《孫子兵法》開篇即是“戰(zhàn)略觀”，并用“五事”說明了在所有對抗中的要素：一曰道，二曰天，三曰地，四曰將，五曰法。

?

道者，令民與上同意也，故可以與之死，可以與之生，而不畏危。

天者，陰陽、寒暑、時(shí)制也。

地者，高下、遠(yuǎn)近、險(xiǎn)易、廣狹、死生也。

將者，智、信、仁、勇、嚴(yán)也。

法者，曲制、官道、主用也。

?

事實(shí)上，發(fā)生在網(wǎng)絡(luò)空間的“攻防演練”亦是如此，勝利的意志、對業(yè)務(wù)系統(tǒng)的了解、安全設(shè)備部署的方案、人員團(tuán)隊(duì)、方法策略缺一不可。

?

本期為【2023安天攻防演練廟算記】第一記：五事具足，將分享依托安天防御框架（ISPDR）形成先進(jìn)、完善的攻防演練服務(wù)框架和安全產(chǎn)品生態(tài)體系，如何有效支撐客戶開展新形勢下的攻防演練活動(dòng)。

?

“道者”，是明確網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練的目的并達(dá)成的一致認(rèn)知：發(fā)現(xiàn)系統(tǒng)漏洞、檢驗(yàn)防護(hù)策略、鍛煉應(yīng)急能力和構(gòu)筑防御體系。根據(jù)當(dāng)前網(wǎng)空威脅和防御的發(fā)展現(xiàn)狀，防御沒有“銀彈”，沒有單一技術(shù)或者單一種安全框架可以解決所有的問題，因此在整體網(wǎng)空防御安全體系化建設(shè)中，需要進(jìn)行不斷地的疊加演進(jìn)、體系化的建設(shè)安全防御保障，從而適應(yīng)發(fā)展的需要。

?

安天將威脅對抗經(jīng)驗(yàn)與安全規(guī)劃需求進(jìn)行整合，基于防御關(guān)鍵動(dòng)作的概念，于2020年提出安天防御框架（ISPDR）[1]，包括5個(gè)部分：

?

1.??? 識別：是網(wǎng)絡(luò)安全管理的基礎(chǔ)；

2.??? 塑造：是建立防御主動(dòng)性的前提；

3.??? 防護(hù)：是系統(tǒng)對威脅做出的行為反應(yīng)；

4.??? 檢測：是發(fā)現(xiàn)、定位和定性網(wǎng)絡(luò)安全威脅的方法；

5.??? 響應(yīng)：是處置、管理風(fēng)險(xiǎn)和威脅事件的過程。

?

安天提出，“塑造”是防御動(dòng)作的關(guān)鍵環(huán)節(jié)，它突出的是安全參與IT規(guī)劃整個(gè)生命周期的過程性，強(qiáng)調(diào)IT的可塑性能夠在一定程度上帶來防御的主動(dòng)性。也就是說，我們需要把整個(gè)安全基因的能力沉浸式嵌入到數(shù)字化系統(tǒng)中，這樣在后期的威脅對抗與安全應(yīng)用中，才能更好的實(shí)現(xiàn)積極防御能力，使我們在和對手對抗中獲得一個(gè)更優(yōu)勢的地位。

?

“天者”，是以基礎(chǔ)安全產(chǎn)品為能力支撐，覆蓋攻防演練活動(dòng)的啟動(dòng)、備戰(zhàn)、迎戰(zhàn)、總結(jié)等所有環(huán)節(jié)，提供質(zhì)量有保障、流程標(biāo)準(zhǔn)化、成果高價(jià)值的全生命周期的安全防護(hù)服務(wù)。

?

安天安全服務(wù)依托于安天防御框架（ISPDR），系統(tǒng)映射在演練活動(dòng)的各個(gè)階段，全面滿足在攻防演練活動(dòng)中場景、事件與人員的相關(guān)需求。

?

“地者”，是安天充分發(fā)揮下一代威脅檢測引擎和安全內(nèi)核的基礎(chǔ)優(yōu)勢，自主研發(fā)了可覆蓋信息安全領(lǐng)域全場景的安全產(chǎn)品生態(tài)體系，為攻防演練活動(dòng)中防守服務(wù)的落地實(shí)施提供了更直接的有效支撐。終端防護(hù)、云主機(jī)、流量檢測、威脅分析、威脅捕獲、邊界防護(hù)、防病毒網(wǎng)關(guān)等安天多款產(chǎn)品可實(shí)現(xiàn)威脅情報(bào)協(xié)同共享，有效拓寬防御覆蓋面與縱深，共同發(fā)現(xiàn)和阻斷攻擊。

?

