奇安信「实战攻防三部曲」要点总结

Posted on 2019-09-22 Edited on 2021-09-30 In InfoSec , Red-Blue Views:

0x00 前言

2016 年以来，为贯彻落实国家网络空间安全战略，国家监管机构大力推动网络实战攻防演习。全国性的网络实战攻防演习，从 2016 年仅有的几家参演单位，到 2019 年的上百家参演单位，演习范围越来越广，演习周期越来越长，演习规模越来越大。

网络实战攻防演习，是指以实际运行的信息系统为保护目标，通过有监督的攻防对抗，最大限度地模拟真实的网络攻击，以此来检验信息系统的实际安全性和运维保障的实际有效性。

近年来，网络实战攻防演习的发展程度与技术手段总结如下：

年份	发展程度	技术手段
2016	起步阶段	攻防重点大多集中于互联网入口或内网边界
2017	开始与重大活动的网络安全保障工作紧密结合	从互联网侧发起直接攻击，突破内网边界后发起横向移动、跨域攻击
2018	开始向行业和地方深入	防方对攻击行为的监测、发现和溯源能力大幅增强，攻方开始转向精准攻击、供应链攻击等新型作战策略
2019	受到了监管部门、政企机构和安全企业的空前重视	防方广泛采用流量分析、EDR、蜜罐、白名单等专业监测与防护技术，攻方开始采用 0day 漏洞攻击、1day 漏洞攻击、身份仿冒、钓鱼 WiFi、鱼叉邮件、水坑攻击等高级攻击手法

为帮助大型政企机构运营者更好地参与网络实战攻防演习，提升自身的安全能力，奇安信集团安服团队结合 200 余次实战攻防演习经验，分别从红队视角、蓝队视角和紫队视角，来解读网络实战攻防演习的要领，以及如何结合演习提升政企机构的安全能力。

小贴士：实战攻防演习中的红蓝对抗，是沿用了军事演习的概念和方法，不过「红队」和「蓝队」尚无严格定义。一般来说，依据绝大多数网络安全工作者的习惯，将攻击方命名为红队，将防守方命名为蓝队，将演练组织机构命名为紫队。

实战攻防之红队视角下的防御体系突破：https://www.qianxin.com/threat/reportdetail/32
实战攻防之蓝队视角下的防御体系构建：https://www.qianxin.com/threat/reportdetail/33
实战攻防之紫队视角下的实战攻防演习组织：https://www.qianxin.com/threat/reportdetail/34

0x01 红队视角下的防御体系突破

本章总结归纳了红队常用的攻击策略和攻击战术，有助于政企机构理解攻方思维，提升演习水平，构筑更有效的安全防御体系。

1.1 什么是红队

基本概念

释义：红队通常指网络实战攻防演习中的攻击方。
职责：红队一般会针对目标系统、人员、软件、硬件和设备同时执行的多角度、混合、对抗性的模拟攻击；以实现系统提权、控制业务、获取数据为目标，来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。

与黑客的区别

对比点	黑客	红队
目标	攻破系统，获取利益	发现系统薄弱环节，提升系统安全性
思路	通常只要发现某一种攻击方法能有效地达成目标，就没有必要再去尝试其他的攻击方法和途径	要尽可能地找出系统中存在的所有安全问题，往往会穷尽所有已知的攻击方法

与渗透测试的区别

对比点	渗透测试	红队攻击
方法	按照规范技术流程对目标系统进行的安全性测试	一般只限定攻击范围和攻击时段，对具体的攻击方法则没有太多限制
要求	一般只要验证漏洞的存在即可	实际获取系统权限或系统数据
限制	明确要求禁止使用社工手段	允许在一定范围内使用社工手段

人员分配

通常以 3 人作为一个战斗小组，其中 1 人为队长。
组长通常综合能力最强，并具备较强的组织意识、应变能力和丰富的实战经验。
组员往往各有所长，具备边界突破、横向移动、情报收集或武器制作等某一方面或几个方面的专长。

小结

实战攻防演习过程中，通常不会严格限定红队的攻击手法，但所有技术的使用、目标的达成，必须严格遵守国家相关的法律和法规。
红队队员的能力要求是综合全面的，不仅要会熟练使用各种黑客工具、分析工具，还要熟知目标系统及其安全配置，并具备一定的代码开发能力，以便应对特殊问题。

1.2 红队攻击三板斧

第一阶段：情报收集

外部情报侦察和信息收集主要包括：组织架构、IT 资产、敏感信息泄露、供应商信息等。

类别	内容	目的
组织架构	单位部门划分、人员信息、工作职能、下属单位等	定位关键人物以实施鱼叉攻击、确定内网横纵向渗透路径
IT 资产	域名、IP 地址、C 段、开放端口、运行服务、Web 中间件、Web 应用、移动应用、网络架构等	为漏洞发现和利用提供数据支撑
敏感信息泄露	代码泄露、文档信息泄露、邮箱信息泄露、历史漏洞泄露信息等	代码审计、社工钓鱼、获取账户密码、发现未修复漏洞
供应商信息	相关合同、系统、软件、硬件、代码、服务、人员等	针对性地开展供应链攻击

