安全的本质是对抗。对抗是攻防双方能力的较量，是一个动态的 过程。业务在发展，网络在变化，技术在变化，人员在变化，攻击手 段也在不断变化。网络安全没有“一招鲜”的方式，只有在日常工作 中不断积累，不断创新，不断适应变化，持续构建自身的安全能力， 才能应对随时可能威胁系统的各种攻击。不能临阵磨枪、仓促应对， 而应立足根本、打好基础。加强安全建设，构建专业化的安全团队， 优化安全运营过程，并针对各种攻击事件进行重点防护，这些才是根 本。

防守队不应再以“修修补补，哪里出问题堵哪里”的思维来解决 问题，而应未雨绸缪，从管理、技术、运行等方面建立系统化、实战 化的安全体系，从而有效应对实战环境下的安全挑战。

1. 完善面向实战的纵深防御体系

实战攻防演练的真实对抗表明，攻防是不对称的。通常情况下， 攻击队只需要撕开一个点，就会有所收获，甚至可以通过攻击一个 点，拿下一座“城池”。但对于防守队来说，需要考虑的是安全工作 的方方面面，仅关注某个或某些防护点已经满足不了防护需求。实战 攻防演练中，对攻击队或多或少还有些攻击约束要求，而真实的网络 攻击则完全无拘无束，与实战攻防演练相比，更加隐蔽而强大。

要应对真实网络攻击行为，仅仅建立合规型的安全体系是远远不 够的。随着云计算、大数据、人工智能等新型技术的广泛应用，信息 基础架构层面变得更加复杂，传统的安全思路已越来越难以满足安全 保障的要求。必须通过新思路、新技术、新方法，从体系化的规划和 建设角度，建立纵深防御体系架构，整体提升面向实战的防护能力。

从应对实战的角度出发，对现有安全架构进行梳理，以安全能力 建设为核心思路，面向主要风险重新设计政企机构整体安全架构，通 过多种安全能力的组合和结构性设计形成真正的纵深防御体系，并努 力将安全工作前移，确保安全与信息化“三同步”（同步规划、同步 建设、同步运行），建立起具备实战防护能力、有效应对高级威胁、 持续迭代演进提升的安全防御体系。

1. 形成面向过程的动态防御能力

在实战攻防对抗中，攻击队总是延续信息收集、攻击探测、提 权、持久化的一个个循环过程。攻击队总是通过不断地探测发现环境 漏洞，并尝试绕过现有的防御体系，侵入网络环境。如果防御体系的 安全策略长期保持不变，一定会被“意志坚定”的攻击队得手。所 以，为了应对攻击队持续变化的攻击行为，防御体系自身需要具有一 定适应性的动态检测能力和响应能力。

在攻防对抗实践中，防守队应利用现有安全设备的集成能力和威 胁情报能力，通过分析云端威胁情报的数据，让防御体系中的检测设 备和防护设备发现更多的攻击行为，并依据设备的安全策略做出动态 的响应处置，把攻击队阻挡在边界之外。同时，在设备响应处置方 面，也需要多样化的防护能力来识别攻击队的攻击行为和动机，例如 封堵IP、拦截具有漏洞的URL访问等策略。

通过建立动态防御体系，不仅可以有效拦截攻击队的攻击行为， 还可以迷惑攻击队，让攻击队的探测行为失去方向，让更多的攻击队 知难而退，从而在对抗中占得先机。

1. 建设以人为本的主动防御能力

安全的本质是对抗，对抗是人与人的较量。攻防双方都在对抗中 不断提升各自的攻防能力。在这个过程中，就需要建立一个技术水平 高的安全运营团队。该团队要能够利用现有的防御体系和安全设备， 持续检测并分析内部的安全事件告警与异常行为，发现已进入内部的 攻击队并对其采取安全措施，压缩其在内部的停留时间。

构建主动防御的基础是可以采集到内部的大量有效数据，包括安 全设备的告警、流量信息、账号信息等。为了将对内部网络的影响最 小化，采用流量威胁分析的方式，实现全网流量威胁感知，特别是关 键的边界流量、内部重要区域的流量。安全运营团队应利用专业的攻 防技能，从这些流量威胁告警数据中发现攻击线索，并对已发现的攻 击线索进行威胁巡猎、拓展，一步步找到真实的攻击点和受害目标。

主动防御能力主要表现为构建安全运营的闭环，包括以下三方面。

1）在漏洞运营方面，形成持续的评估发现、风险分析、加固处置 的闭环，减少内部的受攻击面，使网络环境达到内生安全。

2）在安全事件运营方面，对实战中攻击事件的行为做到“可发 现、可分析、可处置”的闭环管理，实现安全事件的全生命周期管 理，压缩攻击队在内部的停留时间，降低安全事件的负面影响。

3）在资产运营方面，逐步建立起配置管理库（CMDB），定期开展 暴露资产发现工作，并定期更新配置管理库，这样才能使安全运营团 队快速定位攻击源和具有漏洞的资产，通过未知资产处置和漏洞加 固，减少内外部的受攻击面。

