自2022年5月起，“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘，我们在坚持大原则、大框架、主体规则基础上，优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”，自拟每月主题，在诸子云知识星球做主题相关每日打卡，完成每月一篇原创。除了共同赢取10万元高额奖金，我们更要聚焦甲方关注，发掘最佳实践，弘扬分享精神，实现名利双收。本期发文，即诸子笔会月度主题来稿之一。

如何在对抗实战中穿透中间的一面墙

     文 | 杨文斌

杨文斌

某电商公司安全管理

12年网络安全从业经验，熟悉网络安全、数据安全及安全运营等领域，擅长企业网络架构和安全架构设计。近期一直在深耕开源安全相关工作，并持续开展SRC平台运营推广。

俗话说“当局者迷，旁观者清”，企业安全现状也是如此，即使配备了先进的设备和优秀的人才，也无法保证坚不可破。攻防对抗是检验企业安全建设水平和安全团队专业化能力的有效方式，从攻击的视角发掘企业内体系、管理、流程、技术甚至人员存在的安全风险。企业通过一次合规的实战投入来换取最大化收益，收益可能包括安全能力提升、人才队伍锻炼、经济损失预防等多个方面。实践是检验真理的唯一标准，实战是发现短板的最佳途径。

红蓝队伍的划分是对攻守双方的角色界定，首先攻击方和防守方分别组建形成一个团队，对抗也不再是单个人的独立作战，需要根据每个人的技术能力和个性特点做好岗位界定和职责分工，将每个人安放在可以最大化激发能力的角色上，合理规划攻防队伍组织结构可以提升攻防成效。

攻击方的人员主要来自安全厂商专家和行业白帽子，技术能力突出，行业经验丰富，一般都是在特定行业和专业方向摸爬滚打多年，积累了丰富的知识储备，熟悉各方面的攻击技战术，特别是具备特定方向、特定行业的业务运转基础知识结构。在多年的攻防演练过程中建立了各种企业场景关于技术应对能力和安全架构的整体思维框架，确定靶标后可以第一时间绘制出攻击路径和有效的攻击工具方法。

防守方的人员主要是企业内部安全团队和安全厂商驻场人员，安全团队内部岗位职责分工明确，在所负责的设备或领域具备很强的技术和熟练的技巧。驻场人员对销售的安全设备了如指掌，可以协助甲方安全团队做好技术支撑。也有一些企业会通过购买安全服务的方式临时聘用行业大佬，一方面可以依托自身经验帮助企业快速梳理发现遗留的风险点，最大化收缩攻击面，另一方面主要是在出现异常攻击行为时做出快速高效的应急响应。

在整个攻防演练过程中，攻击方主要是考查数据的积累和经验的复制，数据包括各种威胁情报、漏洞情报、攻击工具、攻击脚本等方面，经验主要是在收集到靶标弱点后可以快速定位到被利用的漏洞。基本攻击思路主要有先从核心资产进行正面突破、非重要资产的迂回攻击、上下游关联性机构的侧面入侵，最容易也是最有效的方式就是从不同角度利用人的弱点，以人为突破口，就是常说的社会工程学攻击。不同岗位、不同级别、不同领域的人员安全防护意识差别较大，人的因素是最需要关注的。

面对攻击方气势汹汹的入侵行为，防守方应做好充分应对准备，在防护技战法方面持续加强，包括设备能力更新、防护策略的调整、资产清单的梳理、安全意识的提升等方面，主要思路是从预防、检测、监测、响应、溯源等多个角度针对性地开展体系化安全能力建设。全面开展攻击面管理，减少内部安全短板，利用动态持续的权限管控增加外部入侵的难度。配备相关的监测型安全设备实时对异常攻击行为完成分析检测，结合清晰的资产链，快速精准定位攻击影响范围，为应急响应和溯源反制建立依据。

