1、 实战攻防演习之 蓝队视角下的防御体系构建 奇安信安服团队 2019.8 前 言 网络实战攻防演习，是新形势下关键信息系统网络安全保护工作的重要组成部分。演习通常是以实际运行的信息系统为保护目标，通过有监督的攻防对抗，尽可能地模拟真实的网络攻击，以此来检验信息系统的实际安全性和运维保障的实际有效性。2016 年以来，在国家监管机构的有力推动下，网络实战攻防演习日益得到重视，演习范围越来越广，演习周期越来越长，演习规模越来越大。国家有关部门组织的全国性网络实战攻防演习从 2016 年仅有几家参演单位，到 2019 年已扩展到上百家参演单位；同时各省、各市、各行业的监管机构，也都在积极地筹备和组织

2、各自管辖范围内的实战演习。一时间，网络实战攻防演习遍地开花。在演习规模不断扩大的同时，攻防双方的技术水平和对抗能力也在博弈中不断升级。2016 年，网络实战攻防演习尚处于起步阶段，攻防重点大多集中于互联网入口或内网边界。2017 年，实战攻防演习开始与重大活动的网络安全保障工作紧密结合。就演习成果来看，从互联网侧发起的直接攻击仍然普遍十分有效；而系统的外层防护一旦被突破，横向移动、跨域攻击，往往都比较容易实现。2018 年，网络实战攻防演习开始向行业和地方深入。伴随着演习经验的不断丰富和大数据安全技术的广泛应用，防守方对攻击行为的监测、发现和溯源能力大幅增强，与之相应的，攻击队开始更多地转向精

3、准攻击和供应链攻击等新型作战策略。2019 年以来 网络实战攻防演习工作受到了监管部门、政企 机构和安全企业的空前重视。流量分析、EDR、蜜罐、白名单等专业监测与防护技术被防守队广泛采用。攻击难度的加大也迫使攻击队全面升级，诸如 0day 漏洞攻击、1day 漏洞攻击、身份仿冒、钓鱼 WiFi、鱼叉邮件、水坑攻击等高级攻击手法，在实战攻防演练中均已不再罕见，攻防演习与网络实战的水平更加接近。如何更好地参与网络实战攻防演习？如何更好地借助实战攻防演习提升自身的安全能力？这已经成为大型政企机构运营者关心的重要问题。作为国内前沿的网络安全企业，奇安信集团已成为全国各类网络实战攻防演习的主力军。奇安信

4、集团安服团队结合 200 余次实战攻防演习经验，总结编撰了这套实战攻防演习系列丛书，分别从红队视角、蓝队视角和紫队视角，来解读网络实战攻防演习的要领，以及如何结合演习提升政企机构的安全能力。需要说明的是，实战攻防演习中的红方与蓝方对抗实际上是沿用了军事演习的概念和方法，一般来说，红方与蓝方分别代表攻击方与防守方。不过，红方和蓝方的名词定义尚无严格的规定，也有一些实际的攻防演习，将蓝队设为攻击队、将红队设为防守队。在本系列丛书中，我们依据绝大多数网络安全工作者的习惯，统一将攻击队命名为红队，将防守队命名为蓝队，而紫队则代表组织演练的机构。蓝队视角下的防御体系构建是本系列丛书的第二本。本书希望通过

5、归纳总结蓝队防御的三个阶段、应对攻击的常用策略，以及建立实战化的安全体系的基本方法，帮助政企机构弥补薄弱环节，更好地提升演习水平，构筑更有效的安全防御体系。目 录 第一章 什么是蓝队.1 第二章 蓝队三步走防守的三个阶段.3 一、备战阶段不打无准备之仗.3 二、实战阶段全面监测及时处置.4 三、战后整顿实战之后的改进.5 第三章 蓝队应对攻击的常用策略.7 一、防微杜渐：防范被踩点.7 二、收缩战线：收敛攻击面.7 三、纵深防御：立体防渗透.9 四、守护核心：找到关键点.11 五、洞若观火：全方位监控.11 第四章 建立实战化的安全体系.13 一、认证机制逐步向零信任架构演进.13 二、建立面

6、向实战的纵深防御体系.14 三、强化行之有效的威胁监测手段.15 四、建立闭环的安全运营模式.16 附录 奇安信蓝队能力及攻防实践.18 奇安信集团 第 1 页，共 22 页 第一章 什么是蓝队 蓝队，一般是指网络实战攻防演习中的防守一方。蓝队一般是以参演单位现有的网络安全防护体系为基础，在实战攻防演习期间组建的防守队伍。蓝队的主要工作包括前期安全检查、整改与加固，演习期间进行网络安全监测、预警、分析、验证、处置，后期复盘总结现有防护工作中的不足之处，为后续常态化的网络安全防护措施提供优化依据。实战攻防演习时，蓝队通常会在日常安全运维工作的基础上，以实战思维进一步加强安全防护措施、提升管理组织