实战攻防演练中的四大特点

由于实战攻防演练是对真实黑客攻防过程进行模拟和再现，因此也要求攻击方人员在攻击过程中所使用的战术手法能够达到甚至超过黑产组织或 APT 组织的攻击水平。与传统的漏洞挖掘能力要求不同，实战化能力要求人员具备在真实的业务系统上，综合利用各种技术和非技术手段进行动态实战攻防的能力。具体来说，实战化主要有以下几个特点。

1、全面针对业务系统

传统或一般的漏洞挖掘工作主要针对的是各类 IT 信息系统本身或系统中的设备、协议等，如各类 Web 系统、操作系统、PC 终端、IoT 设备、工业协议、区块链协议等；而实战攻防演练工作的核心目标是发现和解决由网络安全问题引发的业务安全及生产安全问题，攻击过程针对的是实际运行中的业务系统或生产设备。

此外，传统的漏洞挖掘工作主要关注的是对单一系统的单点突破。实战攻防演练更多关注的则是多个系统并存的复杂体系，是复杂体系在运行、管理过程中存在的安全隐患。对于多数大中型政企机构来说，内部存在几十上百个不同的信息化系统的情况是非常普遍的。

2、必须形成有效攻击

单纯的漏洞挖掘工作，一般只需证明漏洞的存在，提交漏洞报告即可。但在实战化的业务环境中，存在漏洞不等于能够实现有效的攻击。一方面，这是因为漏洞的实际触发可能依赖于诸多条件，这些条件在实际的业务环境中未必具备；另一方面，即便漏洞是有效的，但如果只能实现单点突破，而无法达到预设的最终目标，同样不能完成有效的攻击。

3、可以允许使用各种方法

对单一漏洞进行挖掘和利用，往往只能实现某个局部的技术目标。但事实上，在绝大多数的实战攻防演练中，红队需要连续突破多个外围系统或关联系统，才能最终达成计划中的攻击目标。也就是说，需要掌握一系列漏洞，并能够对机构内部的 IT 架构、运行管理机制进行有效分析，才有可能找到有效的攻击路径，实现实战攻防演练环境下的有效攻击。

事实上，在实战攻防演练中，红队一方可能需要连续数日，多人协作才能完成一整套攻击。此外，一般的漏洞挖掘或渗透测试是不允许使用社会工程学方法的。但在实战化环境下，社会工程学是必不可少的攻击手法，因为真实的攻击者一定会使用这项技能。事实上，以人为突破口，往往是实战攻防演练中攻击方的优选。

4、处于动态攻防环境

单纯的漏洞挖掘工作一般不需要考虑攻防过程，也就是说不需要考虑人的参与。但在实战攻防演练中，防守方实际上是有专业团队在进行安全运行维护和 24 小时值守工作的。攻击方一旦开始行动，就有可能被防守方发觉。而防守方一旦发现入侵行为，也会采取各种反制措施、诱捕行动及攻击溯源。所以，实战化能力就要求攻击方成员必须掌握一定的身份隐藏技能，掌握匿名网络、免杀技术、权限维持等各种安全对抗技术。