攻防演习防御体系构建之第一篇之介绍和防守的四个阶段

文章目录

0x01 什么是红队
0x02 红队演变趋势
- 一、防守重心扩大
- 二、持续加强监测防护手段
- 三、被动防守到正面对抗
0x03 防守的四个阶段
- 一、备战阶段——不打无准备之仗
- 二、临战阶段——站前动员鼓舞士气
- 三、实战阶段——全面监测及时处置
- 四、战后整顿——实战之后的改进
摘抄

0x01 什么是红队

红队一般是以参演单位现有的网络安全防护体系为基础，在实战攻防演习期间组建的防守队伍。
红队的主要工作包括演习前 安全检查、整改与加固，演习期间进行网络安全监测、预警、分析、验证、处置，后期复盘总结现有防护工作中的不足之处，为后续常态化的网络安全防护措施提供优化依据等。
实战攻防演习时，红队通常会在日常安全运维工作的基础上，以实战思维进一步加强安全防护措施，包括提升管理组织规格、扩大威胁监控范围、完善监测与防护手段、增加安全分析频率、提高应急响应速度、增强溯源反制能力、建立情报收集利用机制 等，提升整体防守能力。
需要特别说明的是：红队并不仅仅由实战演习中目标系统运营单位一家独立承担，而是由目标系统运营单位、攻防专家、安全厂商、软件开发商、网络运维队伍、云提供商等多方组成的防守队伍。
组成红队的各个团队在演习中的角色与分工情况如下。

团队	职责
目标系统运营单位	负责红队整体的指挥、组织和协调。
安全运营团队	负责整体防护和攻击监控工作。
攻防专家	负责对安全监控中发现的可疑攻击进行分析研判，指导安全运营团队、软件开发商等相关部门进行漏洞整改等一系列工作。
安全厂商	负责对自身产品的可用性、可靠性和防护监控策略是否合理进行调整。
软件开发商	负责对自身系统安全加固、监控和配合攻防专家对发现的安全问题进行整改。
网络运维队伍	负责配合安全专家对网络架构安全、出口整体优化、网络监控、溯源等工作。
云提供商(如有)	负责对自身云系统安全加固，以及对云上系统的安全性进行监控，同时协助攻防专家对发现的问题进行整改。
其他	某些情况下还会有其他组成人员，需要根据实际情况具体分配工作。

特别强调，作为红队，了解对手(蓝队) 的情况非常重要，正所谓知彼才能知己，从攻击者角度出发，了解攻击者的思路与打法，了解攻击者思维，并结合本单位实际网络环境、运营管理情况，制定相应的技术防御和响应机制，才能在防守过程中争取到更多的主动权。

0x02 红队演变趋势

时间线	演变
2016 年和 2017 年	由于监管单位的推动，部分单位开始逐步参与监管单位组织的实战攻防演习，这个阶段各单位主要是作为防守方参加演习。
2018 年和 2019 年	实战攻防演习不论是从单场演习的参演单位数量、攻击队伍数量，还是攻守双方的技术能力等方面都迅速增强。实战攻防演习已经成为公认的检验各单位网络安全建设水平和安全防护能力的重要手段，各单位也从以往单纯的参与监管单位组织的演习，逐渐演变成`自行组织内部演习`或`联合组织行业演习。`
2020 年	随着实战攻防演习中真刀实枪的不断对抗和磨砺，攻守双方在相互较量中都取得了快速发展和进步，迫于攻击队技战法迅速发展带来的压力，防守方也发生了很大的变化。

一、防守重心扩大

2020 年之前的实战攻防演习，主要是

以攻陷靶标系统为目标，达到发现防守队安全建设和防守短板，提升各单位安全意识的目的
攻击队的主要得分是拿下靶标系统和路径中的关键集权系统、服务器等权限，非靶标系统得分很少。
因此，防守队的防守重心往往会聚焦到靶标系统及相关路径资产上。

对于大部分参加过实战攻防演习的单位来说，对于自身的安全问题和短板已经有了充分认识，也都开展了安全建设整改工作。对于这些单位，急需的是通过实战攻防演习检验更多重要系统的安全性，发现更全面的安全风险。

因此， 2020 年开始，在组织攻防演习时，都会逐渐降低演习中靶标系统的权重，鼓励攻击更多的单位、系统， 发现更多的问题和风险。同样，防守队的防守重心也就从靶标系统为主，扩大到 所有重要业务系统、所有重要设备和资产、所有的相关上下级单位。

二、持续加强监测防护手段

随着近几年攻防技术的快速发展，实战攻防演习中各种攻击手段层出不穷、花样百出，各单位在演习中切实感受到了攻击队带来的严重威胁以及防守的巨大压力，防守队的监测和防护体系面临巨大挑战。防守队对于在攻防对抗中确实能够发挥重大作用的安全产品趋之若鹜，投入大量资金来采购和部署。