1. 建立基于情报数据的精准防御能力

在实战攻防对抗中，封堵IP是很多防守队的主要响应手段。这种 手段相对简单、粗暴，容易造成对业务可用性的影响，主要体现在：

• 如果检测设备误报，结果被封堵的IP并非真实的攻击IP，就会 影响到互联网用户的业务；

• 如果攻击IP自身是一个IDC出口IP，那么封堵该IP就可能造成 IDC后端大量用户的业务不可用。

所以，从常态化安全运行角度来看，防守队应当逐步建立基于情 报数据的精准防御能力。具体来说，主要包括以下三方面。

1）防守队需要培养精准防御的响应能力，在实战攻防对抗中针对 不同的攻击IP、攻击行为采用更细粒度、更精准的防御手段。

结合实战攻防对抗场景，防守队可以利用威胁情报数据共享机 制，实现攻击源的精准检测与告警，促进精准防御。减少检测设备误 报导致的业务部分中断。此外，让威胁情报数据共享在网络流量监测 设备、终端检测与响应系统、主机防护系统等多点安全设备或系统上 共同作用，可以形成多样化、细粒度的精准防御。

2）为了最小化攻防活动对业务可用性的影响，需要设计多样化的 精准防御手段与措施，既可延缓攻击，又可满足业务连续性需要。

例如，从受害目标系统维度考虑建立精准防御能力，围绕不同的 目标系统，采取不同的响应策略。针对非实时业务系统的攻击，可以 考虑通过防火墙封禁IP的模式；而针对实时业务系统的攻击，就应考 虑在WAF设备上拦截具有漏洞的页面访问请求，从而达到对实时业务系 统的影响最小化。

3）为了保证在实战攻防对抗过程中防守方不会大面积失陷，应对 于重要主机，例如域控服务器、网管服务器、OA服务器、邮件服务器 等，加强主机安全防护，阻止主机层面的恶意代码运行与异常进程操 作。

1. 打造高效一体的联防联控机制

在实战攻防对抗中，攻击是一个点，攻击队可以从一个点攻破整 座“城池”。所以在防守的各个阶段，不应只是安全部门孤军奋战， 而应有更多的资源支持，有更多的部门协同工作，这样才有可能做好 全面的防守工作。

例如，一个攻击队正在对某个具有漏洞的应用系统进行渗透攻 击，在检测发现层面，需要安全运营团队的监控分析发现问题，然后 通知网络部门进行临时封堵攻击IP，同时要让开发部门尽快修复应用 系统的漏洞。这样才能在最短时间内让攻击事件的处置形成闭环。

在实战攻防对抗中，防守队一定要建立起联防联控的机制，分工 明确，信息通畅。唯有如此，才能打好实战攻防演练的战斗工作。联 防联控的关键点如下。

1）安全系统协同。通过安全系统的接口实现系统之间的集成，加 强安全系统的联动，实现特定安全攻击事件的自动化处置，提高安全 事件的响应处置效率。

2）内部人员协同。内部的安全部门、网络部门、开发部门、业务 部门全力配合实战攻防对抗工作组完成每个阶段的工作，并在安全值 守阶段全力配合工作组做好安全监控与处置工作。

3）外部人员协同。实战攻防对抗是一个高频的对抗活动，在这期 间，需要外部的专业安全厂商配合工作组防守，各个厂商之间应依据 产品特点和职能分工落实各自的工作，并做到信息通畅、听从指挥。

4）平台支撑，高效沟通。为了加强内部团队的沟通与协同，在内 部通过指挥平台实现各部门、各角色之间的流程化、电子化沟通，提 升沟通协同效率，助力联防联控有效运转。

1. 强化行之有效的整体防御能力

2020年实战攻防演练的要求是：如果与报备目标系统同等重要的 系统被攻陷，也要参照报备目标系统规则扣分。

这就给大型机构的防守队带来了前所未有的防守压力。原来通行 的防守策略是重兵屯在总部（目标系统一般在总部），提升总部的整 体防御能力；但随着实战攻防演练规则的演变，总部和分支机构变得 同等重要。

从攻击路径来看，分支机构的安全能力一般弱于总部，同时分支 机构和总部网络层面是相通的，并且在早期进行安全建设的时候往往 会默认对方的网络是可信的；在安全防护层面，总部一般仅仅对来自 分支机构的访问请求设置一些比较粗糙的访问控制措施。这些安全隐 患都会给攻击队留出机会，使攻击队可以从薄弱点进入，然后横向拓 展到总部的目标系统。

因此，防守队只有将总部和分支机构进行统一的安全规划和管 理，形成整体防御能力，才能有效开展实战攻防对抗。在整体防御能 力上，建议防守队开展如下工作。

1）互联网出入口统一管理。条件允许的情况下，应尽量上收分支 机构的互联网出入口。统一管理的好处是集中防御、节约成本、降低 风险。同时，在整体上开展互联网侧的各类风险排查，包括互联网未 知资产、敏感信息泄露、社工信息的清理等工作。

