第一章 概述

背景

網絡實戰攻防演習是當前國家、重要機關、企業組織用來檢驗網絡安全防御能力的重要手段之一，是對當下關鍵信息系統基礎設施網絡安全保護工作的重要組成部分。網絡攻防實戰演習通常是以實際運行的信息系統為攻擊目標，通過在一定規則限定下的實戰攻防對抗，最大限度地模擬真實的網絡攻擊，并以此來檢驗目標信息系統的實際安全防護能力和運維保障的有效性。

我們討論安全防御前需要理解的一個前提就是：安全，是一個不斷變化、復雜、關聯性極強的系統狀態。一個應用系統想要安全、持續、平穩的運行于互聯網上，都離不開操作系統、數據庫、中間件，還包括各種安全、網絡設備、DNS服務等在背后支撐，甚至還需要包含運營維護人員的安全因素也需要考慮。并且這僅僅是以應用系統己方作為出發點考量，還有一些公用組件、SDK、或者內網、C段等其他應用系統中存在“不安全”鄰居也是需要納入考量的不穩定因素。但凡這一套環節里面有某一環出現問題，都有可能變成木桶中的那一塊短板。

在我們面對攻防演練的活動前，不可輕視以上環節中任何一個節點的安全防護工作。還有一點需要著重關注的就是人員的安全意識教育工作，在實際的攻防演練活動中，往往內部人員是最大且最容易出現的突破口。結合以往經歷不難發現，每次都出現了使用以社會工程學為基礎的網絡釣魚行為，比如郵件釣魚、水坑攻擊、捕鯨攻擊，更有偽造WIFI熱點、行賄內部人員、BADUSB等手段，層出不窮。那么面對如此繁多、復雜的攻擊手段，我們作為防守方如何應對也是我們撰寫本文的目的之一，以供大家參考。

我們通過本文提出一些建議，推薦企業在網絡攻防實戰演習過程中，以企業防守方藍隊角色為中心視角指導如何籌建企業藍隊以及在活動演習前的準備階段、實戰階段和總結階段分別給出一些建議，默認藍隊為防守方、紅隊為攻擊方。

第二章 戰前準備階段

2.1. 組織架構

企業藍隊的組建需要企業管理層自頂向下進行推進，由企業主管安全的領導負責組建團隊。團隊的建設離不開跨中心、跨部門多方協調資源，所以必須選擇一名懂專業、善溝通、權威性強的角色來牽頭。通常，在籌備網絡攻防演習活動前需要成立包括藍隊指揮中心、實時監測小組、快速反應小組、應急保障小組等幾個部分。

圖1 藍隊工作組

藍隊指揮中心：由企業管理層組織并任命專人負責領導，主要負責組織、統籌整個演習活動中藍隊防守方的人員培訓教育、統一調度工作、建立溝通機制，以及對演習活動中各類突發事件進行決策。

實時監測小組：由企業運維人員組成，通過7*24小時實時監控流量、日志平臺等工具，及時發現并報告可以的攻擊行為，對攻擊IP進行封堵或采取限制策略。

快速反應小組：由企業安全人員組成，負責輔助實時監控小組對上報攻擊事件進行分析，研判攻擊行為的真實性與威脅程度，發現業務系統潛在風險點，及時提出安全處置建議。

應急保障小組：由企業安全人員和業務系統人員組成，應對各類演習活動中的突發事件、影響業務系統正常運行的各類事件，進行及時處置和恢復。

有同學對快速反應小組和實時監測小組的分工不是特別理解。這里簡單闡述一下，實時監測偏向日常運維檢測的內容，重點針對系統資源狀態、日志類進行過監控，發現并初步分析潛在風險，這部分的成員能力要求不需要特別的高。相對于快速反應小組，著力點在針對可疑攻擊事件做進一步研判，以專業的角度分析日志判斷是一個攻擊行為還是系統誤報，實現根據攻擊事件來細化防護規則又能保障業務正常運行的目的。我們不能總是依靠“封IP”這種古板的招數以不變應萬變，長此以往可能會影響業務系統的運行，也不利于用戶的使用體驗。

2.2. 資產梳理