2018-2019 年，除了传统产品外，全流量威胁监测类产品在攻防对抗中证明了自己，获得了各单位的青睐
2020 年，主机威胁检测、蜜罐以及威胁情报等产品服务迅速成熟并在演习中证明了对主流攻击的监测和防护能力，防守队开始大规模的部署使用。
除此之外， 钓鱼攻击、供应链攻击等还没有有效的防护产品，不过随着在实战中快速打磨，相应产品也会迅速成熟和广泛使用。

三、被动防守到正面对抗

要说变化， 2020 年防守队最大的变化应该是从被动挨打迅速转变为正面对抗、择机反制。

2020年之前，演习中的大部分防守队发现攻击后基本就是封锁 IP、下线系统、修复漏洞，之后接着等待下一轮攻击。敌在暗、我在明，只能被动挨打。
2020 年开始，大量的防守队加强了溯源和反制能力，跟攻击队展开了正面对抗，也取得了很多战果。
要具备正面对抗能力，需要重点加强以下几个方面:

能力	介绍
快速响应	实战中讲究兵贵神速，在发现攻击时，只有最`快速地确认`攻击方式、定位受害主机、采取处置措施，才能够有效阻止攻击，并为下一步的溯源和反制争取时间。
准确溯源	俗话说知己知彼百战百胜，要想和攻击队正面对抗，首先要找到`攻击队的位置`，并想办法获取攻击队的足够信息，才能有`针对性`的制定反制策略开展反击。
精准反制	反制其实就是防守队发起的攻击。防守队在准确溯源的基础上，需要攻击经验丰富的人员才能够`有效精确的实施反制`。当然，也有些单位会利用蜜罐等产品埋好陷阱，等着攻击队跳进来之后，利用陷阱中的木马等快速攻陷攻击队系统。

0x03 防守的四个阶段

在实战环境下的防护工作，无论是面对常态化的一般网络攻击，还是面对有组织、有规模的高级攻击，对于防护单位而言，都是对其网络安全防御体系的直接挑战。
在实战环境中，红队需要按照备战、 临战、 实战和战后四个阶段来开展安全防护工作。

一、备战阶段——不打无准备之仗

在实战攻防工作开始之前，首先应当充分地了解自身安全防护状况与存在的不足，从管理组织架构、技术防护措施、安全运维处置等各方面能进行安全评估，确定自身的安全防护能力和工作协作默契程度，为后续工作提供能力支撑。这就是备战阶段的主要工作

在实战攻防环境中，我们往往会面临技术、管理和运营等多方面限制。

限制	介绍
技术方面	基础能力薄弱、安全策略不当和安全措施不完善、产品部署位置不当、防护产品自身安全有问题、监控手段不熟悉、监控手段单一等问题普遍存在；
管理方面	制度缺失，职责不明，应急响应机制不完善等问题也很常见；
运营方面	资产梳理不清晰、业务架构不了解、漏洞整改不彻底、安全监测分析与处置能力不足等问题随处可见。

这些不足往往会导致整体防护能力存在短板，对安全事件的监测、预警、分析和处置效率低下。

针对上述情况，红队在演习之前，需要从以下几个方面进行准备与改进。

改进	方法
技术方面	为了及时发现安全隐患和薄弱环节，需要有针对性地开展自查工作，并进行安全整改加固，内容包括系统资产梳理、应用组件梳理、交互协议梳理、安全基线检查、网络安全策略检查、 Web 安全检测、关键网络安全风险检查、安全措施梳理和完善、公开情报收集、应急预案完善与演练等。为了检验监控措施的有效性，还需对安全产品自身的安全性、部署位置、覆盖面进行评估；为了更快的发现问题，尽量部署全流量威胁监测、网络分析系统、蜜罐、主机监测等安全防护设备，提高监控工作的有效性、时效性、准确性；监测人员还需对安全产品熟练掌握、优化安全产品规则。
管理方面	一是建立合理的安全组织架构，明确工作职责，建立具体的工作小组，同时结合工作小组的责任和内容，有针对性地制定工作计划、技术方案、相关方协同机制及工作内容，责任到人、明确到位，按照工作实施计划进行进度和质量把控，确保管理工作落实到位，技术工作有效执行。二是建立有效的工作沟通机制，通过安全可信的即时通讯工具建立实战工作指挥群，及时发布工作通知，共享信息数据，了解工作情况，实现快速、有效的工作沟通和信息传递。
运营方面	成立防护工作组并明确工作职责，责任到人，开展并落实技术检查、整改和安全监测、预警、分析、验证和处置等运营工作，加强安全技术防护能力。完善安全监测、预警和分析措施，增强监测手段多元化，建立完善的安全事件应急处置机构和可落地的流程机制，提高事件的处置效率。

同时，所有的防护工作包括预警、分析、验证、处置和后续的整改加固都必须以监测发现安全威胁、漏洞隐患为前提才能开展。其中， 全流量安全威胁监测分析系统是防护工作的重要关键节点，并以此为核心，有效地开展相关防护工作。

