Cyber Range được xây dựng trên nền tảng ảo hóa, mô phỏng đầy đủ hệ thống mạng của các cơ quan trọng yếu quốc gia, như các hệ thống máy chủ, máy trạm, thiết bị mạng, hệ thống đánh giá, giám sát, thiết bị điều khiển giám sát và thu thập dữ liệu (Supervisory Control And Data Acquisition - SCADA), các hệ thống công nghệ thông tin và các hệ thống phòng vệ an ninh điển hình.
Các công cụ được sử dụng trong Hệ thống hoạt động dựa trên hạ tầng mạng được hiển thị theo ngữ cảnh. Chúng bao gồm các giải pháp chống lại theo các giai đoạn của một cuộc tấn công:
- Trước cuộc tấn công (before): các công cụ giám sát, tăng cường bảo mật.
- Trong cuộc tấn công (during): các công cụ phát hiện, ngăn chặn.
- Sau cuộc tấn công (after): các công cụ khoanh vùng, khắc phục sự cố.
Hình 1. Mô hình hệ thống thao trường mạng Cyber Range
Các công nghệ sử dụng trong hệ thống như Cyber Threat Defense, Mail Security, Web Security, Identity Service Engine, Advanced Malware Protection, TrustSec, SIEM, BreakingPoint, ISE, CTD.… cho phép mô phỏng hơn 100 kịch bản phát hiện tấn công như: phát hiện theo hành vi (Behavior Reputation), ngăn ngừa thất thoát dữ liệu (Data Loss Prevention), phát hiện mã độc (Malware Detection), tấn công từ bên ngoài (External Attacks), giả mạo thiết bị (Device Spoofing), tấn công vào các phân vùng ảo hóa (Inter-VDC Attacks), các tấn công DDoS (Volumetric, Reflection, State Exhaustion, Application Layer Attacks)….
Hình 2. Sơ đồ logic hệ thống Cyber Range
Hệ thống Cyber Range gồm các vùng logic như: vùng quản trị (Management), vùng mạng bên ngoài (Outside), vùng mạng bên trong (Inside), vùng kẻ tấn công (Attackers), vùng nạn nhân (Victims).
Hệ thống Cyber Range gồm các thành phần chính bao gồm:
- Hạ tầng mạng hỗ trợ Netflow, AVC, TrustSec.
- Thiết bị tường lửa ASA NGFW, IPS Sourcefire.
- Thiết bị bảo vệ web WSA, thiết bị bảo vệ email ESA.
- Các thiết bị chống tấn công theo hành vi CTD (Cisco Cyber Threat Defense): SMC, FC, ISE.
- Các thiết bị phân tích dữ liệu: Splunk, FMC, Prime.
- Các thiết bị bảo mật ảo hóa.
- Công cụ tấn công BreakingPoint và công cụ tấn công nguồn mở.
Hình 3. Các thành phần hệ thống Cyber Range
Hệ thống Cyber Training được thiết kế để đào tạo cho các cán bộ nhân viên an ninh, những người có trách nhiệm bảo vệ các tài nguyên mạng quan trọng của tổ chức. Cyber Training cung cấp các cơ sở hạ tầng để đào tạo cho các cá nhân, các nhóm nhỏ hoặc lớn trong môi trường mạng thực tế với các lưu lượng mạng hợp pháp và lưu lượng bất hợp pháp (do kẻ tấn công tạo nên), cho phép học viên được tiếp xúc và ứng phó với các sự cố có thể gặp phải trên hệ thống. Dữ liệu mẫu phục vụ các mô hình huấn luyện thực hành cho môi trường mạng Internet đặc thù của Việt Nam có thể giả lập lưu lượng mạng quốc tế của người dùng ở Việt Nam, giả lập lưu lượng truy cập vào các trang web được truy cập nhiều nhất ở Việt Nam và khu vực châu Á, giả lập lưu lượng truy cập của người dùng thiết bị di động.
Hệ thống mô phỏng các tình huống tấn công mạng thực tế với các kiểu tấn công khác nhau, tạo ra một loạt các ảnh hưởng đến hệ thống mạng mô phỏng như: ảnh hưởng đến toàn vẹn dữ liệu, tính sẵn sàng của dịch vụ và thất thoát dữ liệu. Những kịch bản tấn công được chèn trực tiếp vào mạng mô phỏng từ máy chủ tấn công theo các kịch bản được lựa chọn để mô phỏng.
Hiệp hội An toàn thông tin Việt Nam (VNISA) đánh giá cao hệ thống này và đã phối hợp với Phòng thí nghiệm để tổ chức các chương trình huấn luyện an ninh mạng. Các đối tượng đã qua chương trình huấn luyện gồm: đơn vị chuyên trách về an ninh mạng của Chính phủ, chuyên viên CNTT trong các đơn vị tổ chức có liên kết với VNISA, các cơ quan trong và ngoài quân đội, nhà cung cấp dịch vụ viễn thông và dịch vụ tài chính ngân hàng, sinh viên các học viện và nhà trường trong toàn quốc….
Hệ thống Cyber Range được huấn luyện theo hình thức tại chỗ (tại phòng huấn luyện của Phòng Thí nghiệm cho 30 đến 45 học viên) hoặc đào tạo từ xa (tại các cơ quan kết nối vào hệ thống qua đường truyền Internet cho 50 đến 60 học viên). Ngoài ra, Phòng Thí nghiệm định hướng cùng với Cục An toàn thông tin, Bộ TT&TT và các cơ sở đào tạo tham gia triển khai Đề án 99 của Thủ tướng Chính phủ về “Đào tạo và phát triển nguồn nhân lực an toàn, an ninh thông tin đến năm 2020”.
Hệ thống Cyber Range được kết nối Internet, cung cấp khả năng truy cập từ bên ngoài vào hệ thống thông qua kết nối bảo mật VPN để thực hành và luyện tập.
Hình 4. Khả năng tổ chức lớp học kết nối, đào tạo từ xa
Theo TS. Đào Tuấn Hùng, Giám đốc Phòng thí nghiệm, sau khoá huấn luyện chuyên sâu trên hệ thống Cyber Range, học viên sẽ thu được một số kiến thức quan trọng như: hiểu biết sâu sắc về công nghệ mạng Internet, các dịch vụ và trang bị kỹ thuật của nó; có kiến thức đầy đủ về một số loại hình tấn công mạng hiện nay; hiểu các phương pháp, thiết bị phòng chống tấn công mạng cơ bản như Firewall, IDS/IPS, Antivirus...; nắm được các công cụ phân tích, giám sát không gian mạng (SIEM), các trung tâm giám sát an toàn mạng (SOC) làm cơ sở để triển khai các hệ thống giám sát trên thực tế.