一百次空話，不如一次實(shí)干。當(dāng)前，迎擊狡詐兇猛的網(wǎng)絡(luò)威脅，定期開展實(shí)網(wǎng)攻防演練，已成為各類單位檢驗(yàn)安全防護(hù)能力、完善應(yīng)急處置流程和工作機(jī)制、提升安全事件應(yīng)急處置綜合能力的重要舉措。為此，亞信安全通過信舵安全管理與分析平臺(tái)將紅藍(lán)謀略、工具、資源進(jìn)行 “排兵布陣”的同時(shí)，更為藍(lán)隊(duì)提供了必備利器——XDR高級(jí)威脅安全運(yùn)營平臺(tái)。

“狡猾”的紅隊(duì)

紅隊(duì)作為攻擊方，以盡可能深入地獲取目標(biāo)權(quán)限為目標(biāo)，不限攻擊路徑、不限攻擊手段，也就是說，這同業(yè)界熟知的滲透測(cè)試的區(qū)別非常之大。

圖：紅隊(duì)攻擊流程

滲透測(cè)試一般只要驗(yàn)證漏洞的存在即可，而紅隊(duì)攻擊則要求實(shí)際獲取系統(tǒng)權(quán)限或系統(tǒng)數(shù)據(jù)。此外，滲透測(cè)試一般都會(huì)明確要求禁止使用社工手段（通過對(duì)人的誘導(dǎo)、欺騙等方法完成攻擊），而實(shí)網(wǎng)攻防演練中的紅隊(duì)則可以在一定范圍內(nèi)使用社工手段，例如：針對(duì)特定目標(biāo)及群體精心構(gòu)造的魚叉釣魚攻擊，以實(shí)現(xiàn)精準(zhǔn)制導(dǎo)，突破單位安全防護(hù)體系。

紅隊(duì)攻擊不像滲透測(cè)試，存在諸多限制，不受攻擊手段和攻擊路徑限制等特點(diǎn)，使其更容易發(fā)現(xiàn)單位安全防護(hù)體系中的不足。狡猾的紅隊(duì)可能會(huì)盯上你的供應(yīng)鏈，利用供應(yīng)鏈的薄弱間隙，突破單位安全防護(hù)體系；狡猾的紅隊(duì)還有可能采用聲東擊西的攻擊方式，正面大流量進(jìn)攻某個(gè)系統(tǒng)，吸引火力，側(cè)面盡量減少流量，獲取權(quán)限并快速突破內(nèi)網(wǎng)。

“憂郁”的藍(lán)隊(duì)

藍(lán)隊(duì)的主要工作包括演習(xí)前安全檢查、整改與加固；演習(xí)期間進(jìn)行網(wǎng)絡(luò)安全監(jiān)測(cè)、預(yù)警、分析、驗(yàn)證、處置、溯源；后期復(fù)盤，總結(jié)現(xiàn)有防護(hù)工作中的不足之處，為后續(xù)常態(tài)化網(wǎng)絡(luò)安全防護(hù)提供優(yōu)化依據(jù)等。然而，“紅暗藍(lán)明”的情況下，在加上資產(chǎn)不清晰、實(shí)戰(zhàn)壓力大、運(yùn)營效率低、聚合效果差、威脅不可見等因素的存在，藍(lán)隊(duì)就真的成了“憂郁的藍(lán)”。

圖：傳統(tǒng)安全防御體系下的藍(lán)隊(duì)生存現(xiàn)狀

藍(lán)隊(duì)作為防守方，需要有全面的安全防護(hù)能力，不給敵人可乘之機(jī)。以攻擊研判為例：藍(lán)隊(duì)需要針對(duì)安全系統(tǒng)或工具發(fā)出的告警，通過結(jié)合已有的經(jīng)驗(yàn)和相關(guān)工具，來判斷其是否為真實(shí)攻擊，并根據(jù)判斷結(jié)果做出響應(yīng)、給出處置建議。這包括4個(gè)維度：

• 對(duì)已發(fā)現(xiàn)攻擊的來源進(jìn)行研判；

• 綜合分析攻擊技術(shù)、工具和路徑，判斷其威脅性大??；

• 攻擊意圖研判；

• 處置方式判斷。

上承安全告警的分析，下接安全處置的實(shí)施，攻擊研判同時(shí)也是事件響應(yīng)過程中最具挑戰(zhàn)性的環(huán)節(jié)：確定是否發(fā)生了事件，事件影響面有多大，后續(xù)如何遏制或根除異常、可疑活動(dòng)。所以說，高效準(zhǔn)確的研判能力將決定藍(lán)隊(duì)“排名”，這必然離不開安全運(yùn)營中心、研判管理團(tuán)隊(duì)、安全專家團(tuán)隊(duì)，以及威脅狩獵團(tuán)隊(duì)的緊密配合。

