“推塔”游戏中隐藏的网络安全红蓝队伍培养“大招”

提到攻防对抗性网络游戏，很多人首先会想到推塔游戏。这款网游如此火爆的一个重要原因是玩家可以在开局前选定自己喜欢的英雄，通过攻防运营和团队协作来获取最终的胜利。从开局就要将五个人作为一个团队整体考虑和筹划，除了要拿出自己熟练度高的英雄外，还要针对队伍的整体容错性进行全盘考虑。再根据选定的英雄，确定自己在队伍中的分工和职责以及在本局比赛中的发展路线。

进入比赛后，首要原则就是各司其职；一旦队伍中有人存在个人英雄主义，就很可能会导致团队的失利。因此，每个人都会默契的坚守在自己的位置，阻止对手的攻击；但由于队伍的五个人是临时组织起来的，彼此配合不会达到完全的默契，这时就需要有一个人作为指挥官站出来，他要对赛场的全局态势有一个清晰的认知，提醒队员的防守站位，同时针对对方的弱点发起攻击，通过拿下一个目标物来扩大团队的战果，最终夺取比赛的胜利。

游戏的胜利取决于团队的默契配合，网络安全攻防亦如此。一个企业的网络安全工作做得好，不仅是因为团队中有“大牛”的存在，同时更需要团队的密切配合以及目标系统的防护等级。因此，增强企业的网络安全防护能力，应组建自己的网络安全红蓝队伍，通过开展红蓝对抗的方式，相互提高攻防两端的能力。

在开展网络安全的红蓝对抗中，攻击者往往利用一些系统漏洞以及防护策略制定的不严谨开展攻击，达到以点破面的效果；而作为防守方则要针对全局的安全进行防护，重点在于厘清边界、全面防守。

在攻防演练的过程中，攻击方首先要尽量多的收集目标方的暴露面情况和防护现状，惯用的手法有社工和钓鱼等，目的是尽可能多的获取网络情况、账号口令信息以及源代码泄露等一切能掌握的情况。然后有针对性地对重要目标，例如门户网站、邮件系统以及微信、微博等公众平台开展探测性攻击，获取用户权限和管理员账号权限等；或以此作为跳板，横向渗透直至获取重要信息数据。

而作为防守方，首先要具备一支从安全防护、安全监测、分析研判、应急处置等全方面能力的网络安全蓝队。因攻防对抗中无法提前预知攻击方会通过什么形式、什么时间进行攻击，作为防守方在防护过程中要从全局出发，同时保障重要资产的安全。

为了更好地利用安全监测、防护类产品协助做好防守工作，作为信息安全蓝队，应该做到对各家安全厂家的产品、能力以及使用方面有一定的了解；另外，还需要精通各类防护产品的安全策略配置，能够针对攻击源进行细粒度的访问策略配置；对于监测类安全产品，具备分析研判的能力，能够精准溯源和还原攻击路径；针对安全检测产品具备整体性的漏洞分析验证能力，挖掘重大安全隐患，并能够针对漏洞制定修复方案。

在团队中需要选定一位优秀的指挥官角色，此人除了对攻防对抗具备丰富的经验以外，还要具备全局感知能力、情报分析能力以及指挥调度协调能力。能够通过对外的情报信息进行分析，及时调整布防重点，针对重要信息系统加强对流量、日志进行双重排查，保障信息系统安全。基于流量的大部分流量监测产品都可以通过特征库匹配、异常流量检测等技术实现；基于日志分析就需要凭借经验去做，对于系统的访问日志量一般会很多，一条条地去分析，很耗费时间而且效率低下。通常针对这种情况，首要分析维度是IP来源分析，针对IP区域进行一个大致的甄别，针对国外的IP地址一般是优先级较高的；其次就是针对LOG日志分析，先针对制定特定的状态进行过滤，比如很多攻击者在进行 Web扫描时会留下大量的服务器404返回信息，将这段时间内所有的404错误信息进行分析统计，可以更加直观、快速地发现攻击源IP，然后再针对源地址进行反制。

随着网络安全工作受重视的程度越来越高以及攻防演练日趋常态化，各企事业单位正在从对安全产品的依赖到对安全专家的依赖，再到对于安全团队整体能力的依赖开始转变。目前，许多单位都在建立和完善自己的安全队伍。在信息安全蓝队人才培养方面，我们盛邦安全提倡“传帮带”的方式：“传”——传承应急处置和安全防护经验；“帮”——帮扶团队能力提升；“带”——带动道德品质素养。盛邦安全作为国家重大活动网络安全保卫技术支撑单位，有着丰富的攻防对抗和重保实践经验，能够协助客户组建一支技术全面、能力过硬的网络安全专业队伍，打赢网络安全攻防持久战。

相关咨询欢迎拨打我们的免费服务热线：4006-911-199。