二、临战阶段——站前动员鼓舞士气

经历了备战阶段的查缺补漏、城防加固等工作，安全防护能力在技术方面、管理方面和运营方面上都有了较大的提升。
为了能更多的协同配合，高效的应对实战阶段的攻击，减少分析处置事件的时间，提高防守的效果，还需要做好临战阶段的动员工作。
做好临战阶段的工作建议从三个方面开展。

方面	介绍
召开战前动员会	战前动员会主要进行三部分的工作：一是实战演习开始前，通过召开现场战前动员会的形式，进行战前动员，统一思想，统一战术、提高斗志，达成共识。二是强调防护工作中注意的事项，攻击手段多种多样，为防止防守人员被攻击利用，要严格遵守记录红线、做到令行禁止。三是提高大家的攻防意识，对攻击过程进行剖析，对常见的攻击手段部署针对性的防守要点，做到有的放矢。
贯彻工作流程	贯彻工作流程的目的一是对参与防守工作的人员进行任务分工，说明工作职责、各司其职。二是固化每日工作流程、各岗位协同配合，做好攻击事件前期的监测、中期的研判和后期的处置工作。三是贯彻制定的工作排班计划、交接班要求等。通过工作流程做到防守工作有序有效，提升防守的效果。
组织战术培训	战术培训会主要工作内容有两项：一是由安全专家分享其他单位的网络安全实战攻防演练相关经验，协助防守队制定不同攻击场景的防守战术。二是安全专家对演练评分规则的详细解读，提高参演人员对演练的认知。

三、实战阶段——全面监测及时处置

攻守双方在实战阶段正式展开全面对抗。防护方须依据备战明确的组织和职责，集中精力和兵力，做到监测及时、分析准确、处置高效，力求系统不破，数据不失。
在实战阶段，从技术角度总结应重点做好以下四点。

技术角度	介绍
全面开展安全监测预警	实战阶段监测人员需具备基本的安全数据分析能力，根据监测数据，情报信息能基本判断攻击有效性，如存疑应立即协同专业分析人员协助分析，确保监控可以实时发现，不漏报，为处置工作提供准确信息，同时监测工作应覆盖整个攻击队攻击时间。
全局性分析研判工作	在实战防护中，分析研判应作为核心环节，分析研判人员要具备攻防技术能力，熟悉网络和业务。分析研判人员作为整个防护工作的大脑，应充分发挥专家和指挥棒的作用。向前，对监测人员发现的攻击预警、威胁情报进行分析确认，向后，指导协助事件处置人员对确认的攻击进行处置。
提高事件处置效率效果	确定攻击时间成功后，最重要的是在最短时间内采取技术手段遏制攻击、防止蔓延。事件处置环节，应联合网络、主机、应用和安全等多个岗位人员协同处置。
追踪溯源，全面反制	在发现攻击事件后，防守队伍可根据安全防护设备、安全监测设备产生的告警信息、样本信息等，结合各种情报系统追踪溯源。条件允许时，可通过部署诱捕系统反制攻击队攻击终端，做到追踪溯源、防守反制。

四、战后整顿——实战之后的改进

演习的结束也是防护工作改进的开始。
在实战工作完成后应进行充分、全面复盘分析，总结经验、教训。
有两方面工作需要开展。

一方面：

通过复盘会找出攻防演习备战阶段、临战阶段、实战阶段中的工作方案、组织管理、工作启动会、系统资产梳理、安全自查及优化、基础安全监测与防护设备的部署、安全意识、应急预案及演练、注意事项、队伍协同、情报共享和使用等过程还存在哪些纰漏和不足，输出技术和管理两方面问题整改措施计划。
同时，各单位还需立即总结攻防演习防守策略，如情报技术、反制战术、防守作战指挥策略等，为演习队伍在下一次保障提供防守技术指导。

另一方面

二是网络攻防演练活动不是一次性保障活动，其最终目的是单位通过演习发现网络安全建设存在的不足， 改进和提升整体安全防御能力，通过相对独立的安全运营思路，以数据为中心建立整体网络安全防护体系，进而发挥出最有效的安全能力。

因此单位通过网络攻防演练积累的经验，沿用演习期间形成的安全运营机制、安全监测技术和应急响应策略等，在日常安全工作中提供持续安全运营能力，使网络安全防护措施持续发挥成效，进而真实有效地提升安全防护的能力。
同时，单位还需加快整改演习发现的网络安全体系建设的不足，以替代演习后保障队伍力量缩减，而导致的整体安全防御降低的能力。

补充

最后，单位参与和自我组织网络攻防演练活动，充分积累演练活动经验，锻炼安全保障队伍，不断完善整体网络安全体系和持续提高安全运营能力。

摘抄

有始有终
《诗经》有言：
“靡不有初，鲜克有终。”
做事情善始善终，
不仅是对自己的负责，
也是对他人的负责。
当你想要懈怠，
提醒自己不要轻言放弃。
多一分坚持，
就会少一分遗憾。