红蓝攻防实战技术———实战化运营体系的落地

在探讨面向实战的常态化安全运营体系建设之前，我们先来明确一下安全运营的定义。安全运营是为了实现组织的安全目标，提出安全解决构想、验证效果、分析问题、诊断问题、协调资源、解决问题并持续迭代优化的统筹管理过程，是为了满足组织信息安全的动态性、持续性和整体性需求，保持和提升安全状态与安全能力的过程。

实战化安全运营体系建设理念

在面临不同的安全场景时，企业的防御体系需要选择不同的安全防护模式。例如在临时演练期间，企业的防御体系通常会选用一系列的防护技术来构成，在这个场景下，企业更多地考虑是技术的互补、产品能力的异构等，为了成绩而投入大量资源。但在日常工作中，企业的安全建设不仅仅是安全产品和技术的堆叠，更需要考虑安全与业务的平衡、安全资源的有效整合，以及如何使有限的投入发挥最大的价值。

因此，我们认为企业应建设一套防护体系，将网络安全工作体系化，通过制定不同的防御策略，来应对各种企业可能面临的安全风险。在这个需求下，面向实战的常态化安全运营体系应运而生。搭建一套安全运营平台、实现全网安全设备数据集中管控，及安全态势数据可视化展示，为网络安全管理工作提供数据支撑。建立一个安全运营体系，贯穿预警、防护、监测、响应和处置各环节，实现资产、漏洞、威胁闭环管理，降低业务安全风险。打造一支高效的安全运营团队，立足实战化能力建设，提升网络安全防护水平，保障业务平稳运行。

通过安全运营建设，将攻防演习启动、备战、演练、保障、总结阶段的工作落实到常态化规划、建设、运营，并通过统一和协调企业的技术工具、人员能力、流程规范，对企业在实战期间及日常面临的安全风险进行识别、防御、检测、响应、恢复等全方位的安全运营防护，持续提升威胁感知和事件响应能力，降低威胁处置时间以及企业面临的安全风险，实现可持续安全运营保障。

从临时演练防护模式到运营体系建设

很多企业在大型演练活动结束之后，都面临着资源的投入无法维持 (如临时部署的设备需下线、临时投入的人员需离场)；制度难以继续推行，恢复日常模式后，安全对业务的影响容忍度大大降低等问题。企业安全水平也随之回到最初的起点，再次遇到攻防演练活动时，企业还需继续从头开始。通过打造常态化安全运营体系，借助安全运营将突击性的演习保障工作转化为常态化、实战化、体系化的安全运营能力。

在演习成果的基础上进一步提升企业安全水平，保障业务安全，将演习的价值最大化。但建设一个适合企业实际情况的常态化运营体系，仅靠攻防演练成果参考略显单薄。在安全运营建设前期，通常引入“安全运营能力成熟度模型”这一内容，对企业的安全运营情况做一次评估。通过评估定位当前安全运营水平，安全运营能力成熟度，发现企业当前存在的短板，明确企业安全运营需达成目标后，制定后续的运营建设方案。

本文主要描述常态化运营体系中基本流程体系建设，根据以往的实践，本文所涉及的建设内容对标运营能力成熟度3级，企业可根据自身运营能力成熟度及目标调整建设内容。以下为国内某网络安全公司安全运营能力成熟度模型 (如图2所示)，以及成熟度各级别对应的运营状态 (如图3所示)。

图2.某网络安全公司安全运营能力成熟度模型

图3.安全运营能力成熟度级别对应运营状态

为什么要写这本书？

最早萌生写这本书的想法，是2019年战队成立之际，我与几个战队创始人及核心骨干坐在一起讨论，要打造一支怎样的攻防队伍，我们要如何向业界，发出自己惊雷般的声音。很快，我们就确认了“以攻促防，以攻塑防”的技术理念。这在当时骈兴错出的攻防实验室和团队里面，并不特殊，但我们并不只是喊喊口号，而是要坚定地朝着攻防转换的研究方向去发展，用最直接的成果和应用来证明我们的技术理念。

因此，我们分别设立了以高级攻击技术研究、攻击自动化以及基于ATT&CK框架的专业红队评估为目标的实战攻防小组，以及专注于前沿检测与防护技术研究、产品对抗能力提升、防御能力度量以及威胁分析与狩猎的威胁对抗小组。“攻”，我们要在有限的资源下做到行业领先，在过去的几年时间里战队在各级实战攻防演练和赛事中屡获佳绩，并且实现了“K”系列全攻击阶段行动的武器化自研；“防”，我们要做到技术前沿和能力落地，战队将“灵”系列的防御能力评估与验证、域攻击检测、Webshell检测引擎、加密流量检测以及高频攻击场景的检测能力输入至安全产品侧，并连续多年在实战中成功击退攻击组织及顶级队伍。我们在实战中锻炼队伍，验证成果，同时在攻防之间进行所需研究的方向和技术的突破，持续循环。

这本书既蕴含了梅花K战队过去几年的一部分沉淀，也象征着我们秉持最初的技术理念，想要分享给业界和从业人员的声音。时至今日，攻防之间如何转换，依然是横在各大攻防团队从技术研究到实现价值之间的一堵墙，我们需要一种有力的武器，突破攻防之间的这道墙，让攻防之间不只是对抗，还有思想的融合。我们有幸，在“以攻促防，以攻塑防”的技术理念中走出了自己的道路并有了不少的收获。希望这本书能够成为读者手中趁手的兵器，打破攻防之间的鸿沟。读者对象为参加攻防对抗的网络安全人员、甲方企业信息安全部门从业人员、其他对网络安全感兴趣的读者。

如何阅读这本书

全书共10章，分为红方攻击篇（第1~5章）和蓝方防守篇（第6~10章）两大部分。

第1章介绍互联网信息收集。互联网信息收集是攻防演练中的第一步，也是非常重要的一步，本章讲解了攻击者视角下的攻防演练信息收集手法。

第2章介绍外网边界突破。外网边界突破是攻防演练中的得分门槛，只有获取突破点之后，才能进行后续的内网渗透和横向移动，本章将从正面突破、钓鱼社工、供应链攻击、近源渗透方面介绍攻击者如何获取边界突破点。

第3章介绍内网渗透。包含内网信息收集、内网漏洞利用、内网边界突破三个维度，介绍了内网渗透环节的常见思路和技巧。

第4章介绍权限提升与维持。权限提升与维持是攻防演练中关键的一环，本章讲解了实战中常见的权限提升与维持的攻击手法，以及样本免杀技术。

第5章介绍攻击方经典案例。本章案例均为作者团队在实际项目中落地的案例，希望通过案例的介绍为大家展示部分典型场景下可能发生的问题及对应的解决方案。

第6章介绍防护体系常用技术。本章主要介绍防守方常用的一些工具、产品及技术，并介绍了作者团队为解决保障中的一些常见问题而自研的工具平台。

第7章介绍实战防护体系的落地。本章主要讲解了实战防护体系的建设过程及方法，以防守方的视角落地实战期间的安全防护体系。

第8章介绍实战化运营体系的落地。本章主要讲解了实战化安全运营理念，包含如何将实战成果沉淀至日常的保障中，以及如何通过常态化的运营实现可持续的安全保障。

第9章介绍典型攻击突破场景的防护策略。本章结合攻击案例，讲解了几类特殊攻击突破场景下的防守策略。

第10章介绍防守方经典案例。本章案例均为作者团队在实际项目中的落地实践，希望通过案例的介绍为读者展示部分典型场景下可能发生的问题及对应的解决方案。