第二阶段：建立据点

Step 1：尝试绕过 WAF、IPS、AV 等防护设备或软件，用最少的流量、最小的动作去撕开口子；

Step 2：通过撕开的口子纵向渗透，直到找到内网入口为止；

Step 3：通过 frp、ewsocks、reGeorg 等工具，在内网入口建立隧道，形成从外网到内网的跳板，作为内网渗透据点。

建立据点常见问题及操作：

权限不足：利用系统、程序或服务漏洞进行提权操作，以获得更高权限。
跳板不稳定：进行持久化操作，保证PC机重启后，据点依然可以在线。

小贴士：

（1）“打点”（又称“撕口子”）：针对某薄弱环节，尝试通过漏洞利用或社工钓鱼等手段去获取外网系统控制权限。

（2）纵向渗透：通过撕开的口子，寻找与内网连接的通道（如 DMZ 区），进一步由外到内深入渗透。

（3）DMZ 区（Demilitarized Zone，隔离区）：设立在企业内部网络与外部网络之间的缓冲区域内，此区域用于放置一些公开服务（如企业 Web 服务器、FTP 服务器等），既能被内部网络与外部网络同时访问，还能避免内部网络被外部网络访问。

第三阶段：横向移动

Step 1：先在本机及内网进行深入的信息收集和情报刺探；

内网信息收集：收集当前计算机的网络连接、进程列表、命令执行历史记录、数据库信息、当前用户信息、管理员登录信息、总结密码规律、补丁更新频率等信息；
内网情报刺探：刺探内网其他计算机或服务器的 IP、主机名、开放端口、开放服务、开放应用等情报。

Step 2：再利用内网计算机或服务器中的不及时修复漏洞、不做安全防护、使用相同口令等弱点来进行横向渗透扩大战果；

Step 3：内网漫游过程中，需要重点关注邮件服务器权限、OA系统权限、版本控制服务器权限、集中运维管理平台权限、统一认证系统权限、域控权限等，尝试突破核心系统权限、控制核心业务、获取核心数据，最终完成目标突破工作。

1.3 常用攻击战术

利用弱口令获得权限

实际工作中，通过弱口令获得权限的情况占据 90% 以上。
针对未启用 SSO 验证的不同内网业务系统，许多员工习惯使用同一套账户密码。
很多通用系统在安装后会设置默认管理密码，有些管理员从未更改过密码。
为了管理方便，有些管理员使用同一套密码管理不同服务器。

利用社工进入内网

很多员工对接收的木马、钓鱼邮件没有防范意识，会轻易点击了夹带在钓鱼邮件中的恶意附件。
针对企业中不太懂安全的员工，发送特制的钓鱼邮件，如给法务人员发律师函、给人力资源人员发简历、给销售人员发采购需求等。
为了使用方便，有些员工将系统地址与账户密码以明文形式存储在文档中，或习惯性地使用浏览器的记住密码功能。

利用旁路攻击实施渗透

绝大部分企业的下属子公司之间，以及下属公司与集团总部之间的内部网络均未进行有效隔离，导致下属公司一旦被突破，即可通过内网横向渗透直接攻击到集团总部，漫游企业整个内网，攻击任意系统。
大部分企业对开放于互联网的边界设备较为信任（如 VPN 系统、虚拟化桌面系统、邮件服务系统等），并未在其传输通道上增加更多的防护手段。

秘密渗透与多点潜伏

一般不会大规模使用漏洞扫描器，而是针对性地根据特定系统、特定平台、特定应用、特定版本，去寻找与之对应的漏洞，编写可以绕过防护设备的 EXP 来实施攻击操作。
由于很多安全设备防护能力薄弱，或安全人员技术能力欠缺，导致无法有效地识别攻击行为，也无法给出有效的攻击阻断、漏洞溯源及系统修复策略。
红队通常会采取不同的 Webshell，或利用不同的协议，来建立不同特征的据点。
大部分应急响应过程并不能溯源攻击源头，也未必能分析完整攻击路径，缺乏联动防御。

