奇安信：蓝队视角下的防御体系构建.pdf

实战攻防演习之

蓝队视角下的防御体系构建

前 言

网络实战攻防演习，是新形势下关键信息系统网络

安全保护工作的重要组成部分。演习通常是以实际运

行的信息系统为保护目标，通过有监督的攻防对抗，

最大限度地模拟真实的网络攻击，以此来检验信息系

统的实际安全性和运维保障的实际有效性。

和组织各自管辖范围内的实战演习。一时间，网络实

战攻防演习遍地开花。

在演习规模不断扩大的同时，攻防双方的技术水平

和对抗能力也在博弈中不断升级。

2016年，网络实战攻防演习尚处于起步阶段，攻

防重点大多集中于互联网入口或内网边界。

2017年，实战攻防演习开始与重大活动的网络安

全保障工作紧密结合。就演习成果来看，从互联网侧

实战攻防演习之

蓝队视角下的防御体系构建

力大幅增强，与之相应的，攻击队开始更多地转向精

准攻击和供应链攻击等新型作战策略。

2019年以来．网络实战攻防演习工作受到了监

管部门、政企机构和安全企业的空前重视。流量分

析、EDR、蜜罐、白名单等专业监测与防护技术被防

守队广泛采用。攻击难度的加大也迫使攻击队全面升

级，诸如0day漏洞攻击、1day漏洞攻击、身份仿冒、

钓鱼WiFi、鱼叉邮件、水坑攻击等高级攻击手法，在

实战攻防演练中均已不再罕见，攻防演习与网络实战

的水平更加接近。

实战攻防演习之

蓝队视角下的防御体系构建

套实战攻防演习系列丛书，分别从红队视角、蓝队视

角和紫队视角，来解读网络实战攻防演习的要领，以

及如何结合演习提升政企机构的安全能力。

需要说明的是，实战攻防演习中的红方与蓝方对抗

实际上是沿用了军事演习的概念和方法，一般来说，

红方与蓝方分别代表攻击方与防守方。不过，红方和

蓝方的名词定义尚无严格的规定，也有一些实际的攻

防演习，将蓝队设为攻击队、将红队设为防守队。在

本系列丛书中，我们依据绝大多数网络安全工作者的

习惯，统一将攻击队命名为红队，将防守队命名为蓝

实战攻防演习之

蓝队视角下的防御体系构建

目 录

第一章 什么是蓝队.......................................1

第二章 蓝队三步走防守的三个阶段............4