红蓝攻防比赛得哪些事

笔者简介

团队以攻防技术为核心，在云端大数据支撑下聚焦威胁检测和响应，具备咨询规划、威胁检测、攻防演练、持续响应、预警通告、安全运营等一系列实战化服务能力，是一支能够为客户提供全周期安全保障服务的专业网络安保和应急响应团队。

团队是国内规模领先的安全服务团队，业务范围覆盖全国，服务对象包括网络安全监管
机构以及党政、金融、运营商、能源、央企、传媒、民航等各行业各领域的头部企业和行业单位。
团队拥有大量经验丰富的网络安全
攻防专家，聚集了国内优秀网络安全人才，创造了数量位于业内前列的重要保障案例，并连续多年在实战攻防演练中取得了辉煌的攻防战绩，已成为攻防演练服务的领军团队。
团队拥有专注于互联网应用漏洞挖掘和攻防研究的观星实验室
团队，以及在实战攻防演练中扮演重要角色、擅长组织实施渗透攻击的 Z-TEAM团队，为网络安全服务工作提供强有力的技术支持。Z-TEAM 团队在实网对抗的不断锤炼中研发出多套实用技战法和配套工具，尤其在Web攻防、社工渗透、内网渗透、模拟APT攻击等方面技术实力扎实、技战法灵活，实战能力受到业内高度认可。

概述

在全球信息技术不断推陈出新、数字化转型不断加速的大背景下，我国各个领域也在加快技术创新、数字化转型的步伐，信息化、数字化、智能化等方面正在发生不同程度的变革。新发展不仅带来新机遇，也带来了新风险。网络安全是技术创新、数字化转型的重要基础保障，但当前国内外网络安全形势日趋严峻，数据泄露、供应链攻击、勒索病毒、APT（高级持续性威胁）攻击等网络安全事件频发，网络安全所面临的威胁愈加多样、复杂、棘手。在互联互通的数字化链条中，任何一个漏洞隐患都有可能破坏已有的网络安全防护，给企业、机构等带来信息安全风险
、不良影响甚至财产损失等。
网络安全的本质在于对抗，对抗的本质在于攻防两端能力的较量。2020年以来，国家规模的实战攻防演练已成为检验各领域政企机构网络安全防护水平的重要手段。因此，若要全面了解网络安全防护水平和薄弱环节，那么定期组织高质量的实战攻防演练，在真实业务环境下开展“背靠背”的攻防对抗，是一种必然且卓有成效的选择。攻防演练不仅可以发现已存在的安全漏洞隐患并及时修补，还可以检验安全技术人员
的监测预警、分析研判和处置溯源能力，提升人员专业技能和安全意识，更可以检验各组织、各部门间的协同响应能力，提升上下和内外之间的联防联动能力，对完善网络安全监测预警和应急响应机制、强化安全防护能力、切实提高网络安全防御水平具有重要意义。
本书内容全面，从什么是实战攻防演练到如何分别站在红队（防守方）、蓝队（攻击方）和紫队（组织方）视角开展演练工作都进行了详细介绍，明确了各方演练的内容与要点，旨在向广大政企机构和网络安全从业人员分享红蓝实战攻防演练经验，并提供基础性的参考方案。

本书分为四部分共13章。第一部分介绍红蓝实战攻防演练的基本概念、发展现状、演变趋势及常暴露的薄弱环节等。第二～四部分分别介绍蓝队视角下的防御体系突破、红队视角下的防御体系构建、紫队视角下的实战攻防演练组织，描述了在不同视角下各阶段如何具体开展相关工作，并提供必备能力、重点策略、风险规避措施等实践干货，以及剖析了多个经典案例。

本书适合网络安全从业人员、企业信息化负责人及对网络攻防演练有兴趣的读者学习和参考。由于笔者写作时间和水平有限，书中难免存在疏漏及不妥之处，敬请各位批评斧正。

红蓝对抗基础

在网络实战攻防演练中的防守和攻击两方分别称为红队和蓝队。通常在攻防演练中，除了红蓝双方外，还需要有站在中立角度进行演练组织、评判等的第三方，即紫队。本部分详细介绍了实战攻防演练的概念、意义和现状，对近几年国内实战攻防演练中红蓝紫三方的定位和发展趋势进行了分析，同时描述了攻防演练中暴露的主要安全问题，并讲解了如何建立实战化的安全体系。

