攻防实战演练结束后，复盘是重要的必备环节，安全负责人需要对攻防期间企业整体安全防护能力进行总结。在复盘时无论是对上还是对下，其水平的高低将直接影响到权责的担当是否合理、日后的安全预算是否充足、人员配置是否高效，可以说，复盘总结是企业安全负责人乃至整个安全部门在攻防演练后面临的又一大考验。本期话题讨论，我们将以攻防演练后该如何做好复盘总结为主题，就相关问题展开讨论。

攻防演练结束后，在做向上汇报时如果被问责，安全人员如何避免“被动接锅”？

A1：

划分防御战线，各负责各的。

A2：

演练前的各项责任书，盖公章签字的人是公司高层领导，所以不涉及外部问责事项。

至于内部问责，实事求是的说，没这流程和习惯。普遍的说，避免“被动接锅”的方法，建议保留攻防演练过程中的各类事实性日志、记录、报告和沟通记录，用事实说话。

A3：

汇报介绍已经尽到应尽责任的事实，也提示过程中不可控的因素，不甩锅也不接锅，当然如果需要背锅还是得背。

A4：

这意思就是说如果我们有被拿下权限的情况对吧，先实事求是说明我们安全人员做过工作、尽到责任，事前做过漏洞扫描、渗透测试、督促安全整改，收敛暴露面，事中上手段阻断、封IP，值班值守监控，只要是你该做的事情都做到了，那就据理力争吧；可惜的是，就算不是你的问题，而是业务上整改未完成，那也甩不开锅，大部分企业，安全、运维都是一拨人管吧，甩锅挺难的，就没人能给你接着。

Q:如果平时安全做的比较好的“优等生”企业被不幸打穿，而水平一般乃至较差的“差等生”相安无事，在事后汇报时如何从演练中尽可能体现安全的价值？

A1：

墨菲定律——碰到了极端事件，与我团队能力无关。

A2：

统一产品线责任人，根据清单回溯工作落实情况。

A3：

可以从演练前闭环了多少事情，降低了多少风险来讲吧。但这得在平时抛出风险解决风险后都记录下来。

A4：

作为“差等生”，表示这全是我的团队努力奋斗、辛勤工作的杰出成果。至于安全的价值，可以反向思考，没有安全团队的情况下，会是什么样的状况。（高管会不会获取终生饭票和稀有手镯）

A5：

这个挺常见的，主要靠平常向上输出被打是常态的理念，提前降低领导心里预期，牛市也有波动，熊市也有反弹，跟别人比意义不大，重要是趋势，然后汇报时需要自己跟自己比去抓进步点，多跟自己的历史去比找积极的亮点，当然遇到唯结果论的领导也没有用。

A6：

在目前的规则下，优等生家的资产也相对比较重要，等保级高分数多，更容易收到攻击者的青睐，对攻击者来说更具有挑战性和诱惑力，他们会无所不用其极的攻击你得分，同时优等生的拼命防守也会极大的刺激攻击者，给攻击者带来快感，攻防博弈会更剧烈，一旦攻击者拿下权限，不仅实现任务目的，还会有让人愉悦的自我实现获得感；反观差等生默认其就不重视安全，可见其资产也不具有太高的吸引力，在有限的时间和精力条件下，对攻击者来说吸引力就弱了很多，说白了就是得分价值低，瞧不上。

A7：

1.用数据说话，将安全防御从面到点的结果以数字的形式呈现给领导；

2.做好事件调查，预防措施，着重体现防御成功比；

3.攻防没有百分百的成功，要体现数据还在，攻击可发现，企业很重要才会被作为高价值目标攻击；

4.完善今后的安全建设，分阶段、分目标，今后如何做、如何避免，最大限度的保障数据的安全性。

Q：以安全负责人的角度，在团队内做复盘总结时，可以从哪些方面展开？围绕哪些指标？（比如问题解决率能够到什么水位？主动发现问题数量和比例是多少？哪些问题是重复发生？）