1.4 经典攻击案例

浑水摸鱼——社工钓鱼突破系统

【攻击难点】工作目标是某企业的财务系统，通过前期踩点和信息收集发现，目标企业的外网开放系统非常少，也没啥可利用的漏洞，很难通过打点的方式进入到内网。

Step 1：通过网上搜索以及一些开源社工库中收集到一批目标企业的工作人员邮箱列表；

Step 2：制作弱口令字典，通过 hydra 等工具进行爆破，成功破解一名员工的邮箱密码；

Step 3：发现邮箱使用者为 IT 技术部员工，并查看该邮箱发件箱，发现一封历史邮件如下：

标题：关于员工关掉445端口以及3389端口的操作过程
附件：操作流程.zip

Step 4：在此邮件的基础上进行改造伪装，构造钓鱼邮件如下：

标题：关于员工关掉445端口以及3389端口的操作补充
附件：操作流程补充.zip（带有木马的压缩文件）

Step 5：通过队对目标企业员工的分析，对几个相关部门进行邮件群发，进而控制了更多的主机与邮箱；

Step 6：在继续构造钓鱼邮件的过程中，发现另一封邮件如下：

尊敬的各位领导和同事，发现钓鱼邮件事件，内部定义为 19626 事件，请大家注意邮件附件后缀 .exe、.bat等……

Step 7：继续同样采取浑水摸鱼策略，利用以上邮件为母本，以假乱真构造以下邮件继续钓鱼：

尊敬的各位领导和同事,近期发现大量钓鱼邮件，以下为检测程序……
附件：检测程序.zip（带有木马的压缩文件）

Step 8：通过不断获取更多的邮箱权限与系统权限，根据目标角色针对性设计钓鱼邮件，最终成功拿下目标。

声东击西——混淆流量躲避侦察

【攻击难点】刚刚创建的跳板几个小时内就被阻断了，刚刚上传的 Webshell 过不了几个小时就被查杀了，蓝队根据流量威胁审计阻断攻击，使得红队始终在目标的外围打转。

Step 1：归纳分析了流量威胁审计的天然弱点，以及蓝队有可能出现的人员数量及技术能力不足等情况，决定采用声东击西策略：

同时寻找多个具有直接获取权限漏洞的系统，正面大流量进攻某个系统，吸引火力，侧面尽量减少流量直接拿权限并快速突破内网。

Step 2：通过信息搜集，发现目标企业的某个外网 Web 应用，并通过代码审计发现多个严重的漏洞，还发现了该企业的一个营销网站，并通过黑盒测试发现存在文件上传漏洞；

Step 3：大部分成员主攻营销网站，不在乎是否被发现或封堵，目的是让吸引蓝队注意力，使其忙于分析和应对正面的大流量攻击；

Step 4：小部分成员利用不同的 IP 和浏览器指纹特征渗透 Web 应用网站，目的是用最少的流量拿下服务器，让威胁数据淹没在营销网站的攻击洪水当中。

李代桃僵——旁路攻击搞定目标

【攻击难点】蓝队将网站首页替换成了一张截图；或将所有数据传输接口关闭了，然后采用 Excel 表格的方式实现数据导入；或将内网目标系统的 IP 做了限定，仅允许某个管理员 IP 访问等。

Step 1：通过信息搜集，发现目标企业把能关的外网系统都关了，甚至连邮件系统都做了策略，决定采用李代桃僵策略：

如果母公司不让搞，那就去搞子公司；如果子公司不让搞，那就去搞孙公司。

Step 2：从目标的孙公司 A 下手，利用 SQL 注入与命令执行漏洞，成功进入其 DMZ 区；

Step 3：继续横向渗透控制了 A 的域控与 DMZ 服务器，并未发现目标系统信息，但发现 A 可连通子公司 B；

Step 4：通过 Tomcat 弱口令与上传漏洞进入 B 的内网，继续横向渗透获取了 B 的域控；

Step 5：对 B 进行信息收集，发现目标系统 X 托管在子公司 C，并且 B 内有 7 名员工与 X 存在业务往来，大部分时间在 C 内办公，但其电脑资产属于 B 的域；

Step 6：当 7 名员工的电脑接入 B 的内网时，利用域权限在其电脑种植木马后门；

Step 7：当 7 名员工的电脑接入 C 的内网时，通过其计算机实施横向渗透，并获取了 C 的域控；

Step 8：通过日志分析，锁定了 X 的管理员电脑，并获取了 X 的管理员登陆账号，最终获取 X 的控制权限。

顺手牵羊——巧妙种马实施控制

【攻击难点】红队的工作永远是具有随机性、挑战性、对抗性的，总会有各种出其不意的情况出现，只有随机应变、充分利用出现的各种机遇，才能最终突破目标完成任务。

Step 1：红队通过挖掘目标 OA 系统的 0day 漏洞，拿到了 Webshell，但管理员很快发现 OA 系统存在异常，及时迁移了 OA 系统应用与数据库，并修复了漏洞；

Step 2：经测试发现，蓝队虽然迁移了系统并修复了漏洞，但未删除全部 Webshell 后门脚本，红队仍能连接之前的 Webshell；

Step 3：通过提权获得服务器权限后，发现蓝队管理员连接到了 OA 服务器，并将其 PC 的磁盘全部挂载到 OA 服务器中；

Step 4：确认了管理员身份与远程磁盘文件后，向磁盘写入了自启后门程序；

Step 5：待蓝队管理员重启 PC 后，红队获得 PC 权限，并发现管理员使用 MyBase 工具加密存储服务器的重要信息；

Step 6：通过键盘记录器，获取了 MyBase 主密钥，解密文件后获取了 VPN、堡垒机、虚拟化管理平台等关键系统的账户密码；

Step 7：红队利用获取到的账户密码登录到虚拟化平台中，定位到演习目标系统的虚拟主机，并顺利获取了管理员权限。

暗渡陈仓——迂回渗透取得突破

【攻击难点】当演习中明确了重点目标，蓝队通常会严防死守、严阵以待，时时刻刻盯着从外网进来的所有流量，不管你攻还是不攻，他们始终坚守在那里。

Step 1：通过信息搜集，发现大多数目标要么都已关闭，要么使用了高强度的防护设备，在时间有限情况下，红队放弃正面突破，决定采用暗度陈仓策略：

绕过蓝队的防守线，从其他没有防守的地方去开展迂回攻击。

Step 2：通过天眼查网站，红队了解到所有子公司及附属业务的分布情况，目标业务遍布世界各地，其中香港包涵业务相对较多，很可能有互相传送数据及办公协同的内网，故决定以香港作为切入点；