认识红蓝紫

1.1　实战攻防演练

1.1.1　为什么要进行实战攻防演练

军事上的实兵演练是除了实战之外最能检验军队战斗力的一种考核方式，可有效提高防御作战能力，以应对外部势力发起的攻击和袭扰，更好地维护国家主权和安全。同样，在网络安全上，真实环境下

的网络攻防演练也是网络安全中最能检验安全团队防御能力、发现当前网络环境中存在的安全风险的方式之一。

政策要求驱动

2017年6月1日，随着我国第一部网络安全法《中华人民共和国网络安全法》（下简称《网络安全法》）的正式实施，我国网络安全管理迈入法治新阶段，网络空间法治体系建设加速开展。《网络安全法》就网络安全应急演练工作明确指出，关键信息基础设施的运营者应当“制定网络安全事件应急预案，并定期进行演练”，国家网信部门应当统筹协调有关部门“定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力”，“负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练”，要求关键信息基础设施的运营者、国家网信部门等定期组织开展应急演练工作。

2018年全国网络安全和信息化工作会议于4月20日至21日在北京召开，会议强调，“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。要树立正确的网络安全观，加强信息基础设施网络安全防护，加强网络安全信息统筹机制、手段、平台建设，加强网络安全事件应急指挥能力建设，积极发展网络安全产业，做到关口前移，防患于未然。要落实关键信息基础设施防护责任，行业、企业作为关键信息基础设施运营者承担主体防护责任，主管部门履行好监管责任。”

“关口前移”是对落实网络安全防护的方法提出的重要要求，而 “防患于未然”则形成了鲜明的以防护效果为导向的指引要求，即要求用更为积极主动、行之有效的方式来应对网络安全问题。在做好 “关口前移”的基础上，进一步加强网络安全防护运行工作，除了采用定期检查和突发事件应急响应等偏被动的常规机制外，还需提升安全防护工作的主动性，根据《网络安全法》的规定定期开展安全应急演练工作。网络实战攻防演练便是在新的网络安全形势下，通过攻防双方之间的对抗演练，实现“防患于未然”。

2020年7月，公安部印发《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（下简称《意见》），《意见》明确了网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”要求，而实战攻防演练是推动和检验“三化六防”水平的重要手段。《意见》提出：“关键信息基础设施运营者和第三级以上网络运营者应定期开展应急演练，有效处置网络安全事件，并针对应急演练中发现的突出问题和漏洞隐患，及时整改加固，完善保护措施。行业主管部门、网络运营者应配合公安机关每年组织开展的网络安全监督检查、比武演习等工作，不断提升安全保护能力和对抗能力。” 该文件明确了组织开展实战化演练的责任主体和演练目的，即通过实战化比武演练不断提升安全保护能力和对抗能力。

近年随着国家对网络安全工作的越发重视，尤其是《关键信息基础设施安全保护条例》等关键信息基础设施保护有关政策法规和标准的陆续出台，实战演练已成为国家各个重要行业用于检验网络安全保护水平的重要手段。网络安全的本质在对抗，对抗的本质在攻防两端能力较量。相信随着国家在网络安全方面政策文件的不断完善，“实战练兵”将成为提高抵御网络攻击能力、检验网络安全措施有效性的重要举措。

安全威胁驱动

关键信息基础设施，指的是面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统或工业控制系统。这些系统一旦发生网络安全事故，可能会对重要行业正常运行产生较大影响，对国家政治、经济、科技、社会、文化、国防、环境及人民生命财产造成严重损失。

当前，我国关键信息基础设施面临的网络安全形势严峻复杂，网站平台大规模数据泄露事件频发，生产业务系统安全隐患突出，甚至有的系统长期被控，面对高级持续性的网络攻击，防护能力十分欠缺。近几年，针对我国的网络窃密、监听等攻击事件频发，网络空间的网络安全攻防对抗日趋激烈。目前，我国面临的网络安全威胁主要有以下几点。