A1：

攻击IP数量、响应拦截数量、告警平均处理时间、漏报数量、漏报数量、漏报处置时间、误报数量、域名被攻击率等，但这都只是简单的汇总和统计（没有大事件的话）。有事件的情况下自然就是对问题追根溯源再举一反三了。

A2：

复盘总结时可以从攻击路径、跳板机、网络架构、身份认证（权限管理）、弱口令、中间件和安全设备（划重点）等方面展开，进行查漏补缺，制定新的整改建设方案，调整应急响应流程。指标可以参考攻击发现时间、分析研判时间、处置时间、反向溯源时间和流程衔接效率、监控/监测系统有效性等方面展开。

其实，不建议考虑指标，更多的应该关注团队间的协作效率和时间成本，因为攻防演练是为了验证安全防护的有效性和团队协作能力，真实的安全事件发生时，考验的就是事件跟进的效率。

A3：

复盘的话，主要关注哪些问题可控、可以怎么优化，多了解其他家的解决方案，多借鉴，如果是可控的问题不要重复出现，至于不可控的因素，就尽人事听天命吧。

A4：

复盘总结很重要，还是从各种被攻陷的案例中汲取经验教训，推导出事前应如何准备、事中应如何弥补的措施，回想事前、事中有疏漏或者可以提升的地方，当然也不能妄自菲薄，做的那么多工作总是有亮点的地方，有特色值得推广应用的可以总结提炼，同兄弟单位和安全厂家沟通有无，形成经验分享案例，常学常思，举一反三。

话题二：企业内如果存在一些无法接受的安全风险，但是IT这边无法协同的最好怎么处理？

A1:

A2:

不要用人的力量去推进、要用制度的手段去。

A3：

你说的没错，我目前也在制定很多新的安全制度方法，这部分本身也有矛盾点，要多方妥协，有点难。

A4：

建立责任制和基线制，站在安全保护的角度，安全部门提出了风险，推进风险的整改，在公司制度下如果批准了风险接受，那安全也可以接受。

还有个方法，不是安全去推动IT，是类似审计、合规部门去推进，就像刚才那位大佬放的图一样和审计、合规成为联盟，这也是组织制度的一环。安全做技术建议，监管和推进交给审计合规。

A5：

确实没错，大家都了解，有些过不去心里的坎，总觉得是甩锅，能尽量推进最好，毕竟没打算跳槽，哪怕企业能平平安安进行业务没有看的道的绩效也是好的。

A6：

安全不容易呀，不出成绩，都是默默守候，不像开发部门出彩，平时不出事没你啥事，出了事都是你的事。

A7：

安全有成绩，但是量化出来给领导看不直观。

A8：

公司老大对我的要求就是：安全不全是我一个安全科的事，出了事也不是你一个安全科的问题。但是你不把制度定好，责任派下去，那就是你的问题。

A9：

安全是用来还技术债的，安全是让企业更稳健发展的，安全是让高速发展的企业踩一下刹车，避免失速。

——————————————————

本期精彩观点到此结束啦~此外，FreeBuf会定期开展不同的精彩话题讨论，想了解更多话题和观点，快来扫码免费申请加入FreeBuf甲方群吧！

加入即可获得FreeBuf月刊专辑，还有更多精彩内容尽在FreeBuf甲方会员专属社群，小助手周周送福利，社群周周有惊喜，还不赶快行动？

申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入会员俱乐部

如有疑问，也可扫码添加小助手微信哦！

号外：攻防复盘星空夜话视频专栏将于8月25日上线FreeBuf视频号，赶紧扫码关注，提前锁定！

关于攻防复盘星空夜话：

攻防复盘星空夜话作为《FreeBuf网安智库说》第四季的主题，由网络安全行业门户FreeBuf主办，将共邀8位行业资深嘉宾、共9期节目，围绕红蓝方观点、攻防报告分享、圆桌讨论等主题，全方位切磋各类攻防“技法”，系统盘点攻防期间的得与失，为今年的攻防演练划上一个完美句号。