Step 3：通过踩点刺探，在香港酒店业务网站找到一个 SA 权限的注入点，成功登陆后台后，利用任意文件上传漏洞 Getshell；

Step 4：通过数据库 SA 权限，获取数据库服务器的 SYSTEM 权限，并导出了域 Hash 及域结构；

Step 5：在导出的域结构中，发现了国内域的机器，于是红队开始尝试向目标所在的国内域开展横向渗透，并成功对一台服务器 Getshell，提权后抓取此服务器密码；

Step 6：利用抓取到的密码尝试登陆其他服务器，并成功登陆到一台杀毒服务器；

Step 7：在杀毒服务器上成功抓到国内域的域管密码，并使用域管账号成功控制堡垒机、运维管理、VPN 等多个重要系统。

1.5 常见防守弱点

资产混乱、隔离策略不严格

除了大型银行之外，很多企业对自身资产的管理比较混乱，没有严格的访问控制策略（ACL，Access Control List），并且办公网和互联网之间大部分相通，并能直接通过远控程序上线。
除了大型银行与互联网企业外，很多企业在 DMZ 区和办公网之间不做或很少做隔离，网络区域划分也不严格。
此外，几乎所有企业的下级单位和上级单位的业务网都可以互通。

通用中间件未修复漏洞较多

WebLogic 应用较为广泛，其反序列化漏洞常会被作为打点和内网渗透的突破点。
大部分企业都有对外开放的邮件系统，可以针对邮件系统漏洞开展攻击（如跨站漏洞、XXE 漏洞等），也可以通过钓鱼邮件和鱼叉攻击开展社工活动。

边界设备成为进入内网的缺口

大部分企业都会搭建 VPN 设备，可以针对 VPN 设备的漏洞开展攻击（如 SQL 注入、添加账号、远程命令执行等），也可以采取钓鱼、爆破、弱口令等方式来获取账号权限。

内网管理设备成扩大战果突破点

大部分企业都有堡垒机、自动化运维、虚拟化、邮件系统和域环境等内网管理设备，但由于缺乏定期维护升级，很可能作为扩大权限的突破点。

0x02 蓝队视角下的防御体系构建

2.1 什么是蓝队

基本概念

释义：蓝队通常指网络实战攻防演习中的防守方。
职责：蓝队主要工作包括前期安全检查、整改与加固，演习期间进行网络安全监测、预警、分析、验证、处置，后期复盘总结现有防护工作中的不足之处，为后续常态化的网络安全防护措施提供优化依据。

团队组成

蓝队并不仅仅由实战演习中目标系统运营单位一家独立承担，而是由目标系统运营单位、攻防专家、安全厂商、软件开发商、网络运维队伍、云提供商等多方组成的防守队伍（若还有其他团队角色，则根据实际情况分配工作）。

角色	分工
目标系统运营单位	负责蓝队整体的指挥、组织和协调
安全运营团队	负责整体防护和攻击监控工作
攻防专家	负责分析研判可疑攻击，指导相关部门漏洞整改
安全厂商	负责调整自身产品的可用性、可靠性和防护监控策略
软件开发商	负责加固与监控自身系统，配合攻防专家整改安全问题
网络运维队伍	负责网络架构安全保障、出口整体优化、网络监控与溯源
云提供商	负责保障自身云系统的安全性，配合攻防专家整改安全问题

小结

实战攻防演习过程中，蓝队通常会在日常安全运维工作的基础上，以实战思维进一步加强安全防护措施、提升管理组织规格、扩大威胁监控范围、完善监测与防护手段、增加安全分析频率、提高应急响应速度，提升防守能力。
蓝队必须站在攻击者的角度，了解攻击者的思路与打法，并结合本单位的实际网络环境与运营管理情况，制定相应的防御策略与响应机制，才能在防守过程中争取主动权。

2.2 蓝队防守三步走

第一阶段：备战阶段

首先应当从技术、管理、运营三个层面进行安全评估及改进。

层面	存在问题	解决方法
技术	基础能力薄弱、安全策略不当、安全措施不完善等	系统资产梳理、安全基线检查、网络安全策略检查、Web 安全检测、关键网络安全风险检查、安全措施梳理和完善、应急预案完善与演练等
管理	制度缺失、职责不明、应急响应机制不完善等	建立合理的安全组织架构、建立有效的工作沟通机制等
运营	资产梳理不清晰、漏洞整改不彻底、安全监测分析与处置能力不足等	成立防护运营小组，提高安全监测、预警、分析、验证、处置等能力，以全流量安全威胁检测分析为重点

第二阶段：实战阶段

Step 1：做好全局性分析研判工作，对监测人员发现的攻击预警进行分析确认并溯源，并指导协助事件处置人员
对确认的攻击进行处置。

Step 2：全面布局安全监测预警，尽量做到全面覆盖（网络边界、内网区域、应用系统、主机系统等），只要不影响业务，监测手段越多元化越好（IDS、WAF、全流量威胁检测、网络分析系统、蜜罐等）。

