攻防演练合集 | 3个阶段，4大要点，蓝队防守全流程纲要解读

攻防演练即将开始之际，为了帮助各个行业的企业组织强化自身安全体系，近一个多月以来，青藤发表了“攻防演练”系列文章，分别从红队演练、风险收敛加固、安全监控、攻击研判，以及红队常用的攻击方式等方面，对蓝队的防守工作做了系统的梳理。

 

但在攻防演练实战中，蓝队的这些工作模块并不是彼此孤立的，而是各部分协同工作，形成一条完整的防守工作链。本文即以全流程的视角介绍了蓝队如何在攻防演练中从不同角度对红队攻击进行防护的。

图1 蓝队的主要工作模块

 

蓝队防守三步走——事前、事中、事后

在实战环境中，无论是面对常态化的一般网络攻击，还是面对组织化、规模化的高级攻击，蓝队都需要按照事前准备、事中实战、事后收尾三个阶段来开展安全防护工作。

图2 攻防演练的三个阶段

 

一、事前准备——查漏补缺，做好战前准备

在攻防演练开始之前，蓝队首先应当充分地了解自身安全防护状况与存在的不足，找出自身的脆弱点并及时进行加固，为后续工作提供能力支撑。这就是准备阶段的主要工作。

 

在攻防演练中，前期的准备工作包括安全团队组建、演练流程制定，以及未知资产排查、安全设备0day排查、系统漏洞排查、系统弱口令排查、系统配置缺陷排查、内网集权系统排查、协助安全加固等技术性工作。

 

二、事中实战——监控处置，对抗安全攻击

红蓝两队在实战阶段展开正面对抗。蓝队需要集中人力、物力，力求达到系统不破，数据不失。在实战阶段，从技术角度看，应重点做好以下三点：

 

监控全面、持续。在资产细粒度清点的基础上，从多个路径持续、全面、透彻地发现潜在风险及安全薄弱点，包括弱密码、安全补丁、应用风险等，对网络、主机侧的动态进行持续监测，以发现是否有入侵行为。

 

研判快速、准确。在攻防演练中，分析研判上承攻击行为的确认、分析及溯源，下接安全人员对攻击行为的响应处置，是整个防护流程技术含量最高的一步，也是对速度、准确度要求最高的环节之一。

 

响应及时、有效。确认安全事件后，最重要的是在最短时间内采取技术手段遏制攻击的影响范围，并消除攻击发生的所有要素，确保攻击者无法进一步攻击。

 

三、事后收尾——总结复盘，提升安全能力

演练的结束也是防护工作改进的开始。在实战工作完成后，应对各个阶段的工作进行充分、全面的复盘分析，总结经验、教训。并针对复盘中暴露出的不足之处，立即着手整改，修复或加固安全漏洞及隐患，完善安全防护措施，优化安全策略，提高安全人员技术能力，最大程度提升整体网络安全防护水平。

 

扫码下载《红蓝对抗服务全景图》

 

 

蓝队如何预防和处理攻击？

对于蓝队来说，想要达到高水平的防护效果，需要从“知己”和“知彼”两个方面同时着手。既要了解自身的安全脆弱点，也要了解红队的思路与打法，这样才能结合自身实际网络环境、运营管理情况，制定相应的防御措施和响应机制，以在防守过程中争取到更大的主动权。

 

第1步：红队演练——发现自身脆弱性

红队演练是测试企业对网络攻击检测和响应能力的最终方法。它专注于攻击模拟，通过采用与真实攻击相同的各种策略、技术和程序 (TTP) 来评估企业在整个攻击生命周期中每个阶段的防护能力。（详细内容可以查阅前期文章《比渗透测试更有用，红队演练该如何开展？》） 

 

在攻防演练开始之前，企业可以通过红队演练实行攻击模拟来揭示自身安全防护中的漏洞，发现网络安全防御中的暴露面及盲点，深入了解自身安全体系的状态以及安全技术、流程和人员的有效性，并确定需要改进的领域。

 

第2步：风险收敛加固——修复原有脆弱点

风险收敛加固是攻防演练前序阶段中蓝队最重要的工作环节之一。企业通过风险收敛加固，聚焦于安全的多维度精细化提升，从而收敛自身攻击面，满足自身对于前期内外网资产风险测评、安全意识提升、风险事件精准捕获、防御范围最大化等多种类安全需求，全方位巩固安全防线，增强防御效果。（详细内容可以查阅前期文章《风险收敛加固指南：7个维度，30+Checklist》） 

 

第3步：安全监控——尽早发现攻击痕迹

网络安全监控是持续观察用户网络中所发生事情的过程，目的在于监测潜在的网络威胁和及早发现系统被入侵的风险。在攻防演练中，企业为了尽早发现入侵痕迹，有必要对各个入侵路径进行“多锚点”的安全监控，在检测到网络攻击时发出报警，并在造成严重损害之前帮助用户做出响应，及时检测和管理潜在威胁，保护用户的业务应用程序、数据以及整个网络。（详细内容可以查阅前期文章《网络安全“吹哨人”：安全监控》） 

 

第4步：攻击研判——全面了解攻击详情

网络安全中的攻击研判，可以理解为人工层面对攻击事件进行再分析的行为。蓝队针对安全系统或工具发出的告警，通过结合已有的经验和相关工具，来判断其是否为真实存在的攻击，并根据判断结果做出响应、给出处置建议。（详细内容可以查阅前期文章《关于蓝队攻击研判的3大要点解读》）

 

四位一体，建立高效、全面的

蓝队防护体系

那么，蓝队如何实现全面、高效的安全防护呢？这需要基于Gartner自适应保护模型构建覆盖预测（P）、防御（P）、检测（D）、响应（R）四个阶段的“四位一体”防御闭环，将“应急响应式”的被动防御转变为覆盖“事前+事中+事后”全链路的主动防御，以期达到纵深防御的安全效果。

 

PPDR自适应攻击保护架构四个阶段分别要求蓝队具备以下能力：

• 预测：资产清点、安全评估、威胁建模、安全基线

• 防御：风险发现、安全加固、安全培训

• 检测：入侵检测、调查确认

• 响应：响应处置、策略优化

图3 自适应安全架构所需要的能力体系

 

青藤作为防守方最后的“底牌”，在网络安全攻防实战领域有多年的服务经验，并通过3个阶段+5个服务+6个产品，形成了一套完整的覆盖预测、防御、检测、响应全流程的新型防御体系，保证了安全防护有效、及时。

图4 青藤实战化的新一代主动防御体系

 

针对攻防演练的事前、事中、事后三个阶段，青藤蓝队的具体防护工作如下：

• 事前准备工作——资产梳理、脆弱性评估整改、漏洞无效化实施、东西向流量控制；

• 事中值守工作——攻击队入侵监控、攻击告警研判、攻击事件调查、内存马攻击监控、文件完整性监控、0day攻击专项防护；

• 事后演练后续——平战能力积累与传递、落地安全运营标准化、自动化、实战化。
   

安全能力的建设并非一朝一夕之事，这是一个动态的、不断提升的过程，不论是漏洞扫描、渗透测试，还是红蓝对抗，其最终目的都是帮助企业组织了解自身的安全能力，并能够有针对性地进行提升，减少被攻击的可能性，最大程度地保障企业网络安全。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！