2）加强分支机构防御能力。如果无法实现分支机构的互联网出入 口统一管理，则让分支机构参考总部的安全体系建设完善其自身的防 御能力，避免让出入口成为安全中的短板。

3）全面统筹，协同防御。在准备阶段，应让分支机构配合总部开 展风险排查；在实战值守阶段，让分支机构与自己一起安全值守，并 配置适当的安全监控人员、安全分析处置人员，配合自己做好整体的 防御、攻击的应急处置等工作。

参考资料

红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南

怎样建立立体化实战化的安全防御体系相关推荐

1. 攻防演习防御体系构建之第三篇之建立实战化的安全体系

   文章目录 建立实战化的安全体系 0x01 完善面对实战的纵深防御体系 0x02 形成面向过程的动态防御能力 0x03建设以人为本的主动防御能力 0x04 基于情报数据的精准防御能力 0x05 打造高效 ...

2. 知道创宇发布重磅战略方案，构建持续交火的实战化防御体系

   4月20日,由中关村网络安全与信息化产业联盟指导.知道创宇主办的"构建持续交火的实战化防御体系"战略方案发布会成功举办.针对网络安全实战化防御问题,知道创宇发布了"互联网 ...

3. 红蓝攻防演练怎样构建实战化网络安全防御体系

   笔者简介 团队以攻防技术为核心,在云端大数据支撑下聚焦威胁检测和响 应,具备咨询规划.威胁检测.攻防演练.持续响应.预警通告.安 全运营等一系列实战化服务能力,是一支能够为客户提供全周期安全 保障服务 ...

4. 红蓝攻防构建实战化网络安全防御体系

   红队 什么是红队 红队,是指网络实战攻防演练中的防守一方. 红队一般是以参演单位现有的网络安全防护体系为基础,在实战 攻防演练期间组建的防守队伍.红队的主要工作包括演练前安全检 查.整改与加固,演练期 ...

5. 体系化、常态化、实战化的攻防演练的现状

   实战攻防演练向规模化演变 我国实战攻防演练的发展分为两个阶段:第一阶段是试验阶段, 以学习先进实战经验为主,参演单位少,演练范围小:第二阶段是推 广阶段,实战演练发展飞速,参演单位数量暴增,演练走向规 ...

6. 中国实战化白帽人才能力白皮书

   主要观点 白皮书结合补天漏洞响应平台白帽培养实践经验及奇安信集团安服团队蓝队攻防 实战经验,首次提出了实战化白帽人才能力的基本概念,并系统性地给出了实战化 白帽人才能力图谱.图谱为实战化白帽人才的系统 ...

7. 科技云报道：实战化时代，安全托管MSS更需“行业专家”

   科技云报道原创. 实战化时代,对政企安全能力提出了更高的要求. 当"清单式"的安全服务指标难以匹配数字化应用生命周期时,降本增效的一站式托管安全运营服务MSS应运而生. 随着国内M ...

8. RequireJS模块的建立：插件化体验 - demo演示篇

   RequireJS模块的建立:插件化体验 - demo演示篇 新建一个RequireJS模块:作为jQuery验证插件进行使用. 一. 前文的目录结构 结合前文的目录结构和相关文件,在lib文件夹下, ...

9. 《实战化白帽人才能力白皮书》发布 | 三阶能力展现白帽人才态势

   1月20日,补天漏洞响应平台联合奇安信安服团队.奇安信行业安全研究中心,发布了业内首份<2020中国实战化白帽人才能力白皮书>,首次提出了实战化白帽人才能力的基本概念,绘制了首份实战化白帽 ...

最新文章

1. 波士顿动力的机器人会开门了，中国还要奋力追赶
2. COGNOS8培训之四(疑点解析)
3. Django之session验证的三种姿势
4. Spring初学（一）
5. 比Redis快5倍的中间件，为啥这么快？
6. java 混码_kotlin java 混合代码 maven 打包实现
7. 比起掉头发，我更怕掉队
8. python文件拷贝到其他盘符_Python:文件操作技巧(File operation)
9. 开发问题及解决 java.lang.ClassCastException:android.widget.LinearLayout$LayoutParams
10. 艾伟：用 C# 实现带键值的优先队列
11. 学硬件设计，需要看哪些书籍？
12. AEJoy —— 表达式之弹性（韧性）模拟详解【JS】
13. 自动刷新网页代码（可多个网页）
14. 腾讯云播放器TcPlayer实现网络直播
15. ecshop二次开发手册【基本结构】
16. 开博第一篇~申请博客理由
17. pass parameters to view（参数视图）
18. 【科学数据库】数据的合并与分组聚合||||||||
19. 只有rear指针的环形循环队列
20. Ubuntu linux下运行xv6

热门文章

1. Textured Neural Avatars 论文方法简述
2. spark-总览（二）
3. 微信的朋友圈为什么不设置到首屏或者下栏，为什么路径这么深
4. Code::Blocks
5. 【Python数据处理】导入txt文本文件并绘图
6. 研报精选230314
7. 众智云———以我之名，冠你指间，一生相伴，一世相随
8. 判断字符串是否相等的方法（equals)
9. Magenta - 概述
10. 实验六 51单片机定时/计数器实验