Step 3：提高事件处置效率效果，应在最短时间内采取技术手段遏制攻击、防止蔓延。

第三阶段：战后整顿

最后应全面复盘分析实战防护工作，并总结经验教训。通过日常网络安全建设和安全运营的日积月累，不断优化企业安全的技术、管理、运营体系，形成面向实战的安全防御能力。

分析角度	具体内容
复盘环节	备战、预演习、实战等环节
复查层面	工作方案、组织管理、工作启动会、系统资产梳理、安全自查及优化、基础安全监测防护设备的部署、安全意识、应急预案、注意事项等
整改方向	管理层面不完善的制度、技术层面需优化的安全措施和策略、协调工作层面低下的效率、人员队伍需提高的技术能力等

2.3 常用防守策略

防微杜渐：防范被踩点

要尽量防止本单位敏感信息泄露在公共信息平台，并定期排查是否存在敏感文件泄露的情况。
要定期对信息部门重要人员进行安全意识培训，如：来路不明的邮件附件不要随便点开，社交软件未经身份确认不要随便添加好友。

收缩战线：收敛攻击面

要定期梳理本单位的网络边界、可能被攻击的路径，尤其是内部系统全国联网的单位。
要定期检测开放在互联网的管理后台、开放在互联网上的测试系统、无人维护的僵尸系统、拟下线而未下线的系统、因疏漏而未纳入防护范围的互联网开放系统。
要定期梳理外部单位的网络接入情况（供应商、下级单位、业务合作单位等），尤其是未经过安全防护设备就直连内网的单位。
要定期梳理 Web 服务的 API 隐藏接口、不用的 VPN、WiFi 账号等。

纵深防御：立体防渗透

互联网端防护【最外部的接口，是重点防护区域】：需部署的网络防护设备（WAF、IPS、NGFW、防病毒网关、全流量分析设备、防垃圾邮件网关等），并事先对互联网系统进行一次完整的渗透测试。
访问控制措施【阻止横向渗透最简单有效的防护手段】：依据最小权限原则，只给必须使用的用户开放访问权限，禁止私自开放服务或者内部全通等情况出现。
主机防护【直接决定了内网攻击成果的大小】：关闭没用的服务、修改主机弱口令、高危漏洞必须打补丁（包括装在系统上的软件高危漏洞）、安装主机和服务器安全软件、开启日志审计等。
集权系统【内部防护的重中之重】：要在系统配置安全、系统安全测试、访问控制策略、弱口令设置、已知漏洞的加固情况等方面做好集权系统的防护。
无线网络【可能成为攻击点】：无线开放网络应与业务网络分开，并建议采用强认证与强加密接入模式。
外部接入网络【可能被旁路攻击】：对外部业务系统进行安全检测，并确保先接入安全防护设备，再连接内网。

守护核心：找到关键点

要重点梳理核心目标系统与哪些业务系统有联系、有哪些开放的服务或接口、是哪种传输方式等。
对核心目标系统做一次交叉渗透测试，充分检验系统的安全性。
对核心目标系统的出入流量、中间件日志进行安全监控和分析。

洞若观火：全方位监控

通过全网络流量去捕获攻击行为是目前最有效的安全监控方式。
通过合理部署主机安全软件，可以更快速准确地找到攻击者的真实目标主机。
要建立一套独立的日志分析和存储机制，核心目标系统可派专人监控分析恶意行为。
通过与专业安全厂商合作，建立漏洞通报机制，安全厂商负责检测与防守单位信息资产相关的 0day 或 Nday 漏洞，并及时将漏洞向防守单位通报。

2.4 建立实战化的安全体系

认证机制逐步向零信任架构演进

传统网络安全边界正在被瓦解，攻击手段层出不穷，零信任安全思想认为网络是不可信任的，并提出实战防御的关注点应从“攻击面”向“保护面”上转移（可类比从“黑名单”转向“白名单”）。
零信任安全架构引导从网络中心化走向身份中心化，其本质诉求是以身份为中心进行访问控制。
零信任安全核心思想：默认情况下不应该信任网络内部和外部的任何人、设备和系统，必须基于认证和授权重构访问控制的信任基础。
零信任安全遵循原则：先验证身份（不再自动信任内部和外部的任何人、设备和系统），后授权访问（满足最小权限原则）。
零信任安全架构优点：（1）以安全与易用平衡的持续认证，改进了原有固化的一次性强认证；（2）以基于风险和信任持续度量的动态授权，替代了简单的二值判定静态授权；（3）以开放智能的身份治理，优化了封闭僵化的身份管理。

建立面向实战的纵深防御体系

随着云计算、大数据、人工智能等新型技术的广泛应用，传统安全思路难以保障更加复杂的信息基础架构，必须通过新思路、新技术、新方法建立纵深防御体系架构，提升面向实战的整体防护能力。
先梳理现有的安全架构，再以安全能力建设为核心思路，重新设计企业纵深防御体系架构，并努力将安全工作前移，确保安全与信息化“三同步”（同步规划、同步建设、同步使用）。

