Items》的详细解读及该细则发布后对中国政府和企业的影响分析。背景介绍1996年7月，在美国的主导下以西方国家为主的33个国家在奥地利维也纳签署了《瓦森纳协定》（简称“瓦协”Wassenaar

感谢前段时间lake2的推荐，趁着周末有时间分享一些实用的干货给新老朋友们。lake2，公众号：朴实无华lake2一些安全大佬的公众号推荐(1)云上攻防系列其实早在几年前笔者就公开分享过一些思路，有兴趣的可以看看Red

虽然红蓝对抗机制和蓝军团队建设的经验和思考笔者已经通过不同渠道（博客、公众号、公开演讲等）多次分享了，但是今天这篇文章主要是谈一谈关于如何更好地呈现红蓝对抗的价值。众所周知，近几年由于国家政府的重视红蓝对抗已经开始在国内各大组织和企业内蓬勃发展，但是笔者发现国内在运用红蓝对抗的价值呈现上还是有待提高的。纵观当前国内的情况，大家更重视这种形式的直接结果，如发现了几个漏洞之类的，却似乎很少公开提及如何将红蓝对抗更深次的价值呈现出来，这既包括横向上对防守团队的防御体系建设的促进，也包括纵向上对管理层的红蓝对抗价值呈现的理解。笔者近年来一直在从事红蓝对抗机制和团队的建设，也在平时的工作中经常思考如何更好将红蓝对抗结果的价值呈现最大化，负责过蓝军建设的同学一定会或多或少被问到过类似的问题，即“红蓝对抗对企业到底有多大价值？如何量化体现？”。一般的红蓝对抗的流程会在复盘阶段的《红蓝演练行动报告》和《复盘总结报告》中呈现红蓝对抗的结果价值，按照笔者的经验大多数情况下这两个报告一般会包括如下几方面内容：攻击过程与时间线发现的关键漏洞和修复建议发现的关键安全问题和改进建议但是这些仅仅反映了单次红蓝演练行动中发现或者暴露的问题，而大多数情况下最终会被体现为演练过程中发现了哪些漏洞的问题。对于处于红蓝对抗演练初级或者早期阶段的企业或者组织来说，或许比较能给管理层带来短暂的震撼和重视，但是经历了多次演练后就可能会面临一些“漏洞审美疲劳”的问题，诸如：蓝军发现的这些漏洞是已知漏洞蓝军的这些攻击方式是已知攻击路径蓝军发现的这些安全问题是已知问题，且并不关键那么如何避免由于将红蓝对抗的结果呈现单纯漏洞化而导致非蓝军人员或者管理层片面地以为红蓝对抗就是找漏洞的误解，笔者认为应该从红蓝对抗的本质出发，我们都知道以攻促防是红蓝对抗的本质，因此需要蓝军从业人员懂得从方法论设计、根因分析模型、数据量化分析等维度来深度呈现红蓝对抗的价值。首先我们来看看国外同行是如何从这几个维度来实践的。方法论设计洛克希德马丁的Kill-Chain模型就是典型的红蓝对抗的方法论，其将攻击者的思考逻辑抽象成具体的攻击步骤，指导攻击者实施攻击，同时也帮助防守者理解攻击思维。根因分析模型MITRE的ATT&CK则是一个标准的根因分析模型，遵循Kill-Chain方法论通过解构攻击过程中具体的TTPs让不从事攻击的人员也可以理解攻击者思维及具体的攻击过程从而做到“知己知彼”。数据量化分析FireEye的攻击生命周期模型（https://www.arrow.com/ecs-media/16352/fireeye-rpt-mtrends-2021.pdf）是利用数据思维量化分析攻击过程中最容易被攻击者青睐的TOP攻击点从而为防守者提供防御投入的数据依据。通过研究和学习以上国外同行在红蓝对抗价值呈现的经验并结合自身的经历，笔者这几年也提出并实践了一套红蓝对抗价值呈现模型即红蓝对抗飞轮模型，并尝试将实战红蓝对抗演练行动解构成多个单点的攻击技术点，再通过数据统计方法挖掘防御的薄弱点，最后结合业界最佳实践提出针对性的防御体系改进建议。红蓝对抗飞轮模型红蓝对抗飞轮模型即实施红蓝对抗行动，从每次行动中梳理攻击路径，将攻击路径中的攻击技术点映射到MITRE的ATT&CK矩阵（也可以是组织或者企业内部自建的ATT&CK矩阵）中的TTPs上，根据映射后的攻击TTPs识别相应的安全问题，按照FireEye的攻击生命周期模型统计多次行动中的TTPs的使用频率或次数总结出共性安全问题，最后针对数据量化分析后的共性问题结合业界最佳实践提出改进建议。0x00

