实战攻防之紫队视角下的实战攻防演习组织.pdf

实战攻防演习之 紫队视角下的实战攻防演习组织 1 实战攻防演习之 紫队视角下的实战攻防演习组织 前 言 网络实战攻防演习，是新形势下关键信息系统网络 安全保护工作的重要组成部分。演习通常是以实际运 行的信息系统为保护目标，通过有监督的攻防对抗， 最大限度地模拟真实的网络攻击，以此来检验信息系 统的实际安全性和运维保障的实际有效性。 2016年以来，在国家监管机构的有力推动下，网 络实战攻防演习日益得到重视，演习范围越来越广， 演习周期越来越长，演习规模越来越大。国家有关部 门组织的全国性网络实战攻防演习从2016年仅有几家 参演单位，到2019年已扩展到上百家参演单位；同时 各省、各市、各行业的监管机构，也都在积极地筹备 和组织各自管辖范围内的实战演习。一时间，网络实 战攻防演习遍地开花。 在演习规模不断扩大的同时，攻防双方的技术水平 和对抗能力也在博弈中不断升级。 2016年，网络实战攻防演习尚处于起步阶段，攻 防重点大多集中于互联网入口或内网边界。 2017年，实战攻防演习开始与重大活动的网络安 全保障工作紧密结合。就演习成果来看，从互联网侧 3 实战攻防演习之 紫队视角下的实战攻防演习组织 发起的直接攻击仍然普遍十分有效；而系统的外层防 护一旦被突破，横向移动、跨域攻击，往往都比较容 易实现。 2018年，网络实战攻防演习开始向行业和地方深 入。伴随着演习经验的不断丰富和大数据安全技术的 广泛应用，防守方对攻击行为的监测、发现和溯源能 力大幅增强，与之相应的，攻击队开始更多地转向精 准攻击和供应链攻击等新型作战策略。 2019年以来．网络实战攻防演习工作受到了监 管部门、政企机构和安全企业的空前重视。流量分 析、EDR、蜜罐、白名单等专业监测与防护技术被防 守队广泛采用。攻击难度的加大也迫使攻击队全面升 级，诸如0day漏洞攻击、1day漏洞攻击、身份仿冒、 钓鱼WiFi、鱼叉邮件、水坑攻击等高级攻击手法，在 实战攻防演练中均已不再罕见，攻防演习与网络实战 的水平更加接近。 如何更好地参与网络实战攻防演习？如何更好地借 助实战攻防演习提升自身的安全能力？这已经成为大 型政企机构运营者关心的重要问题。 作为国内领先的网络安全企业，奇安信集团已成为 全国各类网络实战攻防演习的主力军。奇安信集团安 4 实战攻防演习之 紫队视角下的实战攻防演习组织 服团队结合200余次实战攻防演习经验，总结编撰了这 套实战攻防演习系列丛书，分别从红队视角、蓝队视 角和紫队视角，来解读网络实战攻防演习的要领，以 及如何结合演习提升政企机构的安全能力。 需要说明的是，实战攻防演习中的红方与蓝方对抗 实际上是沿用了军事演习的概念和方法，一般来说， 红方与蓝方分别代表攻击方与防守方。不过，红方和 蓝方的名词定义尚无严格的规定，也有一些实际的攻 防演习，将蓝队设为攻击队、将红队设为防守队。在 本系列丛书中，我们依据绝大多数网络安全工作者的 习惯，统一将攻击队命名为红队，将防守队命名为蓝 队，而紫队则代表组织演练的机构。 《紫队视角下的实战攻防演习组织》是本系列丛书 的第三本。本书重点介绍实战环境下的紫队工作，提 出组织实战攻防演习的四个阶段，给出实战攻防演习 的组织要素、组织形式，明确演习各方的人员职责， 描述每阶段需开展的重点工作，并提示在开展实战攻 防演习时应规避的风险。 5 实战攻防演习之 紫队视角下的实战攻防演习组织