强化行之有效的威胁监测手段

威胁监测手段存在的常见问题：（1）未针对全流量威胁进行监测，导致分析溯源工作无法开展；（2）即使有全流量威胁监测手段，但流量覆盖不完全，存在监测盲区；（3）只关注网络监测，忽视主机层面的监测，当主机发生异常时不易察觉；（4）缺乏对邮件安全的监测，使得钓鱼邮件，恶意附件在网络中畅通无阻；（5）没有变被动为主动，缺乏蜜罐等技术手段，无法捕获攻击、进一步分析攻击行为。
强化威胁监测手段方法：建立以全流量威胁监测分析为“大脑”、以主机监测与邮件安全监测为“触角”、以蜜罐监测为“陷阱”、以失陷检测为辅助手段的全方位安全监测机制。

建立闭环的安全运营模式

通过内部威胁预测、外部威胁情报共享、定期开展暴露资产发现、安全检查等工作，达到攻击预测，提前预防的目的。
通过开展安全策略优化、安全基线评估加固、系统上线安全检查、安全产品运行维护等工作，建立威胁防护能力。
通过全流量风险分析、应用失陷检测、渗透测试、蜜罐诱导等手段，对安全事件能进行持续检测，减少威胁停留时间。
通过开展实战攻防演习、安全事件研判分析、规范安全事件处置流程等工作，对安全事件及时进行控制，降低危害影响，形成快速响应处置机制。
配备专人来完成监控、分析、响应、处置等重要环节的工作，在日常工作中让所有参与人员都能熟悉工作流程，并提高团队协同作战能力。
企业应重视安全防御体系的建设，建立起“以人员为核心、以数据为基础、以运营为手段”的安全运营模式，逐步形成威胁预测、威胁防护、持续检测、响应处置的闭环安全工作流程，打造“四位一体”的闭环安全运营体系。

0x03 紫队视角下的实战攻防演习组织

3.1 什么是紫队

基本概念

释义：紫队通常指网络实战攻防演习中的组织方。
职责：紫队主要负责组织协调实战演习的开展工作，包括演习组织、过程监控、技术指导、应急保障、演习总结、技术措施与策略优化建议等，目的是通过演习检验参演单位的安全威胁应对能力、攻击事件检测发现能力、事件分析研判能力与事件响应处置能力，以提升参演单位的安全实战能力。

实战攻防演习组织要素

elements

要素	职责
组织单位	负责总体把控、资源协调、演习准备、演习组织、演习总结、落实整改等相关工作
演习技术支撑单位	实战攻防演习的环境搭建与可视化展示
攻击方（红队）	由多家安全厂商独立组队，每队配备 3 至 5 人攻击以资产探查、工具扫描与人工渗透为主，目的是获取演习目标系统权限和数据
防守方（蓝队）	由参演单位与相关厂商组成的防守团队负责所管辖资产的防御工作，尽可能地避免被红队拿到权限和数据

实战攻防演习组织形式

形式	范围	目标
由国家、行业主管部门、监管机构组织	公安机关、网信部门、政府、金融、交通、卫生、教育、电力、运营商等	针对行业关键信息基础设施和重要系统
由大型企事业单位自行组织	央企、银行、金融企业、运营商、行政机构、事业单位、其他政企单位等	针对业务安全防御体系建设有效性的验证需求

实战攻防演习组织关键

关键	内容
演习范围	优先选择重点且非涉密的关键业务系统及网络
演习周期	结合实际业务开展，一般建议 1 至 2 周
演习场地	依据演习规模选择相应的场地，一般将组织方、攻击方、防守方的场地分开
演习设备	搭建攻防演习平台与视频监控系统，配发攻击方专用电脑
攻击方组建	由参演单位安全技术人员或安全厂商专业人员组建
防守队组建	以参演单位安全技术人员为主，以安全厂商专业人员为辅
演习规则制定	明确制定攻击规则、防守规则与评分规则，保证攻防过程有理有据，避免攻击过程影响业务正常运行
演习视频录制	录制演习全过程的视频，内容包括前期工作准备、红队攻击过程、蓝队防守过程、紫队评分过程等

3.2 紫队组织四阶段

阶段	内容
组织策划	明确演习最终目标，策划演习各项工作，提出合理可用的实战攻防演习方案
前期准备	依据实施方案落实人员与物资
实战攻防演习	由组织方协调攻防两方及其他参演单位完成演习工作，包括演习启动、演习过程、演习保障等
演习总结	先恢复所有业务系统至日常运行状态，再进行工作成果汇总，为后期整改建设提供依据

第一阶段：组织策划

Step 1：建立演习组织

organization

组别	职责
攻击组（红队）	由参演单位与安全厂商共同组建，一般由攻防渗透、代码审计等技术人员组成负责攻击演习目标
防守组（蓝队）	由防守单位的运维技术、安全运营等人员组成负责监测演习目标，发现并遏制攻击行为
技术支撑组	由组织单位的系统及网络运维人员组成负责演习过程中的实时状态监控、阻断处置操作等，保障演习环境与监控平台正常运行、演习过程安全有序地开展
监督评价组	由主导单位专业人员组成专家组与裁判组专家组负责研究演习方案，把控攻击效果，研判攻击成果，保障演习安全可控裁判组负责巡查演习过程中的攻击状态与防守状态，把控攻击方操作，对攻击成果判定相应分数，最终对参演攻击组与防守组给予排名
组织保障组	由组织单位的后勤人员组成负责演习过程中的协调联络、后勤保障等相关事宜，包括演习应急响应保障、演习场地保障、演习视频采集等