注：鸽了挺久没有更新公众号了，眼看2021年即将结束刚好借此文记录一下自己2021年的一些思考和总结。2021年很快就要过去，这一年于我个人而言依旧是充满了挑战和机遇的一年，既有业务能力的提升，也有思维方式的升华。下面笔者将尝试从立体防御体系切入，到DevSecOps体系构建，最后到Deep

前言不知不觉中距离上一次发文已经四个多月了，这四个月不仅我个人的生活和工作发生了很多变化，我想大部分人的生活因为这场突如其来的疫情也发生了巨大变化。不过，这个世界每天都在“悄无声息”地变化着，而作为一个“有志的技术青年”，“不悲观、不放弃、勤思考、擅质疑，多实践，频总结”，并积极乐观的生活与工作着才更加重要。今天这篇文章没有太多的技术细节，也可能会让你觉得很枯燥，甚至连文章的标题我都懒得起（只是临时征用了一个之前的文章标题《企业安全建设的体系思考与落地实践》并“敷衍”地加了个“二”，其实二者关系并不大），但是我觉得如果你实在无聊也可以读一读，或许给你些许启发。思考在讲述企业安全建设的演讲PPT和书籍中，我们经常会见到各式各样的建设体系和分类，包括我自己写的这一篇《企业安全建设的体系思考与落地实践》，初看觉得有点道理，但是细想下来又让人有一种“食之无味弃之可惜”甚至是“言之凿凿有何卵用”的感觉。那么怎么来分析和思考这个问题呢？一种最为简单的方法就是“5W（5

ATT&CK”了。这个词在其被引入国内的那一刻起，就似乎备受青睐，常见于各种文章、PPT、演讲之中，大有赶超前几年的安全热词“威胁情报”之势。一时间造成了一种如果在2019年没听说过“MITRE

前言企业安全建设是一个老生常谈的问题，由于每个人的工作经验和心得体会的不同，因此看法和实践通常也不一样。此文仅是笔者最近一段时间关于企业安全建设的体系思考和落地实践的一些个人看法，提供一种思考和分析问题的方式，仅代表笔者当前阶段的认知以及个人的阶段性总结。切记，“尽信书则不如无书”！什么是体系思考所谓体系思考，就是通过自身的知识和经验的积累，结合企业的现状，对存在的安全问题进行分类和整理，并总结出一套适合的安全建设体系的思考方式。有了这样的思考能力，就可以帮助我们形成合适的安全方法论来快速解决安全建设过程中的种种问题，做到目标明确，思路清晰，步步为营。一谈到体系思考，相信很多人的第一感觉肯定是觉得很虚，认为只有不懂技术的人喜欢拿这种东西来装x，并喜欢以此来掩盖自己技术上的不足。实际上，笔者在很长一段时间内也是存在这种观点，然而随着工作经验的慢慢积累，越发觉得这种观点的片面性和不可靠性。不可否认，安全行业或者说所有行业里都或多或少存在以此为噱头的“砖家”，但是这并不能否定掉体系思考的价值和重要性。从某种程度上来说，体系思考可能比具体的技术实践更加重要。举个例子，笔者经常看到一些一个人安全部的文章，写的很详实，建立各种系统，解决各种当前存在的安全问题，当读第一遍的时候你可能会觉得写的不错，可是当你仔细读完之后，你会慢慢发现似乎缺少了一个贯穿始末的中心线，而这个中心线就是“体系思考”。设想，如果我们在做企业安全建设时进行了很好的体系化思考，明确知道当前所处的阶段，当前阶段的目标与困境，实现目标和解决困境的思路，落地实践的计划，那么我们就可以更加清楚地明白我们为什么建设这些系统且哪些安全问题需要被优先解决而不至于陷入“跟风”或者“人云亦云”的窘境，这时我们解决的就不在是一个个的表面问题而是一类的根本问题。如何进行体系思考明确体系思考的重要性是进行企业安全体系化建设的重要前提。根据笔者的个人经验，培养体系思考能力一般需要如下过程：积累：知识的积累是进行体系思考的前提和基础，需要了解和见识足够多的行业最佳实践，各种落地实践中面临的难点，解决难点的思路和方法。分类：有了一定的知识积累，需要对这些知识进行很好的整理，分类和总结。思考：当零散的知识点被整理和分类后，需要通过5W1H+Not的方式对这些知识分类进行思考，例如：什么样的角色（who）在什么样的企业（where）在什么样的时间节点（when）出于什么样的的目的（why）以什么样的方式（how）做什么样的事情（what），以及不这么做又会如何（Not）。实践：通过思考一般可以在大脑中形成初步的体系，但仍旧是“纸上谈兵”，这时就需要透过实践来检测思考的结果，并及时修正一些由于当前思考的局限性造成的误解或者盲点，作为下一轮的知识积累，并如此往复。如何从体系思考到落地实践前面写了这么多“废话”，相信能够坚持看到这里的某些同学肯定要喷我了，“你扯了这么多大家都懂的道理，你到底有哪些体系思考的结果呢？Talk