hoạt động của người dùng là bắt buộc đối với các tình huống cụ thể mô tả môi trường thực và tăng thêm tính thực tế. Ví dụ về mô phỏng hoạt động của người dùng như hoạt động duyệt Internet, xem video YouTube, sử dụng ứng dụng chia sẻ tệp P2P, gửi và nhận email, tương tác với các dịch vụ đám mây như Office 365, Dropbox, v.v.
• Phát triển nội dung và kịch bản liên quan đến khả năng hỗ trợ phát triển các kịch bản của bên thứ ba hoặc bởi chính người dùng. Ngoài ra, một số Thao trường mạng có sẵn các công cụ tạo kịch bản hiệu quả.
• Quản lý năng lực cho phép tổ chức quản lý chương trình năng lực từ kỹ năng phân tích lỗ hổng, lập hồ sơ người dùng cho đến xác định lộ trình huấn luyện và đánh giá năng lực. Hệ thống quản lý năng lực cũng có thể bao gồm hệ thống quản lý huấn luyện để quản lý tài liệu, theo dõi, báo cáo và cung cấp nội dung học tập và đánh giá.
• Thu thập và phân tích dữ liệu là khả năng thu thập tương tác của người tham gia huấn luyện với Thao trường mạng như lưu lượng truy cập được tạo, kết xuất bộ nhớ, công cụ được sử dụng, hệ thống mục tiêu, v.v. Nó có thể chỉ bao gồm việc thu thập dữ liệu do người dùng cung cấp (ví dụ: câu trả lời cho nhiệm vụ hoặc thử thách); ở cấp độ cao nhất, nó sẽ thu thập tất cả các tương tác của người dùng. Thao trường mạng cũng dễ dàng hơn trong việc phân tích dữ liệu đã thu thập để tìm hiểu về cách sử dụng Thao trường mạng, cách người dùng thực hiện các tác vụ, v.v.
• Cho điểm và báo cáo cho phép người dùng được tính điểm dựa trên các hoạt động và tương tác của họ với Thao trường mạng, đơn giản như thu thập thông tin đầu vào của người dùng với các câu hỏi và nhiệm vụ, cho đến các hệ thống phòng thủ và tấn công phức tạp bao gồm các bài kiểm tra tự động để kiểm tra tính khả dụng của dịch vụ, tính toàn vẹn của hệ thống, v.v. Hầu hết các Thao trường mạng bao gồm và/hoặc yêu cầu một số khả năng báo cáo về nhận thức tình huống mạng thời gian thực để hình dung rõ ràng việc sử dụng Thao trường mạng, tác động của các công cụ được sử dụng, các hành động được thực hiện bởi người dùng, v.v.
• Công cụ của người hướng dẫn là khả năng mà người hướng dẫn mong muốn và/hoặc yêu cầu khi sử dụng Thao trường mạng cho mục đích giáo dục và/hoặc huấn luyện. Ví dụ như đánh giá người dùng và hành động của họ, phương tiện liên lạc (ví dụ: trò chuyện, phát sóng sự kiện, v.v.), khả năng kiểm soát luồng công việc của kịch bản (dừng, tạm dừng, gián đoạn thực hiện kịch bản), khả năng ghi lại và xem lại hành động của người dùng (ví dụ: các lệnh được thực hiện), khả năng thực hiện đánh giá người dùng, v.v.

Tham khảo:

[6] Cyber-MAR, Introduction to the Cyber Range, https://rb.gy/1uuij

Thao trường mạng (Cyber Ranges) là nền tảng tương tác, mô phỏng các hệ thống mạng phức tạp, các công cụ và ứng dụng, sử dụng chủ yếu trong lĩnh vực an ninh không gian mạng. Khả năng ứng dụng của loại hệ thống này mang lại những lợi ích to lớn trong các lĩnh vực như giáo dục, nghiên cứu, quân sự, v.v.