Step 2：确定演习目标

依据预想的演习效果，全面梳理参演单位的业务和信息系统，并由组织单位选定或由参演单位上报，最终确定演习目标系统。
一般会选择关键信息基础设施、重要业务系统、门户网站等作为演习首选目标。

Step 3：制定演习规则

依据演习目标，结合实际场景，细化攻击规则、防守规则与评分规则。
为了激励防守单位、提升防守技术能力，可适当增加防守反击得分规则。
演习时间通常为工作日 5 × 8 小时，组织单位视情况还可以安排为 7 × 24 小时。
沟通方式通常为即时通信软件、邮件、电话等。

Step 4：确定演习流程

process

流程	内容
确认人员就位	确认红队人员、蓝队人员、紫队人员按要求到位
确认演习环境	攻击组与技术支撑组确认演习现场与演习平台准备就绪
确认准备工作	防守组确认演习目标系统是否正常运行、是否已完整备份
演习开始	各组确认准备完毕，演习正式开始
攻击组实施攻击	红队对目标系统实施网络攻击，记录攻击过程与成果证据
防守组监测攻击	蓝队可利用安全设备监测网络攻击，分析确认所发现的攻击行为，记录详细监测数据
提交成果	红队将所发现的安全漏洞、所获取的权限和成果截图保存，并通过平台提交
漏洞确认及研判	由专家组确认所提交漏洞的真实性，并根据评分规则判定相应分数
攻击结束	在演习规定时间外，攻击组停止对目标系统的攻击
成果总结	演习工作组协调各参演小组，将演习中产生的成果、问题、数据汇总，最终输出演习总结报告
资源回收	演习工作组负责回收处理各类设备、网络资源，演习相关数据，并监督攻击组清除在演习过程中使用的木马、脚本等数据
演习结束	对所有目标系统攻击结束后，各工作小组还需进行内部总结汇报，演习结束

Step 5：搭建演习平台

平台	功能
攻击场地	攻击组的演习阵地，可分为场内攻击与场外攻击，搭建专用的网络环境，配以充足的攻击资源，并通过演习监控系统，确保攻击行为安全可控
防守场地	防守组的演习阵地，通过视频监控系统，将防守场地实时战况回传指挥中心
目标信息系统	防守组的网络资产系统，将围绕该系统开展相应的防御工作
行为分析中心	通过网络安全审计设备，收集并分析攻击行为，实时监控攻击过程，建立完整的攻击场景，最终通过可视化大屏实时展现
指挥大厅	攻防双方的实时状态将接入到指挥大厅监控大屏，领导可以随时指导视察

Step 6：应急保障措施

当演习中出现不可控突发事件（如断电，断网，业务停顿等），导致演习中断或终止时，指挥部需要采取相应的应急保障措施。
在演习实施方案时，指挥部应组织攻防双方制定演习应急响应预案的具体措施。

第二阶段：前期准备

Step 1：资源准备

备项	内容
演习场地布置	演习场地划分、展示大屏、办公桌椅、专用网络搭建等
演习平台搭建	攻防平台开通、攻防双方账户开通、IP 地址分配等，确保平台正常运行
演习人员专用电脑	配备专用电脑，需安装有安全监控软件、防病毒软件、录屏软件等，确保事件回溯机制生效
视频监控部署	部署攻防演习场地的视频监控系统，确保物理环境安全
演习备案	组织单位向上级主管单位及监管机构（公安、网信等）进行演习备案
演习授权	组织单位向红队进行正式授权，确保演习工作在授权范围内有序进行
保密协议	与参演第三方人员签署相关保密协议，确保信息安全
攻击规则制定	规定红队的接入方式、攻击时间、攻击范围、需报备的特定攻击事件等，明确禁止使用的攻击行为（导致业务瘫痪、信息篡改、信息泄露、潜伏控制等）
评分规则制定	红队评分规则：针对目标系统、集权类系统、账户信息、重要关键信息系统等的加减分项蓝队评分规则：针对发现类、消除类、应急处置类、追踪溯源类、演习总结类等的加减分项

Step 2：人员准备

角色	职责
攻击方（红队）	确定攻击队数量，每队参与人员数量建议 3 至 5 人审核红队人员技术能力、背景等要求红队人员签署保密协议确定红队负责人并构建攻击方组织架构向红队人员宣贯攻击规则及演习相关要求
防守方（蓝队）	确定防守队成员信息，由本单位或第三方安全技术人员组成审核蓝队人员技术能力、背景等要求第三方蓝队人员签署保密协议确定蓝队负责人并构建防守方组织架构向蓝队人员宣贯防守规则及演习相关要求

第三阶段：实战攻防演习

Step 1：演习启动

组织演习相关单位召开启动会议，部署实战攻防演习工作，向攻防双方明确工作要求，制定约束措施，确定应急预案，规定演习时间，宣布演习正式开始。
启动会议内容包括相关领导发言，宣布演习规则、演习时间、纪律要求，核实攻防双方人员信息，攻击方抽签分组等。

