解密攻防演练中蓝队需要什么样的人才

蓝队不可能是一个人，而是一支由各类网络安全专长人才组成的综合技能队伍。因为网络安全建设涵盖了软件应用、硬件部署、网络架构和数据安全等多方面，所以开展网络攻击的人也必须具备包括代码调试、逆向工程、系统攻击和数据分析在内的许多专业技术知识，而一个人不可能同时专精于所有这些专业技术知识。所以需要各种各样的人才。

一、工具开发人才

“工欲善其事，必先利其器。”对于蓝队来说也一样，好的攻击工具往往能起到事半功倍的效果。通过公开手段常常能搜集到好用的开源工具，但公开特征太过明显，往往容易被防守方态势感知系统和防火墙发现并拦截，从而极大地影响工作效率，因此需要借助自主开发或开源工具改版来开展工作。熟练的工具开发技能的人，可以让蓝队快速实现新的工具开发或对原有工具软件架构和模块功能的针对性改进，为攻击工作提供有力的工具保障。

二、漏洞挖掘人才

漏洞挖掘技能是利用动态或静态调试方法，通过白盒或黑盒代码审计，对程序代码流程和数据流程进行深入分析与调试，分析各类应用、系统所包含的编程语言、系统内部设计、设计模式、协议、框架的缺陷，并利用此类缺陷执行一些额外的恶意代码实现攻击破坏的能力。

对于蓝队来说，漏洞是大杀器，往往能起到一招毙命的效果。前期的漏洞准备对于外网打开突破口和内网横向拓展都非常重要，但公开的漏洞往往由于时效问题作用有限，而自主挖掘的 0day 却总能作为秘密武器出奇制胜，同时漏洞贡献能力是蓝队在实战攻防演练中的一个重要的得分项。因此，蓝队需要有足够多的漏洞挖掘技能储备人才，尤其是与蓝队攻击密切相关的互联网边界应用、网络设备、办公应用、移动办公、运维系统、集权管控等方面的漏洞挖掘技能。

三、代码调试才人

代码调试技能是对各类系统、应用、平台或工具的代码进行的分析、解读、调试与审计等一系列技术能力。蓝队攻击中情况千变万化，面对的系统、应用、平台或工具各式各样，很少能用一成不变的模式应对所有情况，这就需要通过代码调试技能快速分析研判并寻找解决方法。

只有具备良好的代码调试的人才，蓝队才能快速应对各种情况，比如：针对攻击过程中获取的一些程序源码，需要运用代码调试技能对其进行解读和代码审计，以快速发现程序 bug 并利用；漏洞挖掘过程中，需要对某些未知程序和软件的逆向分析与白盒/黑盒代码审计能力；注入攻击过程中，对于一些注入异常，需要对注入代码进行解析和调试，通过代码变形转换实现规避；蓝队使用的渗透工具经常会被杀毒软件拦截或查杀，这时需要运用代码调试技能快速定位查杀点或特征行为，实现快速免杀应对等等。

四、侦破拓展人才

侦破拓展是在渗透攻击过程中对渗透工具使用、关键节点研判、渗透技巧把握、战法策略运用等一系列技能的综合体现。实战攻防演练存在时间短、任务紧的特点，因此对蓝队在侦破拓展人才就有比较高的要求。侦破拓展技能是建立在蓝队丰富的实战经验积累上的，是经验向效率转换的直接体现。

蓝队拥有良好侦破拓展技能的人才主要表现在三方面：一是对攻防一体理念的深刻理解，作为攻击者，可以从防守者的角度思考问题，能快速定位防守弱点和突破口；二是对目标网络和系统的正确认识，能根据不同攻击目标快速确定攻击策略和战法，针对性开展攻击工作；三是对渗透工具的高效运用，能快速根据攻击策略实现对各类工具的部署应用，能够快速将攻击思路转化为实践，高效开展攻击工作。

蓝队攻击队伍需要各类专长人才进行搭配组合，团队人员包括拥有情报搜集、渗透拓展、工具开发、漏洞挖掘与免杀等各类特长的人员。人才队伍是各项技能的载体，有了充足而全面的人才队伍储备，蓝队就可以从容应对攻击任务中的各类情况，有效解决各类专业问题。各类专长人才的科学组合是一支蓝队队伍高水平的体现。