黄乐

央视网 网络安全部 副总监

十年网络架构设计经验，五年安全体系建设及管理经验，清流派企业安全沙龙创始人，两个安全公众号主理人。

在央视网主要负责网络安全架构的设计和建设。主要包括攻防对抗技术研究、安全检测及防御体系建设、安全播出管理平台建设、漏洞治理平台研发、威胁感知平台研发、应急响应系统研发等工作。同时，提出了“重检测，轻防御”的安全架构设计理念，并通过“快速及格、逐步迭代”的思路快速落地了央视网安全播出管理平台。

清流派企业安全沙龙是安全行业甲方闭门沙龙，每月邀请各企业安全部门负责人从多个方面探讨企业安全建设及管理的思路和经验。

几天前看到安在的命题作文“攻防演练实务”，恰巧最近笔者所在企业刚刚做过一轮攻防演练。趁着很多事情还没忘就有了本文。本文主要以笔者在企业攻防演练工作中思考和看到的问题为基础，讨论攻防演练的基础概念，价值和一些关注点。

在动笔之前笔者特意百度了一下关于攻防演练的内容，并没有找到很标准的定义。一般来说企业安全弱点发现主要分三个方面的工作：漏洞扫描、渗透测试和攻防演练。那么我们就抛开定义，对比一下这三方面工作的区别。

漏洞扫描：绝大部分漏洞扫描工作，是通过自动化工具来发现企业网络中存在的漏洞，后面再辅以人工甄别。当然，从广义上讲，0day漏洞挖掘也可以归纳到这部分工作中，方法自然就不是自动化扫描了，由于开展0day漏洞挖掘工作的企业并不多，这方面工作不在本文讨论范围之内。漏洞扫描工作主要看漏洞发现是否全面和及时。

渗透测试：从具体工作来说，渗透测试工作是包含漏洞扫描的，但与漏洞扫描不同，渗透测试更倾向于拿到某些权限，而非仅仅发现一些漏洞。渗透测试工作一般需要提前约定渗透测成果，笔者也见过一些没有约定成果的渗透测试，结果就是只要渗透测试人员可以拿到某些服务器的权限就算是完成了这次渗透。

攻防演练：从字面就可以看出，这项工作更有对抗性，渗透测试可以在甲方完全不参与的情况下开展。而攻防演练则需要甲乙方共同约定战场、约定时间、约定目标，由于有防守方的加入，攻防演练对攻击者的要求进一步提高。从国家层面，由公安部组织，很多安全企业和甲方参与的“护网行动”就是很典型的攻防演练。攻击队和防守方在约定的时间和系统中进行对抗，攻击队的任务是拿下预定目标，而防守方则要及时、准确的发现和封堵攻击队的行为。

笔者认为，这三项工作并没有孰优孰劣的区别，企业需要根据自身情况灵活选择服务。

一般来说漏洞扫描工作是基础，笔者认为漏洞扫描工作应该7*24小时不间断的进行，而不是按月甚至按季度开展，同时对漏洞的管理也应得到重视，不能“管杀不管埋”；而渗透测试则是考验安全团队日常工作效果，从渗透测试的结果可以看到日常工作的不足，这也是最值得注意的事情，渗透测试要输出的绝不仅仅是一份报告，而是发现安全团队日常安全运维过程被忽略的维度；而攻防演练考验的是安全团队的对抗和应急能力，在明确攻击行为，甚至攻击者的情况下安全团队能否承受得住压力，赢得对抗。

上文简单介绍了笔者眼中的漏扫、渗透、攻防演练，我们把目光回到攻防演练上来。我们来探讨攻防演练可以有哪些方式开展。

从情报维度，可以分黑盒、灰盒和白盒。从红方属性维度可以分为内部对抗和通过服务模式邀请第三方参与对抗。一般来说，内部对抗的方式都是灰盒或白盒，而第三方对抗则通常是黑盒或灰盒模式。

笔者比较推崇灰盒攻防演练的方式，因为很多时候，企业的情报多多少少都有泄露的情况。所以，很多现实中的攻防场景中，企业都是在半透明的情况下与黑客对抗的。这正是灰盒演练的场景。

攻防演练需要防守方全程实时参与，是一项耗时耗力的工作。而且，在目前安全人员成本很高的市场环境下，这项工作的成本也很高。企业启动攻防演练需要掌握好时机，以便有最高的投入产出比。

试想如果企业基本漏洞问题和检测问题都解决不了，攻击队会很快拿到相关权限，演练结束。带来的结果就是找到了一个漏洞，发现了一个渗透路径，给企业带来的价值非常有限。所以，在安全建设的早期阶段建议启动漏洞扫描和渗透测试工作。在建议企业在对自己的安全能力（不仅是脆弱性治理，还包括检测和应急能力）比较有信心的时候，再启动攻防演练。

前文提到，攻防演练对企业来说成本还是很高的，那为什么企业还要选择做攻防演练呢？我们分析一下这项工作给企业带来的价值。

与漏洞扫描和渗透测试一样，攻防演练也一定会找到企业IT系统的脆弱性问题。尤其像前文提到的，企业对自己内部的安全能力已经很有信心的情况下，能找到企业的脆弱性问题就不仅仅是一两个漏洞的问题。很可能是帮助企业安全团队发现自己工作中的一个盲点，甚至盲维。