攻击方流程管理更多地集中在手法和工具上，以下主要从防守方做重点分析。企业在建立安全管理体系时，很容易因安全管理人员缺少实际的安全攻防经验，导致安全管理体系无法准确有效的契合攻防实战场景，存在与实际演练工作脱节的现象。结合攻防实战的场景和经验，建立平台化、线上化管理流程是非常必要的，覆盖攻防期间各环节的自动化管理，资产的全方位可视化管理，预警的自动化下发处置管理等方面。以流程化的管理提升企业的标准化工程能力，降低人员在攻防演练中的技术门槛，使得技术人员有更多的时间投入到更紧急的问题处理工作中。

防守方应在攻防对抗前编写专项工作方案，全面梳理企业的资产清单，剖析可能存在的攻击面风险，结合公司各业务建设和运行现状，明确防护职责、完善联动机制，深入开展隐患排查和加固，制定应急处置预案，配备专业力量，做好应急准备。加强安全防护措施的有效性和联防联控机制的流畅性；强化监测分析与应急处置，及时处置、分析总结并形成防守方成果报告和典型经验上报。工作方案应该全面细化保障工作要求，最重要的是要对专项方案进行演练和培训，使得企业员工特别是关键岗位人员充分了解专项方案的实施步骤，在整个攻防演练期间，严格执行专项工作方案条款，确保演练防护工作井然有序。

自动化运营体系的建设在防守过程中将起到事半功倍的效果。随着攻击手段的持续多样化演进，防守方面对的压力剧增，通过将安全设备、日志管理等多方面的日志审计系统进行统一分析管理，结合业务场景对异常行为完成评估分析，联动防火墙等防御性设备对异常攻击进行秒级的自动化封禁处理，一键封禁的处理流程在攻防期间发挥非常重要的作用，可以快速阻断攻击行为，避免攻击范围的扩大，降低业务和资产损失。

每次攻防实战都不是完美的，不论是攻击方的攻击成果，还是防守方的防守成效，都会存在或多或少的问题。攻防演练的本质就是从实战中发现问题，进而持续改进。攻击方并没有想象的轻松，需要用实力证明自己的技术能力和匹配需求方付出的报酬，如果没有成果输出，必然颜面扫地，严重的时候如果再被溯源甚至反制，将很长时间无法摆脱心理困境：是不是要想办法转行啦？迫于种种压力，攻击方还是需要持续的积累经验，完善技术栈和武器库，为下次的攻防做准备。

攻防实战可以帮助防守方快速提升安全建设能力。防守方应抓住机会，依托演练中发现的问题，举一反三，构建形成相应的控制措施，针对问题分析出哪些方面存在短板和资源投入缺失，指导未来的合理资源投入和预算计划。当然在实战中发挥重要作用的亮点也应该提炼成典型经验，沉淀为安全知识库，为后续的防护方案输出提供素材。

攻防演练是手段，快速发现弱点，建立纠正措施，解决核心问题才是目的。通过常态化的攻防实战持续改进提升企业的安全防护能力，能够确保企业在面对真实环境下的黑客攻击时可以熟练应对。

随着国际网络安全形势日益严峻，网络战也成为国家之间较量的重要手段，每个企业的网络安全都和国家安全密切相关，企业的攻防演练也成为国家军事对抗的一部分。攻防对抗在国内还处于起步阶段，仍有很长的路要走，每一位安全从业者和每家企业都将成为网络安全攻防对抗的参与者，让我们一起努力参与攻防对抗体系建设，建立形成符合国家需要的“大安全”攻防对抗体系。

2022诸子笔会  

【8月主题：红与蓝】

刘志诚  张永宏  王忠惠  孙琦

【7月主题：误区与陷阱】

刘志诚  张永宏  孙瑜  王忠惠  肖文棣  

朱文义  杨文斌  孙琦  陈圣  回顾

【6月主题：远程办公与安全】

王忠惠  于闽东  刘志诚  孙琦  朱文义

  张增斌  肖文棣  杨文斌  张永宏  孙瑜  陈圣 回顾

【5月主题：安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣  回顾

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名

齐心抗疫 与你同在