Trong lĩnh vực an toàn thông tin, Thao trường mạng cung cấp một môi trường hợp pháp và an toàn để thực hành các kỹ năng tấn công, phòng thủ, kiểm thử xâm nhập và phát triển sản phẩm an toàn thông tin (ATTT). Nhờ có Thao trường mạng, các cá nhân và tổ chức đã giải quyết được tình trạng thiếu hụt môi trường mô phỏng chuyên nghiệp để huấn luyện  ATTT [5].

Tham khảo:

[5] Davis Jon, Magrath, Shane. A Survey of Cyber Ranges and Testbeds. Defence Science and Technology Organisation Edinburgh (Australia) Cyber and Electronic Warfare Div, 2013, https://rb.gy/q7sfo 

Sau thời gian bị ảnh hưởng nặng nề bởi đại dịch COVID-19, chi tiêu vào công nghệ thông tin đã tăng mạnh trở lại từ năm 2021. Theo dự đoán mới nhất vào tháng 4/2023 của Gartner [1], tổng chi tiêu công nghệ thông tin toàn cầu sẽ đạt tới 4,6 nghìn tỷ đô la vào năm 2023, tăng 5,5% so với năm 2022. Trong đó mức tăng trưởng cao nhất thuộc về các thiết bị phần cứng và các phần mềm chuyên dụng do các cơ quan và tổ chức ngày càng chú trọng đầu tư cho công nghệ thông tin vốn là nền tảng của kinh tế số.
Song hành với sự lớn mạnh của kinh tế số là sự gia tăng không ngừng của các hoạt động tấn công trên không gian mạng. Các máy chủ web phải chịu đựng hàng loạt các cuộc tấn công mỗi ngày. Nạn ăn cắp thông tin cá nhân bùng phát với tốc độ chóng mặt. Một máy tính không được bảo vệ, khi kết nối vào Internet, có thể bị lây nhiễm mã độc trong vòng vài phút. Giả danh người dùng, tấn công mở cửa sau, leo thang đặc quyền, cùng với virus và sâu máy tính vốn đã quá quen thuộc với người sử dụng máy tính. Đó cũng chỉ là một trong số những hiểm họa mà người dùng máy tính có thể gặp phải. Theo báo cáo vào tháng 5/2023 của Comparitech [2], thiệt hại toàn cầu do các hành vi tội phạm mạng gây ra ước tính sẽ lên đến 10,5 nghìn tỷ đô la mỗi năm cho đến 2025.
Các hành vi tấn công trên không gian mạng ngày càng gia tăng về số lượng, ngày càng phức tạp về mức độ, tính chất và quy mô, đồng thời rất tinh vi trong cách thức tiến hành. Tội phạm mạng cũng không ngừng cải tiến phương pháp và kỹ thuật tấn công để dễ thực hiện hơn và gây hậu quả nghiêm trọng hơn. Đối với các tổ chức và doanh nghiệp, để đảm bảo an ninh an toàn cho hệ thống CNTT thì lớp phòng thủ đầu tiên và quan trọng nhất chính là yếu tố con người. Tuy nhiên, con người lại là điểm yếu nhất trong hệ thống vì bản tính tin cậy, vì chưa nhận thức đầy đủ về ATTT, vì không tuân thủ chính sách và vì thiếu các kỹ năng chuyên sâu về an ninh mạng. Do đó, việc đảm bảo ATTT cho tổ chức phải được thực hiện trước tiên bằng biện pháp giáo dục, huấn luyện về nhận thức và kỹ năng an ninh mạng cho lãnh đạo và nhân viên. Trong đó, thiết thực nhất là các hình thức huấn luyện thông qua thực hành và diễn tập cho đội ngũ kỹ sư an ninh mạng. Ngoài ra, trong thời gian gần đây, ngành ATTT đã có một bước chuyển mình đáng kể khi thừa nhận tầm quan trọng của việc huấn luyện cho người dùng, chuyển từ “người dùng là mắt xích yếu của an ninh mạng” sang “người dùng có thể được huấn luyện chuyên nghiệp để cải thiện tình trạng mất an toàn tổng thể của tổ chức” [3]. Sự thay đổi lập