“將者”，乃是攻防演練的隊(duì)伍，安天基于近23年的應(yīng)急響應(yīng)支撐工作經(jīng)驗(yàn)，以及多年的安全服務(wù)、技術(shù)、人才和產(chǎn)品的積淀，形成了先進(jìn)、完善的攻防演練服務(wù)框架。

?

安天從2016年開始連續(xù)多年參與國家級攻防演練行動(dòng)，協(xié)助70余個(gè)國家部委、能源電力、交通運(yùn)輸、金融、大型國企等客戶單位圓滿完成了防守保障任務(wù)，并收到了專項(xiàng)感謝信。在攻防演練活動(dòng)中，安天通過以下優(yōu)勢為客戶持續(xù)賦能安全價(jià)值：

?

1.??? 基于近23年對網(wǎng)絡(luò)空間攻防對抗的深入研究，以及多年大型攻防演練的實(shí)戰(zhàn)積淀，對網(wǎng)絡(luò)安全事件的預(yù)防、監(jiān)控、處置與溯源，有著成熟先進(jìn)的方法體系；

?

2.??? 建立了完善的動(dòng)態(tài)綜合防御體系，利用專業(yè)的監(jiān)控平臺、邊界防護(hù)設(shè)備、終端防護(hù)軟件、威脅情報(bào)及處置分析工具，形成覆蓋“邊界側(cè)+端點(diǎn)側(cè)+網(wǎng)絡(luò)流量側(cè)”的全方位監(jiān)測能力；

?

3.??? 基于“人機(jī)共智”的服務(wù)理念，結(jié)合專業(yè)的安全產(chǎn)品，從檢測發(fā)現(xiàn)、加固整改、整體布防、安全監(jiān)測、應(yīng)急響應(yīng)及云端檢測，可支撐攻防演練活動(dòng)全生命周期的各個(gè)環(huán)節(jié)防守任務(wù)，能整體把控安全態(tài)勢；

?

4.??? 擁有豐富實(shí)戰(zhàn)經(jīng)驗(yàn)的服務(wù)團(tuán)隊(duì)，能夠最大可能的為不同行業(yè)客戶保駕護(hù)航。

?

最后，所謂“法者”，是主用，也是最具體的一環(huán)，【安天攻防演練廟算記】最獨(dú)特的就是在攻防演練的各個(gè)環(huán)節(jié)對應(yīng)了安天防御框架（ISPDR），也就是“道”，為客戶從啟動(dòng)、準(zhǔn)備、迎戰(zhàn)、總結(jié)的全生命周期防守提供了閉環(huán)方法指導(dǎo)。

?

1.?? 啟動(dòng)階段

?

對應(yīng) “識別”部分。

?

深入了解客戶的業(yè)務(wù)系統(tǒng)和工作場景，通過安天可擴(kuò)展威脅檢測響應(yīng)平臺XDR（簡稱：安天XDR）進(jìn)行自動(dòng)化資產(chǎn)梳理和網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀調(diào)研，協(xié)助客戶建立健全的攻防演練組織和管理規(guī)劃，明確演練期間的各項(xiàng)工作機(jī)制，向所有相關(guān)責(zé)任人宣貫攻防演練的重要性和工作部署方案。

?

同時(shí)，對客戶的網(wǎng)絡(luò)安全架構(gòu)進(jìn)行評估，并及時(shí)制定優(yōu)化方案。

?

2.?? 準(zhǔn)備階段

?

對應(yīng) “塑造”與“防護(hù)”部分。

?

首先，組織專項(xiàng)團(tuán)隊(duì)為客戶提供脆弱性檢測服務(wù)，檢測方法包括基線檢查、漏洞掃描、滲透測試等，并附帶提供威脅檢測與處置服務(wù)。同時(shí)，可以通過安天XDR實(shí)現(xiàn)漏洞的全生命周期管理，例如漏洞的導(dǎo)入、匹配和監(jiān)測等；也可以運(yùn)用安天XDR導(dǎo)入漏掃結(jié)果或者通過流量被動(dòng)發(fā)現(xiàn)來實(shí)現(xiàn)弱口令的管理。

?

然后，及時(shí)對脆弱性關(guān)聯(lián)的資產(chǎn)進(jìn)行全方位的安全加固，同時(shí)依據(jù)安全現(xiàn)狀進(jìn)行演練常見的安全防守策略調(diào)優(yōu)。

?