以XDR構(gòu)成實(shí)網(wǎng)對(duì)抗防御平臺(tái)

網(wǎng)絡(luò)安全的攻守雙方信息永遠(yuǎn)是不對(duì)稱的，當(dāng)威脅來臨的時(shí)候，一旦關(guān)鍵節(jié)點(diǎn)被擊穿，受攻擊的一方隨時(shí)都有可能“一失萬無”。因此，不論是實(shí)網(wǎng)攻防演練，還是面對(duì)真實(shí)攻擊，安全運(yùn)營絕不是臨陣磨槍。

圖：基于場(chǎng)景，進(jìn)行安全運(yùn)營

為此，亞信安全推出了基于日常安全運(yùn)維場(chǎng)景的 “XDR高級(jí)威脅安全運(yùn)營方案”，在對(duì)抗場(chǎng)景中成為藍(lán)隊(duì)的“防護(hù)神器”。首先，亞信安全XDR是以設(shè)備聯(lián)動(dòng)威脅情報(bào)為核心，依據(jù)標(biāo)準(zhǔn)化運(yùn)營流程，通過運(yùn)營組件對(duì)資產(chǎn)的漏洞、威脅、APT攻擊進(jìn)行監(jiān)控，從而構(gòu)建防御、檢測(cè)、分析、響應(yīng)的安全運(yùn)營閉環(huán)。其次，XDR還具備全局感知和可視化技術(shù)，幫助用戶更早的發(fā)現(xiàn)可疑威脅，并通過分析，確定是否被攻擊，攻擊受損程度，攻擊是怎么發(fā)生的。

圖：XDR治理勒索病毒場(chǎng)景

不僅在攻防演練中發(fā)揮出色，在網(wǎng)絡(luò)安全運(yùn)營管理中，基于XDR高級(jí)威脅安全運(yùn)營平臺(tái)，亞信安全還提供了針對(duì)“勒索病毒、挖礦軟件、釣魚防護(hù)”場(chǎng)景的配套解決方案，通過網(wǎng)絡(luò)、端點(diǎn)、郵件、云主機(jī)等更多智能探針和EDR模塊，用戶可以將行為數(shù)據(jù)和威脅檢測(cè)數(shù)據(jù)提交到XDR數(shù)據(jù)湖(DataLake)，通過威脅運(yùn)維平臺(tái)(UAP)，形成自動(dòng)化威脅檢測(cè)、病毒清除、威脅狩獵、根因分析的精密聯(lián)動(dòng)，大幅縮短應(yīng)急處置時(shí)間。

以演練為抓手，

為數(shù)字經(jīng)濟(jì)發(fā)展夯實(shí)安全底座

在網(wǎng)絡(luò)安全上升為國家安全的戰(zhàn)略背景下，實(shí)網(wǎng)攻防演練已經(jīng)成為維護(hù)網(wǎng)絡(luò)空間安全的綢繆之舉。作為國內(nèi)最早開展實(shí)網(wǎng)攻防服務(wù)的廠商之一，亞信安全根據(jù)金融、運(yùn)營商、能源、央企、政府等行業(yè)用戶需求提供了個(gè)性化、定制化安全服務(wù)，并協(xié)助大量用戶在攻防競(jìng)賽中取得了優(yōu)異成績，其領(lǐng)先的安全服務(wù)能力、專業(yè)的技術(shù)優(yōu)勢(shì)皆得到了主辦單位和相關(guān)機(jī)構(gòu)的高度認(rèn)可。

未來，亞信安全將充分發(fā)揮自身攻防技術(shù)能力優(yōu)勢(shì)，依托XDR等創(chuàng)新技術(shù)為用戶提供更優(yōu)質(zhì)、更高效的安全服務(wù)， 不僅在實(shí)戰(zhàn)演練中為用戶提供全程幫助，更會(huì)攜手千行百業(yè)的用戶，共同為數(shù)字經(jīng)濟(jì)發(fā)展夯實(shí)安全底座。