攻防演练实战派-不要“演”就是“干”专题已经持续更新(xīn)三期啦，我们已经把攻防演练备战期如何资产(chǎn)盘点“避坑”；如何基于资产(chǎn)地图，“修炼”纵深主动防御體(tǐ)系，重塑网络空间地形；如何使边界防御通过“三全计划”达到全流量、全发现及全溯源，进行比较详细的介绍。

不知不觉间，我们都必须要面对真正的“实战”了，对于如何应对实战，知道创宇也凭借多(duō)年参与國(guó)家级攻防演练实战经验，总结了“五字诀”，供您参考，力求在实战阶段，可(kě)以兵来将挡，稳护企业“营盘”！

“练”–临战演练，必不可(kě)少

其实在之前的文(wén)章中(zhōng)，我们已经不止一次提到了“临战演练”的重要性，几经权衡，我们还是觉得需要把战前的演练独立出来，以便可(kě)以进行详细的说明和专门的强调。而且在流程上可(kě)以补齐之前文(wén)章中(zhōng)未涉及的整體(tǐ)流程。

完整的临战演练应该与实战阶段的工(gōng)作(zuò)拉齐，是一个“写实”的攻防演练过程。按照完整攻防演练的流程，可(kě)分(fēn)為(wèi)：目标确定–工(gōng)作(zuò)组成立–制定方案–启动动员–临战演练–方案总结调整，这个过程也将人作(zuò)為(wèi)重要的因素进行考量，因為(wèi)攻防对抗归根结底还是人与人的对抗。

1.目标确定

需要对靶标系统进行评估、确认与上报。临战演练中(zhōng)按照实际迎战流程，需要对靶标系统进行再次的评估和确认。

2.工(gōng)作(zuò)组成立

因為(wèi)國(guó)家级的攻防演练中(zhōng)，防守队伍的组成可(kě)能(néng)包括公(gōng)司领导还有(yǒu)其他(tā)的主防护队伍，各安(ān)全厂商(shāng)运维人员等等，组成相对比较复杂，所以需要进行明确的职责分(fēn)工(gōng)和值守安(ān)排，临战演练也是人员配合重要磨合机会。

3.制定方案

由领导和主防护队伍制定整體(tǐ)的方案，包括监控方案、应急预案、战术安(ān)排等等诸多(duō)细节。

4.启动动员

就需要对全體(tǐ)人员进行临战动员，明确落实个人职责分(fēn)工(gōng)，整體(tǐ)“战时”的安(ān)全意识提醒、操作(zuò)规范等等。

5.临战演练

是完全模拟实战演练中(zhōng)的状态，攻击队会对靶标系统启动攻击，在这个过程中(zhōng)，每个防守人员都需要各司其职，并相互配合，严格按照方案流程进行相关事件的处置。

6.方案调整

演练后，需要对整个临战演练进行复盘和梳理(lǐ)，以便可(kě)以对人员、意识、方案三个方面进行针对性的加强和调整，以更好的状态来迎接“实战”。

“监”–全程值守，持续监控

真正的“实战”阶段，必须进行7*24小(xiǎo)时值守，对整體(tǐ)网络进行持续监控。此前，我们已经依赖ZoomEye Pro进行了整體(tǐ)的资产(chǎn)盘点和风险评估，此时可(kě)以依赖完整的资产(chǎn)数据，进行真正的挂图作(zuò)战，配合报警及时进行资产(chǎn)定位。

而此时创宇蜜罐可(kě)以提供实时的攻击可(kě)视化大屏，实时展示攻击者发起攻击的位置、攻击路線(xiàn)、攻击者画像，攻击态势一目了然。

实时流量监控的NDR流量监测系统，会对实时流量进行检测，并及时进行报警。

“应”–挂图作(zuò)战，联动响应

实时监控持续进行，一旦发生报警或者攻击，就需要进行全體(tǐ)系的联动处置。第一时间将报警进行上报，随后启动联动响应。对报警可(kě)以分(fēn)情况进行，来自于创宇蜜罐的报警，可(kě)以确认是真正的攻击。首先确定发起攻击的是内网主机，还是绕过边界防护的互联网攻击。如果确认是内网主机，那么第一步先要进行阻断，控制攻击影响范围。

