蓝队攻防演练中的三段作战

一般会把整个攻防演练分成三个阶段，再将每个阶段分为前后两个阶段。每个阶段，关键指标会有不同的表现。在大型实战攻防演练中，可以根据安全事件关键指标的变化判断当前所处的阶段，并采取应对措施。

一、体力战

在第一阶段的前段会发生相对较多的安全事件，其中扫描类和工具测试类的告警占比很高，此时攻击队在不断摸索进攻路径。在第一阶段的后段会发现扫描类的事件有所下降，但是漏洞类和上传类的事件有所上升，此时攻击队找到了一些可以攻击的路径并不断开始试探性攻击。此阶段的战术重心是依靠防守人员抵御外敌，通过监控发现攻击行为，并根据攻击队不断的尝试做出抵御动作。此阶段主要依靠防守人员监测攻击和处置人员不断阻断攻击源头，因此称为“体力战”。

二、心理战

第二阶段代表攻击队突破边界，进入内网。在第二阶段的前段会出现主机扫描类的事件上升。攻击队在找到路径并尝试攻击后，将会对目标主机展开猛烈攻击，此时被攻击的主机会产生大量的告警，并且防守队应该更关注主机的告警，针对每一个告警都要做出及时有效的研判。只要发现并及时处置，不断打断和剔除攻击者，就会对攻击队的信心造成较大影响，尤其是随着攻防演练时间后延，剔除攻击队隐藏的攻击源头越多，对其心理打击就越大。在第二阶段的后段，主机扫描类事件下降，但操作系统和漏洞类安全事件将会上升。防守队需要保证对每一个告警处置的及时性和有效性。在此阶段两队的心理对抗更加明显，战术重心是剔除内患，因此称为“心理战”。

三、死拼战

在第三阶段的前段会出现扫描类、漏洞类、上传类事件同时攀升。随着攻击和防守进入白热化，更多攻击资源会在最后阶段集中起来。防守队的压力也会达到整个防守阶段的峰值，不但要及时分辨激增的告警信息，更要从中发现并研判攻击事件，如果处置不及时或处置有偏差都会带来巨大的影响。在第三阶段的后段，主机扫描类事件会再次攀升，攻防双方在此决战，拼技术，拼毅力，不到最后时刻谁都不会放弃。第三阶段的战术重心是严防死守，因此称为“死拼战”。

防守过程中，还要基于数据的变化来控制整体的防守节奏。通过及时优化和调整，尽量把攻击队控制在第一阶段，一般第一阶段拖的时间越长，越会减少防守队的压力并带来较好的成绩。第二阶段的前段和第三阶段的后段是防守的关键阶段，也是能否取得好成绩的关键，这两段如果部署清晰明确，将会大幅提升整个演练的效果和成绩。