Step 2：演习过程

过程	内容
演习监控	将攻防双方的实时状态与比分状况传至指挥调度大屏全程监控目标系统的运行状态、红队的操作行为和攻击成果、蓝队的攻击发现和响应处置等
演习研判	对攻防双方的过程与成果进行研判评分，从而得出最终排名红队评分机制：对目标系统攻击的实际危害程度、准确性、时间长短、漏洞贡献数量等蓝队评分机制：发现攻击行为、响应流程、防御手段、防守时间等
演习处置	当演习中出现突发事件，蓝队无法有效应对时，由紫队提供应急处置人员，对事件快速定位、分析、恢复，以保障演习系统正常运行
演习保障	人员安全保障：每天核实攻防双方人员信息，避免擅自替换人员，保障演习公平公正攻击过程监控：全程监控红队操作行为、网络全流量、物理环境等，并总结输出日报备查专家研判：确认攻击成果、确认防守成果、判定违规行为等攻击过程回溯：核实红队的攻击成果与攻击流量，发现违规行为及时处理信息通告：利用信息交互工具建立指挥群，统一发布和收集信息，确保信息快速同步人员保障：指派专人现场监督，建立应急与医务团队处置突发事件资源保障：每天对设备、系统、网络例行检查，确保资源的可用性后勤保障：演习期间合理安排餐食，演习现场储备足够的水和食物突发事件应急处置：确定紧急联系人列表，事件上报指挥部，执行应急预案

第四阶段：演习总结

Step 1：演习恢复

流程	内容
收集报告	收集并汇总攻防双方所提交的总结报告
清除后门	依据攻击方报告和监控到的攻击流量，确保完全清除攻击方上传的后门
账号及权限回收	攻击方提交报告后，回收其所有账号及权限，包括在目标系统上新建的账号
攻击方电脑回收	回收并格式化攻击方电脑，并清除所有数据
网络访问权限回收	回收攻击方的所有网络访问权限

Step 2：演习总结

要点	内容
成果确认	确认被攻陷目标的归属单位或部门，落实攻击成果
数据统计	汇总攻防双方的演习成果，统计攻防数据，进行评分与排名
总结会议	参演单位进行总结汇报，组织单位对演习进行总体评价对成绩优异的参演队伍颁发奖杯和证书攻防双方互相分享经验心得针对演习中存在的问题，提出改进建议与整改计划
视频汇报与宣传	制作本次演习的纪实视频，以供防守方在内部播放宣传，提高人员安全意识

Step 3：整改建议

演习结束后，组织单位应组织专业技术人员，汇总、复盘、分析所有攻击数据，并总结经验教训，对现存问题提出合理整改建议。
向防守单位下发详细过程分析报告，并督促整改，要求在限期内上报整改结果。

3.3 风险规避措施

演习限定攻击目标系统，不限定攻击路径

针对特定的目标系统，不限定攻击方采用的攻击路径，但在攻击路径中发现的安全漏洞和隐患，应及时向演习指挥部报备，不允许对其进行破坏性操作，避免影响业务系统正常运行。

除授权外，演习不允许使用拒绝服务攻击

除非经演习主办方授权，否则攻击方禁止使用 SYN Flood、CC 等拒绝服务攻击手段。

网页篡改攻击方式的说明

演习只针对互联网系统或应用的一级或二级页面进行篡改，以检验防守方的应急响应和侦查调查能力。
攻击方对目标系统成功渗透并获取网站控制权限后，需先请示演习指挥部，同意后再将其下发的特定图片张贴在指定网页。

演习禁止采用的攻击方式

禁止通过收买防守方人员进行攻击。
禁止通过物理入侵、截断监听外部光纤等方式进行攻击。
禁止采用无线电干扰机等直接影响目标系统运行的攻击方式。

攻击方木马使用要求

木马控制端由演习指挥部统一提供使用。
木马不应具有自动删除目标系统文件、损坏引导扇区、主动扩散、感染文件、造成服务器宕机等破坏性功能。
禁止使用具有破坏性和感染性的病毒、蠕虫等。

非法攻击阻断及通报

演习指挥部应组织技术支持小组，记录与分析攻击网络的全流量。
当发现不合规攻击行为时，应及时阻断非法攻击行为，并对相应攻击队伍进行通报批评。

0x04 总结

自 2016 年首次开展网络实战攻防演习以来，这种全新的网络安全检验模式得到了广泛认可与飞跃性发展。

针对国家关键基础设施开展实战攻防工作，使得关键信息系统的整体安全性有了显著提高和可靠保障；针对企业重要信息系统、敏感系统、工控系统等进行实战攻防演习，大幅提升了各级单位应对网络安全突发事件的处理能力，以及相关网络与系统的防御能力。

本文旨在「实战攻防三部曲」原有的章节结构下，归纳总结关键要点作为学习指导手册，并精炼了部分语句的表达，修订了个别笔误或表意不明之处。因笔者水平有限，若本文总结存在不足或错误，还望不吝指教。最后向奇安信集团所提供的实战攻防经验总结致以诚挚的感谢。