第一章 概述

背景

网络实战攻防演习是当前国家、重要机关、企业组织用来检验网络安全防御能力的重要手段之一，是对当下关键信息系统基础设施网络安全保护工作的重要组成部分。网络攻防实战演习通常是以实际运行的信息系统为攻击目标，通过在一定规则限定下的实战攻防对抗，最大限度地模拟真实的网络攻击，并以此来检验目标信息系统的实际安全防护能力和运维保障的有效性。

我们讨论安全防御前需要理解的一个前提就是：安全，是一个不断变化、复杂、关联性极强的系统状态。一个应用系统想要安全、持续、平稳的运行于互联网上，都离不开操作系统、数据库、中间件，还包括各种安全、网络设备、DNS服务等在背后支撑，甚至还需要包含运营维护人员的安全因素也需要考虑。并且这仅仅是以应用系统己方作为出发点考量，还有一些公用组件、SDK、或者内网、C段等其他应用系统中存在“不安全”邻居也是需要纳入考量的不稳定因素。但凡这一套环节里面有某一环出现问题，都有可能变成木桶中的那一块短板。

在我们面对攻防演练的活动前，不可轻视以上环节中任何一个节点的安全防护工作。还有一点需要着重关注的就是人员的安全意识教育工作，在实际的攻防演练活动中，往往内部人员是最大且最容易出现的突破口。结合以往经历不难发现，每次都出现了使用以社会工程学为基础的网络钓鱼行为，比如邮件钓鱼、水坑攻击、捕鲸攻击，更有伪造WIFI热点、行贿内部人员、BADUSB等手段，层出不穷。那么面对如此繁多、复杂的攻击手段，我们作为防守方如何应对也是我们撰写本文的目的之一，以供大家参考。

我们通过本文提出一些建议，推荐企业在网络攻防实战演习过程中，以企业防守方蓝队角色为中心视角指导如何筹建企业蓝队以及在活动演习前的准备阶段、实战阶段和总结阶段分别给出一些建议，默认蓝队为防守方、红队为攻击方。

第二章 战前准备阶段

2.1. 组织架构

企业蓝队的组建需要企业管理层自顶向下进行推进，由企业主管安全的领导负责组建团队。团队的建设离不开跨中心、跨部门多方协调资源，所以必须选择一名懂专业、善沟通、权威性强的角色来牵头。通常，在筹备网络攻防演习活动前需要成立包括蓝队指挥中心、实时监测小组、快速反应小组、应急保障小组等几个部分。

图1 蓝队工作组

蓝队指挥中心：由企业管理层组织并任命专人负责领导，主要负责组织、统筹整个演习活动中蓝队防守方的人员培训教育、统一调度工作、建立沟通机制，以及对演习活动中各类突发事件进行决策。

实时监测小组：由企业运维人员组成，通过7*24小时实时监控流量、日志平台等工具，及时发现并报告可以的攻击行为，对攻击IP进行封堵或采取限制策略。

快速反应小组：由企业安全人员组成，负责辅助实时监控小组对上报攻击事件进行分析，研判攻击行为的真实性与威胁程度，发现业务系统潜在风险点，及时提出安全处置建议。

应急保障小组：由企业安全人员和业务系统人员组成，应对各类演习活动中的突发事件、影响业务系统正常运行的各类事件，进行及时处置和恢复。

有同学对快速反应小组和实时监测小组的分工不是特别理解。这里简单阐述一下，实时监测偏向日常运维检测的内容，重点针对系统资源状态、日志类进行过监控，发现并初步分析潜在风险，这部分的成员能力要求不需要特别的高。相对于快速反应小组，着力点在针对可疑攻击事件做进一步研判，以专业的角度分析日志判断是一个攻击行为还是系统误报，实现根据攻击事件来细化防护规则又能保障业务正常运行的目的。我们不能总是依靠“封IP”这种古板的招数以不变应万变，长此以往可能会影响业务系统的运行，也不利于用户的使用体验。

2.2. 资产梳理