在演練活動(dòng)臨近時(shí)，內(nèi)部組織多場景的攻防演練預(yù)演，以此驗(yàn)證安全加固和優(yōu)化工作的有效性，以及各項(xiàng)工作機(jī)制的可操作性。

?

此外，將同步為客戶提供安全意識、安全攻防技術(shù)等安全培訓(xùn)，全面提升相關(guān)人員的安全意識和防護(hù)水平。

?

最后，在演練活動(dòng)正式開始前，協(xié)同用戶制定演練期間的值守方案，確保值守方案可有效落地執(zhí)行。

?

3.?? 迎戰(zhàn)階段

?

安天將基于自身的威脅情報(bào)分析平臺和威脅捕獲系統(tǒng)為用戶提供威脅情報(bào)服務(wù)，協(xié)助用戶全方位掌握演練期間的攻擊相關(guān)威脅情報(bào)。同時(shí)，利用自研安全產(chǎn)品和用戶已有的第三方安全產(chǎn)品，為用戶提供 7×24 小時(shí)的安全監(jiān)測值守服務(wù)，以及支撐威脅情報(bào)、郵件安全、網(wǎng)站安全、網(wǎng)絡(luò)邊界、終端威脅、威脅誘捕及靶標(biāo)安全等七大關(guān)鍵場景防護(hù)的專項(xiàng)服務(wù)。

?

在監(jiān)測值守期間，組織專項(xiàng)團(tuán)隊(duì)對安全告警和威脅情報(bào)等進(jìn)行分析確認(rèn)，結(jié)合安天XDR，可對接主流安全平臺收集告警與日志，進(jìn)行關(guān)聯(lián)分析，從而對攻擊畫像展開描述；可聯(lián)動(dòng)安天探海，進(jìn)行流量包深度分析等，對證據(jù)進(jìn)行留存。同時(shí)，工單系統(tǒng)在迎戰(zhàn)過程中全程跟進(jìn)，對各項(xiàng)操作性任務(wù)進(jìn)行備檔追蹤。在確認(rèn)發(fā)現(xiàn)安全事件時(shí)，如防線被攻方團(tuán)隊(duì)攻破、信息破壞事件（篡改、泄露、竊取、丟失等）、大規(guī)模病毒事件、網(wǎng)站漏洞事件等，安天將及時(shí)提供應(yīng)急處置服務(wù)，并協(xié)調(diào)相關(guān)資源進(jìn)行追蹤溯源，協(xié)助用戶撰寫防守成果報(bào)告，報(bào)送給相關(guān)單位，獲得加分。

?

4.?? 總結(jié)階段

?

對應(yīng) “塑造”部分，形成閉環(huán)。

?

演練活動(dòng)結(jié)束后，將對演練期間攻擊成功的事件和防守成功的事件等相關(guān)情況，進(jìn)行詳細(xì)的全過程復(fù)盤與總結(jié)。同時(shí)，根據(jù)演練過程中暴露的安全問題和流程問題，為客戶提供針對性的解決措施和建議，并協(xié)助用戶完善安全防御機(jī)制，優(yōu)化安全防護(hù)體系。

?

最后，安天還將為客戶提供具有針對性的專項(xiàng)技能培訓(xùn)服務(wù)，協(xié)助客戶培養(yǎng)符合自身網(wǎng)絡(luò)安全安全要求的人才體系。

?

附錄：產(chǎn)品介紹

?

安天充分發(fā)揮下一代威脅檢測引擎和安全內(nèi)核的基礎(chǔ)優(yōu)勢，自主研發(fā)了可覆蓋信息安全領(lǐng)域全場景的安全產(chǎn)品生態(tài)體系，為攻防演練防守任務(wù)的落地與實(shí)施提供了更直接、更便捷、更有效的安全實(shí)戰(zhàn)支撐。安天多款產(chǎn)品可實(shí)現(xiàn)威脅情報(bào)協(xié)同共享，有效拓寬防御覆蓋面與縱深，共同發(fā)現(xiàn)和阻斷攻擊。

?

安天可擴(kuò)展威脅檢測響應(yīng)平臺XDR可支撐提升在攻防演練活動(dòng)中整體防守工作的效率。

?

【下期預(yù)告】

下期為【2023安天攻防演練廟算記】第二期：十大防護(hù)。將分享安天基于攻擊方視角分析，結(jié)合多年攻防實(shí)戰(zhàn)經(jīng)驗(yàn)，制定的十大防守要點(diǎn)。

?

參考材料：

[1]《安天安全理念：動(dòng)態(tài)綜合網(wǎng)絡(luò)安全防御》

https://www.antiy.cn/safety_concept/index.html