trường này đang là một yếu tố làm ảnh hưởng cơ bản đến quy trình an ninh mạng và kích thích nhu cầu ngày càng tăng đối với các nền tảng huấn luyện. Tuy nhiên, một trở ngại lớn trong huấn luyện ATTT là xây dựng môi trường thực hành. Các khóa học theo chuẩn quốc tế thì chỉ cung cấp nội dung thực hành theo tình huống nhỏ lẻ và phải trả phí khá cao. Phần lớn đơn vị đào tạo thì gặp khó khăn về đầu tư trang thiết bị, ứng dụng để xây dựng phòng thực hành và chi phí duy trì, nâng cấp hệ thống. Bên cạnh đó, các tổ chức cũng thiếu hệ thống quản lý huấn luyện chuyên dụng gắn liền với công tác huấn luyện về ATTT. Điều này làm hạn chế về việc giám sát và đánh giá lộ trình huấn luyện vốn là một thành phần quan trọng nhằm giúp người tham gia huấn luyện đạt được mục tiêu.
Để góp phần giải quyết hiệu quả các vấn đề trên, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã đưa ra khái niệm về Thao trường mạng [4] là “các biểu diễn mô phỏng và tương tác liên quan đến mạng cục bộ, hệ thống, công cụ và ứng dụng của một tổ chức”. Thao trường mạng cung cấp các nền tảng triển khai thuận lợi, mô phỏng thế giới thực để huấn luyện nâng cao nhận thức về các tình huống mất an toàn, hoặc huấn luyện kỹ năng chuyên sâu cho chuyên gia an ninh mạng. Các kịch bản huấn luyện có thể sao chép lại những cuộc tấn công mạng nhằm cung cấp cho người vận hành và người dùng kiến thức và kỹ năng cần thiết để giảm thiểu và ngăn chặn hành vi tấn công mạng và kịch bản chiến tranh mạng. Việc huấn luyện trong một môi trường mô phỏng, thời gian thực, sẽ giúp đẩy nhanh quá trình học hỏi và hiểu biết sâu sắc hơn về hậu quả của bất kỳ hành vi độc hại nào trên không gian mạng. Ngoài việc tạo điều kiện thuận lợi để thiết lập các kịch bản tấn công với mức độ phức tạp khác nhau, Thao trường mạng còn cung cấp hệ thống quản lý nhằm điều chỉnh các giai đoạn huấn luyện cho phù hợp với kịch bản và quản lý hiệu quả người tham gia huấn luyện. Các nhóm người dùng cũng có thể huấn luyện trên nền tảng truy cập từ xa để xác định, tối ưu hóa và phối hợp phản ứng đối với các cuộc tấn công mạng, ví dụ: ‘đội đỏ’ – đội tấn công và ‘đội xanh’ – đội phòng thủ của một ngân hàng.
Hiện nay, trong số các nền tảng Thao trường mạng có tính ứng dụng cao thì KYPO Cyber Range Platform là một phần mềm nguồn mở được phát triển và vận hành từ năm 2013 bởi CSIRT-MU – nhóm chuyên gia ATTT của Đại học Masaryk thuộc Cộng hòa Séc. Nền tảng KYPO CRP được sử dụng để giảng dạy cho sinh viên và huấn luyện các chuyên gia an ninh mạng. Nó cung cấp một môi trường ảo hóa để thực hiện các cuộc tấn công phức tạp chống lại cơ sở hạ tầng quan trọng được mô phỏng lại. KYPO CRP được đề xuất cài đặt trên đám mây và hoạt động dựa trên các phương pháp tiếp cận hiện đại như vùng chứa, cơ sở hạ tầng dạng mã và vi dịch vụ. Do được thiết kế dưới dạng nền tảng đám mây, KYPO CRP có tính linh hoạt cao, khắc phục được hạn chế của dịch vụ đám mây truyền thống, khả năng tích hợp mở rộng và hiệu quả chi phí tối đa. Rất nhiều nỗ lực phát triển đã được dành riêng cho các tương tác của người dùng trong KYPO CRP, cho phép cung cấp quyền truy cập thông