1）针对我国重要信息系统的高强度、有组织的攻击威胁形势严峻。2020年，据不完全统计，奇安信威胁情报中心共收录了高级威胁类公开报告642篇，涉及151个命名的攻击组织或攻击行动，其中，提及率最高的5个（高级持续性威胁）组织分别是Lazarus（10.3%）、 Kimsuky（7.8%）、海莲花（5.4%）、Darkhotel（4.8%）和蔓灵花（3.2%）。监测显示，高级威胁攻击活动覆盖了全球绝大部分国家/地区，其中，提及率最高的5个受害国家分别为中国（7.4%）、韩国（6.6%）、美国（4.9%）、巴基斯坦（3.2%）和印度（3.2%）。中国首次超过美国、韩国、中东等国家/地区，成为全球APT攻击的首要地区性目标。医疗卫生行业首次超过政府、金融、国防、能源、电信等领域，成为全球APT活动关注的首要目标。2020年，新冠肺炎疫情信息成为APT活动常用诱饵，供应链和远程办公成为切入点，定向勒索威胁成为APT活动新趋势。海莲花依旧是东南亚地区最为活跃的APT组织。

2）工业互联网面临的网络安全威胁加剧。2020年，根据我国国家信息安全漏洞共享平台（CNVD）统计，通用软硬件漏洞为19 964个，其中，Web应用漏洞占总比为27.7%，操作系统漏洞占总比为10.3%，网络设备漏洞占总比为6.8%，数据库漏洞占总比为1.4%，电信行业漏洞占总比为4.4%，移动互联网占总比为7.3%，工控漏洞占总比为3.2%，物联网终端设备占总比为2.1%，其他类型占比为36.8%。工控漏洞虽然在2020年全年漏洞中占总比相对较小，但其重要性不可忽视，涉及西门子、施耐德、研华科技等在中国广泛应用的工控系统产品。

2021年5月7日，美国燃油管道公司Colonial Pipeline管网遭受攻击，攻击者窃取这家公司的重要数据文件，燃油管道运输管理系统也遭遇“劫持”，一度致使美国东部沿海各州的关键供油管道被迫关闭。

国外实战演练开展情况

2017年11月中旬北美举办了第二轮“GridEx-IV”网络战演练，来自美国、加拿大、墨西哥的450家组织和机构的6300人共同参与了北美电网故障场景的演练。该演练由美国政府与各电力企业合作开展，于 2011年首次举办之后，每两年举办一次。主要参与对象有电力企业、地区（地方、州、省）和联邦政府执法机构、第一响应和情报机构、关键基础设施跨部门合作伙伴（公共事业单位等）、能源供应链企业等，规模较大。该演练的目的是：证明各参与方应如何应对物理安全威胁事件并恢复演练中的模拟协调网络，从而让各参与方加强危机意识，并彼此交流经验教训；协调各方资源、努力筹备与提出应对举措，解决国家层面的灾难或针对关键基础设施的安全威胁。

2018年4月23日至27日，来自30个国家/地区的1000多名“战士” 在一个虚拟国家Berylia进行了为期5天的“战斗”，最终北约队折桂，法国队和捷克队分获亚军和季军。这场没有硝烟的虚拟网络战，每年都要开战一次，这便是全球最具影响力、规模最大、最复杂的国际性实战网络防御演练——锁盾（Locked Shields）。锁盾演练的主办方为北约，具体操办机构为北约网络防御中心（CCDCOE，成立于 2008年），自2010年始，每年举办一次。该演练的目的是为各国/地区网络防御专家提供保护国家/地区信息技术IT系统和重要基础设施的演练机会，同时评估大规模网络攻击对民用和军事领域的IT系统所造成的影响。

2020年8月13日，为期三天的美国“网络风暴2020”（Cyber Storm 2020）演练落幕，在美国网络安全和基础设施安全局（CISA）的组织下，近2000名来自政府机构和私营企业的人员参加了演练。本次演练汲取了往届的经验，跟进了当今网络安全的格局变化，并以此为基础，对网络响应方面取得的成绩进行评估和改进。本次演练促进并加强了公私伙伴关系，对新的关键基础设施合作伙伴进行整合，不仅强调了信息共享和分析机构的关键作用，还强调了实体有必要充分了解自己对第三方服务的依赖。

2021年11月15日至20日，美国网络司令部举行了“网络旗帜21- 1”演练。此次演练是美国网络司令部规模最大的跨国网络演练，以网络空间集体防御为重点，加强了来自23个国家/地区的200多名网络作战人员的防御技能。演练利用“国家网络靶场”测试了参与人员检测敌人、驱逐敌人和确定解决方案的能力，以加强其模拟网络的技能。此次演练是美国对SolarWinds渗透攻击的回应举措之一，旨在加强网络空间集体防御，确认开放、可靠和安全的互联网的重要性。

参考资料

红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南

友情链接

CSA 数字货币交易所Top 10安全风险