红蓝对抗，你懂得多少？

“HW行动”是国家应对网络安全问题所做的重要布局之一。“HW行动”从2016年开始，随着我国对网络安全的重视，涉及单位不断扩大，越来越多的单位都加入到HW行动中。2024年HW行动就在眼前，那么在实际网络安全对抗演练中，蓝队防守方的工作，是如何展开的呢？

名词科普

对军事有所了解的朋友对红军、蓝军的用词应该不陌生，对抗性的军事演习一般会设两个阵营，分别叫红军和蓝军，然后让双方对抗或演练攻防。而在网络安全中，红蓝对抗是红队和蓝队对抗，蓝队是防守者，红队则扮演类似黑客的攻击者角色，有时候还要设置一个“紫队”，承担组织工作。

蓝队目标只有一个，那就是用实战攻击防守效果，来回答你家企业存在多严重的网络安全问题。企业的安全措施做得到不到位，还有哪些漏洞能被利用，这些过去平行世界才能知道的事，现在交由红蓝对抗就可以告诉你。

01 写在前面

在企业网络安全中，攻防演练一直是至关重要的组成部分，其通过模拟真实的攻击和防御场景，令企业可以评估自身网络安全策略的有效性。然而，面对不断演进的攻击手法和攻击技术，防御体系亦面临不断的新挑战。为了应对这些挑战，防守者必须摆脱对“银弹”的依赖，采取综合性、全方位的防御策略。

在今年临近HW期间，数默科技特别推出本系列内容，以攻防演练为主题，以蓝队全局的观察视角，通过调研分析攻防演练及其发展趋势、蓝队防守工作的各个环节与要点、蓝队当前普遍的短板和蓝队防守新技术趋势四类，抛砖引玉，望能为读者在蓝队防御体系能力的提升中提供价值。故而，本系列文章旨在面向以下三类主要受众：

企业网络安全建设人员
攻防演练参演企业的安全团队
攻防演练蓝队技术人员

从蓝队的一个全局观察视角来看，攻防的路径千千万万，于攻击方而言，一个路径上攻击失败，不代表整体攻击失败；一个路径上防守成功，也不代表整体防守成功。安全的木桶效应始终存在，只要有一条路径上的短板、脆弱点被攻击方利用，没能及时防守，可能就是全面的溃败。

然而，由于安全厂商和企业间的业务关系的本质，安全厂商的销售人员通常从自家产品和业务的角度去宣传，这些因素通常导致蓝队的防御体系呈现一定的技术碎片化，防御阵地分裂化的特征。再叠加部分企业对安全防御体系和产品技术了解不深，以及，对网络安全短板的错误认知，极易致使企业陷入盲目堆设备的误区，从而影响防御体系的整体安全，甚至引发严重的安全事件。

企业安全团队作为攻防演练的最终责任人，必须深入了解整个演练流程和所使用的技术，需要了解演练的设计、执行、评估及后续改进步骤，掌握各种安全产品和工具的功能、特点及适用场景，以便在演练中做出准确的决策和指导。

本系列文章以蓝队防御构建的观察者为视角，不局限于某一厂商，所提及的产品都是市场普遍采用并为笔者熟悉的。通过全局审视攻防演练，了解整体流程和新技术、新趋势，甲方和蓝队技术人员可以更好地做好自己的工作，确保企业的网络安全。

本篇文章作为第一期内容，首先为大家讲述关于攻防演练的相关背景与历史发展，让大家对这一概念掌握得更加熟悉。

02 关于攻防演练

2.1 攻防演练

网络攻防演练是新形势下网络安全保障工作的重要组成部分，演练通常是以实际运行的信息系统为保障目标，通过有监督的攻防对抗尽可能的模拟真实的网络攻击，以此来校验信息系统实际安全性和运维保障实际有效性，网络攻防演练实际是军事用于网络空间站的扩展。

从国际上来看，美国从2010年成立网络司令部并在2006年开始每2年组织一次代号为“网络风暴”的网络军事演习，北约也有锁定轮排的网络安全演习，从2002年开始实行，我国从2014年开始，建立中央网络安全和信息化领导小组，2016年发布国家网络空间发展战略，同年在国家有关的监督机构的推动下推行开展全国性的网络实战攻防演练。

2.2 攻防演练主体

攻防演练由紫队、红队、蓝队三部分组成，紫队为组织保障队，红队为攻击队，蓝队为防守队，红蓝间的对抗成果提交至演习平台由紫队进行评审打分。在这里插入图片描述
紫队：以组织方为角色，开展组织工作过程监控指导应急保障等，以及最后演练总结和最后优化建议。

红队：攻击队，通过模拟攻击实现系统提权，控制业务获取数据等，以及发现系统的薄弱环节通过这些攻击性的实验来综合提升系统安全性。

蓝队：防守队，一般是参演单位的网络防护体系为基础，在演练期间组成的防守队伍。

2.3 攻防演练组织架构

攻防演练由演习指挥小组负责演习工作总体指挥和调度，由演习工作小组具体实施和保障，攻防演练组织架构图如下：
在这里插入图片描述
演习指挥小组：由组织单位相关部门领导和技术专家组成，负责演习工作总体指挥和调度

演习工作小组：由演习指挥小组指派专人构成，负责演习工作具体实施和保障

攻击组（红队）：由参演单位及安全厂商攻击人员构成，负责对演习目标实施攻击

防守组（蓝队）：由各个防护单位运维技术人员和安全运营人员组成，负责安全监测、应急处置等

技术支撑组：由演习组织方指定工作人员组成，演习过程监控、基础环境保障（网络、攻防平台等）

组织保障组：由演习组织方指定工作人员组成，在演习过程中协调和后勤保障相关事宜

2.4 攻防演练演习流程

实战攻防演习的组织可分为组织策划阶段、前期准备阶段、实战攻防演习阶段和演习总结阶段四个阶段，实战攻防演练的一般工作流程可总结为如下图：在这里插入图片描述
组织策化阶段：主要工作内容为建立演习组织、确定演习目标、制定演习规则、搭建演习平台以及设立应急保障措施，总的来说，就是由紫队进行的前期环境建设工作。

前期准备阶段：主要是资源和人员的准备工作。一是资源准备，其涉及到场地、演习平台、演习设备、演习备案、演习授权、保密工作以及规则制定等；二是人员准备，包括攻击人员、防守人员的选拔、审核和队伍组建等。

实战攻防演习阶段：包含演习开始、演习过程和演习结束三个主要阶段。演习开始为演习组织方组织相关单位召开启动会议，部署实战攻防演习工作，宣布正式开始演习；演习过程主要是红蓝对抗、成果提交、成果研判以及相关的支撑保障工作等；演习结束，以攻击者攻击的结束时间点为攻防演习阶段的结束。

演习总结阶段：包括演习恢复、演习总结和整改建议三个环节。演习恢复为演习结束需做好的相关保障工作，如收集报告、清除后门、回收账户及权限、设备回收、网络恢复等工作，以确保后续正常业务运行稳定；演习总结阶段主要包括由参演单位编写总结报告，评委专家汇总演习成果，演习全体单位召开总结会议，演习视频编排与宣传工作的开展等；整改建议阶段为演习组织方组织专业技术人员和专家进行复盘分析，总结经验教训，并对不足之处给出合理整改建议，为防守方提供具有针对性的详细过程分析报告，随后下发参演防守单位，督促整改并上报整改结果。

结合红蓝队需具体完成的任务项，攻防演练整体可归纳为以下流程图：在这里插入图片描述