qua trình duyệt web một cách dễ dàng. Nền tảng KYPO CRP cũng có sẵn hệ thống quản lý huấn luyện (RLMS) nên rất phù hợp với việc triển khai các khóa huấn luyện bài bản. Bên cạnh đó, KYPO CRP cung cấp hai loại kịch bản huấn luyện là tuần tự và thích ứng (không theo trình tự) để phù hợp với mục tiêu huấn luyện khác nhau của các tổ chức từ trò chơi CTF cho đến mô phỏng đội tấn công (red team) và đội phòng thủ (blue team) chuyên nghiệp. Về khả năng đảm bảo an toàn của chính hệ thống, KYPO CRP sử dụng sandbox để xây dựng sơ đồ mạng được cô lập hoàn toàn. Theo NIST, sandbox là một hệ thống cho phép các ứng dụng không đáng tin cậy chạy trong một môi trường được kiểm soát chặt chẽ, trong đó các quyền thực thi của ứng dụng bị hạn chế đối với một tập hợp các quyền thiết yếu của máy tính. Đặc biệt, một ứng dụng trong sandbox thường bị hạn chế truy cập vào hệ thống tệp hoặc mạng. Sandbox tạo ra môi trường hoạt động được kiểm soát và hạn chế nhằm ngăn phần mềm độc hại tiềm ẩn, chẳng hạn như mã di động, truy cập vào bất kỳ tài nguyên hệ thống nào ngoại trừ những tài nguyên mà phần mềm được ủy quyền. Tuy nhiên, KYPO CRP cũng có những hạn chế nhất định như cần nhiều kinh nghiệm triển khai trên đám mây, xây dựng sơ đồ mạng còn thủ công, thiếu tính năng thu thập và phân tích sự kiện an ninh mạng, v.v.
Trong phạm vi dự án này, chúng tôi sẽ giới thiệu tổng quan về Thao trường mạng bao gồm các vấn đề như: khả năng của Thao trường mạng, thành phần kỹ thuật của Thao trường mạng, các kiểu Thao trường mạng và việc ứng dụng ở Việt Nam. Nền tảng KYPO CRP cũng được trình bày chi tiết về kiến trúc và các thành phần chính như: kho Git, người dùng, cổng thông tin, đám mây, máy tính người dùng. Bên cạnh đó, chúng tôi đã ghi lại kinh nghiệm triển khai thực tế KYPO CRP trên đám mây, các lỗi gặp phải và cách khắc phục như: kiểm tra yêu cầu về OpenStack, các chú ý cài đặt, lỗi SPICE, lỗi floating IP address, lỗi timeout, lỗi 502 bad gateway, lỗi không sử dụng được giao diện chức năng, lỗi khởi tạo Pool, lỗi không khởi tạo được kịch bản, lỗi định nghĩa sandbox, lỗi hệ điều hành, lỗi không tải được sandbox, lỗi thiếu tệp trên images. Một thành phần quan trọng khác của KYPO CRP là cấu trúc kịch bản huấn luyện cũng được mô tả tổng quan và chi tiết thông qua các kịch bản huấn luyện cụ thể. Ngoài ra, để thuận tiện trong việc định nghĩa sơ đồ mạng, chúng tôi đã phát triển một công cụ mới là Create_KYPO_Sandbox viết bằng Python cho phép định nghĩa sơ đồ mạng một cách dễ dàng thông qua giao diện dòng lệnh. Bằng công cụ này, chúng tôi đã tạo lại sơ đồ mạng cho hai kịch bản huấn luyện chạy thực nghiệm là CRLAB-Demo-Training và CRLAB-Junior-Hacker-Training. Cùng với kết quả nghiên cứu bước đầu về việc tích hợp các nền tảng ảo hóa khác vào KYPO CRP, trong tương lại gần, chúng tôi sẽ tiếp tục hoàn thiện việc tích hợp EVE-ng để tạo sơ đồ mạng bằng giao diện đồ họa và Security Onion để cung cấp giải pháp SIEM (thu thập thông tin và phân tích sự kiện an ninh). Hiện tại, kết quả ban đầu của dự án đang được áp dụng để huấn luyện ATTT cho kỹ sư của công ty chủ quản và các đối tác.