然后，通过ZoomEye Pro对攻击主机进行定位，并确定攻击主机的归属部门、负责人，需要对攻击主机进行状态确认，如為(wèi)非常重要的业務(wù)系统，需要进行紧急的恢复，以维持业務(wù)稳定开展。

如果确认為(wèi)互联网的攻击，就需要将相关威胁情报信息同步给防护设备，直接对该IP进行封禁。随后需要联合NDR流量监测系统具(jù)體(tǐ)分(fēn)析其攻击手法和攻击路径，以找出防御弱点。

对于NDR流量监测系统进行的实时流量报警，同样需要第一时间进行响应，联动威胁情报网关进行相关攻击IP的阻断，此后再针对攻击流量进行标记。

“析”–溯源分(fēn)析，弥补漏洞

应急响应第一步，是将攻击影响控制在可(kě)控的范围内，随后需要对攻击进行进一步的溯源分(fēn)析，以便找到防守漏洞，进行升级加固。

创宇蜜罐可(kě)以完整记录攻击者的攻击信息和详细的攻击过程，提供攻击回放，并会对攻击进行初步的分(fēn)析和归类。提供包括攻击时间、源IP、源端口、目标IP、目标端口、攻击类型、危险等级等数十个标签，可(kě)供分(fēn)析人员查看payload详情，导入攻击日志(zhì)列表，借此，分(fēn)析人员可(kě)以快速的锁定攻击者的攻击路径及攻击手法，对防守漏洞进行快速的恢复和加固。

结合ZoomEye Pro可(kě)以提供的攻击涉及的资产(chǎn)信息，及NDR流量监测系统的全流量存储，联合创宇蜜罐的攻击者画像，可(kě)以更加完整和立體(tǐ)的分(fēn)析攻击者的攻击路径，支持分(fēn)析人员进行溯源分(fēn)析，并撰写对应的分(fēn)析报告。

“调”–动态调整，策略升级

整體(tǐ)的战略、战术设置是攻防演练方案的重要组成部分(fēn)，整體(tǐ)战略需保持高度一致，但是战术细节却不是一成不变的，因為(wèi)攻击者往往在意想不到的地方以我们未预料的方式出现，所以在实战阶段，必须坚持战略不变，战术策略动态调整的原则，随着整體(tǐ)攻击态势的变化，动态调整响应策略，以应对实时的攻击对抗。

如果在演练过程中(zhōng)，有(yǒu)0day漏洞利用(yòng)攻击出现，分(fēn)析人员对此进行了分(fēn)析和确认的话，则需要通过ZoomEye Pro对漏洞影响的范围进行及时的定位，有(yǒu)对应漏洞PoC可(kě)直接进行扫描，无PoC也可(kě)以通过组件匹配直接定位受影响面，然后进行人工(gōng)确认。这样可(kě)以及时控制甚至消除0day漏洞带来的风险。

通过目前阶段我们整體(tǐ)的梳理(lǐ)可(kě)以看出，國(guó)家级攻防演练的重头工(gōng)作(zuò)还主要在备战阶段，尤其是整个演练队伍和方案的磨炼，实战阶段则是检验一切防御手段、方案的时间。在实战阶段，坚持实时监控–联动响应–分(fēn)析溯源和策略调整完整的闭环操作(zuò)，即可(kě)达到及时发现攻击，控制攻击影响，摸清攻击路径，弥补防守漏洞，整體(tǐ)策略提升的目的。

攻防相長(cháng)，國(guó)家级攻防演练，因严峻的网络空间形势而生，俄乌冲突中(zhōng)的网络战争先行也给我们提了醒。攻防演练最终的目的通过真正的“短兵相接”，真正的没有(yǒu)硝烟的“攻防对抗”，来检验关键信息基础设施的“抗打击力”，找到真正的漏洞，建立真正有(yǒu)效的网络安(ān)全防御體(tǐ)系。