由于有防守方的实时参与，攻防演练在给攻击方团队带来挑战的同时，更能考验企业安全团队的实时对抗能力。对于防守方来说，实时对抗在日常工作中是很难遇到的，而一旦遇到很可能是场生死之战。所以，攻防演练是一个很难得的机会，让防守方可以考验自己的实时对抗能力。具体来说可以分为：实时检测能力、实时防御能力、应急响应能力。企业可以在开展演练开始之前全面梳理这三方面的能力，由于篇幅问题就不再展开了。

前两节将攻防演练的基础概念和思路做了一些梳理，相信很多读者对此都有很深的认识。在启动攻防演练后，并不是坐等结果就可以的。下面我们探讨一下，攻防演练中还需要关注哪些问题。

选择适当的系统作为目标是很重要的，切忌将目标设置的过于简单，会导致攻防演练的效果大打折扣。建议将演练目标设定为保障手段比较完善，且对企业非常重要的系统。

另外，在约定目标的同时当然也要约定攻击队的手段，以避免对企业实际运行业务造成影响。比如：应避免使用DDOS、DNS劫持、ARP欺骗等手段。从这个约定可以看出，由于种种限制，攻击队并不能发现网络安全所有的问题，在真实对抗中这些破坏行攻击是很有可能出现的。所以，在攻防演练之外，企业安全团队要单独考虑这些破坏性攻击的可能性和应对机制。

在绝大部分情况下，演练过程中防守方都会选择严防死守，但严防也要考虑一个度的问题。比如，为了防御住攻击方的入侵，防守方选择以A段（如：202.0.0.0/8）为封堵单位，虽然可以取得很好的封堵效果，但也会影响业务的连续性。在实际攻防场景中也是不太可能实现的。因为演练主要还是为了应对真正的攻击行为，所以防御手段也应尽量采用实际对抗中可能采用的手段。否则，仅仅为了赢得对抗而实施极端的对抗手段，就失去演练的意义了。

另一方面，如果企业检测和防御手段做的非常完善，会导致攻击队很难完成第一步入侵。在这种情况下，笔者团队会考在第一层边界放过一些动作。其作用是，假设第一层防御没有成功的情况下，让攻击队帮助我们验证第二、第三层防御的有效性。

所以，一般攻防演练过程中，我们在前3-5天会选择严防死守。如果攻击队没能成功入侵，我们就会在一定程度上放开第一层防御。让攻击队进入互联网边界，我们在内网开始第二轮对抗，以此类推。

攻防演练结束后，对结果的分析是非常重要的一个环节。做好这一步才能真正体现攻演练的价值。一般来说，我们会从攻击者和防御者两个视角去分析结果，这与对安全事件复盘方式有些类似。

防御者视角，这种方式是顺着防御方的思路，从终点一步一步往起点推。这个过程可以自我检讨一下防御过程中的采取的一系列思路、方法、手段有没有问题。做的好的地方作为经验保留，做的不好的地方大家头脑风暴想解决方案。比如，在追查入侵路径的时候发现系统日志收集不全导致反查路径中断；或者因为思维定式，将排查方向指向了以前曾经出过问题的节点，从而导致在错误的路上浪费了大量的时间。这些都是结果分析阶段需要重点关注的问题。

上一个方向梳理完之后，可以再沿着入侵者视角再次推演一遍整个过程。这个过程站在入侵者的角度，重新审视这次事件，看看静态的防御点和动态的对抗性处理过程有没有真正给攻击队带来麻烦。这个角度的梳理可以发现很多现存的问题，包括：安全防御措施、应急响应方法，甚至是安全意识培训的方式。比如，我们曾经用这种推演方式，发现一个攻击队用了一个非常不科学的路线入侵我们的系统，结果发现攻击队通过外部情报掌握了一个有很大权限的IP，这个路线就是为了找到这个IP。给我们带来的变化就是：更换这批服务器的IP地址，同时日后严格控制扩散范围。

攻防演练的结果绝对不是简单的拿到还是没拿到目标这么简单，对过程的分析是非常重要，也非常有价值的工作。

通过结果分析，会发现我们在安全保障体系上的不足，这是下一步安全建设的重要参考。笔者在与很多安全团队管理者沟通时，经常会听到对申请资源困难的抱怨。我给他们的建议是从安全事件入手去提出安全需求，毕竟相比务虚的建设一个安全保障体系，解决以前出现过的问题更容易让人接受。在短期内没有出过安全问题的情况下，攻防演练的结果就是安全团队重要的参考。所以，再次强调一定要重视攻防演练的结果分析。

因为众所周知的原因，攻防演练近年来越来越得到企业的重视，这对整个安全行业都是利好消息。但如何组织一次有效的攻防演练，不仅仅需要一只优秀的攻击队，企业的深度参与和重视也是必不可少的。对于攻防演练的问题笔者也希望得到所有读者的指导，对这类问题感兴趣的读者可以通过公众号（xiaohuangsec）与我联系。最后，向奋斗在一线，帮助企业找到各类问题，还能保持职业操守的白帽子们致敬！

「推荐阅读」

三月主题：《数据安全面面观》

四月主题：《一个人的安全》

五月主题：《网络安全“值钱”吗》

七月主题：《社工记》