Tham khảo:
[1] Gartner, Press Release, Gartner Forecasts Worldwide IT Spending to Grow 5.5% in 2023, https://rb.gy/kewl6
[2] Comparitech, 300+ Terrifying Cybercrime and Cybersecurity Statistics (2023 EDITION), https://rb.gy/oc6l8
[3] Sensor, A Review of Cyber-Ranges and Test-Beds: Current and Future Trends (13/12/2020), https://doi.org/10.3390/s20247148
[4] NIST, National initiative for cybersecurity education (NICE) cybersecurity workforce framework. NIST Spec. Publ. 2017, 800-181, https://doi.org/10.6028/NIST.SP.800-181

Trong khoảng vài năm gần đây, các doanh nghiệp và tổ chức lớn ở Việt nam rất chú trọng và dành ưu tiên cao về huấn luyện an toàn thông tin (ATTT) cho nhân viên và đội ngũ kỹ sư an ninh mạng của mình. Tuy nhiên, công tác huấn luyện ATTT cho khối doanh nghiệp đã và đang gặp một hạn chế lớn về việc thiết lập môi trường thực hành liên tục, dễ cập nhật các đe dọa mới, có kịch bản huấn luyện, có hệ thống quản lý huấn luyện và mô phỏng được tổng thể hệ thống công nghệ thông tin (CNTT) của tổ chức.
Để giải quyết khó khăn về thực hành ATTT, một số đơn vị đào tạo đã lựa chọn và triển khai các khóa học theo chuẩn quốc tế. Tuy nhiên, để sử dụng được các bài thực hành kèm theo khóa học, khách hàng phải mua bản quyền với chi phí khá cao. Ngoài ra, bài tập của các khóa học trên chỉ mô phỏng những tình huống riêng lẻ nên người học khó hình dung một cách đầy đủ về nguy cơ mất an toàn của tổ chức. Các đơn vị khác thì chọn giải pháp xây dựng môi trường thực hành bằng cách kết hợp các nền tảng ảo hóa và thiết bị thật. Phương án này khá tốn kém, thiếu hệ thống quản lý huấn luyện và không linh hoạt khi cần triển khai rộng cho nhiều tổ chức và doanh nghiệp.
Từ các vấn đề đã nêu ở trên, dự án “Xây dựng Thao trường an ninh mạng” thực hiện theo hướng khai thác ứng dụng nhằm thiết lập một môi trường thực hành ảo hóa hoàn toàn, dễ cập nhật, triển khai linh hoạt, sử dụng liên tục, có kịch bản huấn luyện, có hệ thống quản lý huấn luyện và có thể mô phỏng tổng thể hệ thống CNTT của doanh nghiệp. Nền tảng để xây dựng Thao trường mạng của dự án là KYPO Cyber Range Platform (KYPO CRP), một phần mềm mã nguồn mở do Đại học Masaryk (Cộng hòa Séc) cung cấp. Mục tiêu của dự án này là triển khai thành công nền tảng KYPO CRP trên cloud, phát triển một công cụ mới để định nghĩa sơ đồ mạng cho KYPO CRP thay cho thao tác thủ công và nghiên cứu tích hợp các nền tảng ảo hóa khác nhằm làm cho KYPO CRP hoàn thiện hơn. Chúng tôi hy vọng, các kết quả trên sẽ đóng góp thêm một phương án thực hành hiệu quả cho hoạt động diễn tập và huấn luyện ATTT ở Việt Nam.

Website dự án CRLAB.