攻防演练，起源于军事领域的红蓝军抗演习，习惯上将我方正面部队称之为红军，攻击方则为蓝军。国外则正好反过来，用Red team代表攻击方，Blue Team代表防守方。

2016年，《网络安全法》颁布，规定关键信息基础设施的运营者应“制定网络安全事件应急预案，并定期进行演练”。随后公安部领导了轰轰烈烈的演练行动，深刻影响了整个网络安全行业。

网络安全的本质是对抗。随着攻击者技术实力提升，网络攻击面扩大，爆发出的安全事件持续增多，企业用户不断涌现出攻防对抗的建设需求。

12月30日，CIS 2020网络安全创新大会攻防演练专场由斗象科技CTO徐钟豪、蚂蚁集团天堑实验室负责人兜哥、360实网攻防中心总经理张锦章共同担任出品人，与大家深入探讨最新的攻防技术、最佳的实战案例，在实践研讨中共享新知。

Attack in a Service Mesh

neargle 腾讯蓝军高级研究员

来自腾讯蓝军的neargle，为我们带来了攻防演练论坛的开幕分享《Attack in a Service Mesh》，与大家共同探讨云原生攻防体系及发展方向。

近几年几乎所有企业都在讨论和发展云原生技术，腾讯的云原生进程也不断地向前迈进。

腾讯蓝军在对外以及对内的红蓝对抗安全演练场景里接触了数个基于服务网格的云原生架构体系，而这些架构衍生了全新的内网环境，neargle在演讲中介绍了大量腾讯蓝军团队的研究成果，如云上环境与以往相异的渗透打法等。

此外，演讲中neargle还介绍了一个通过外网获取内网的Shell的案例，解释了零信任网关加上VPN的一个误区所在，详情可见后续提供的PPT。

Red Teaming for Cloud：云上攻防

Loki 斗象科技高级安全研究员

随着云上威胁加剧，云成为安全攻防的重要战场，企业对于云端的攻防愈发重视。

斗象科技高级安全研究员Loki，为大家带来 《Red Teaming for Cloud：云上攻防》主题分享。

Loki的分享分为四个部分。

第一部分为云安全架构，如当前企业网络架构、云上架构，以及在红蓝对抗当中会遇到哪些问题；

第二部分以亚马逊云为例，分享一些云上攻防的前置知识；

第三部分则通过实战场景介绍了一些云上攻防的案例；

第四部分为对抗云上攻击应如何进行防护。

关于云上安全防护，Loki重点提到前述的攻击手法大多是利用权限配置不当进行的攻击，因此应严格遵循最小权限原则。此外，定期查看CloudTrail日志也是个好习惯。

基于业务安全情报的攻防实践

邓欣 永安在线CTO

第三位演讲嘉宾是来自永安在线的CTO邓欣，为大家带来《基于业务安全情报的攻防实践》分享。

演讲中，他以「业务安全情报平台」为解析样本，从业务风险场景的快速定位、风控策略有效性判断、攻击手段拆解等技术能力和实践案例角度，为大家介绍了业务安全情报行业的现状以及未来发展新动能。

邓欣提到，业务安全情报是基于某一些证据发现的业务上的风险情况，在整个业务安全攻防体系里，业务安全情报和业务风控组成了整个体系的助推齿轮。他说，业务安全情报至少具备多方面的价值。

可以有效提升攻防效率；

可以通过业务安全情报合理有效评估攻防成本和效果；

对于攻防的可解释性。

除此之外，邓欣还介绍了业务安全情报的产生机制，以及业务安全情报如何在攻防中进行实际应用和落地等。

网络攻防靶场的技术经验分享

张锦章 360实网攻防中心总经理

对于很多企业来说。攻防博弈已经成为常态，讲百遍不如打一遍，实网且无限制对抗对于攻防能力快速成长，防御体系快速优化的重要性不言而喻。

网络攻防靶场作为攻防演习重要支撑平台，靶场的安全技术发展、靶场建设要素备受企业关注。

如何解决仿真靶标滞后性与现实目标渐变性的矛盾？

如何解决仿真环境通用性与关键设施差异性的矛盾？

在演讲中，张锦章为我们详细解答了这些问题。

此外，关于实网攻防演练的关键要素，他总结为六点，供大家参考。

第一都是从实战出发，不像原来的纸上谈兵，或者只在虚拟环境中打；

第二是云地结合，我们有一些攻防演练因为规模比较大，大家对操作上又觉得比较麻烦，所以用SaaS的方式做攻防演练，包括监管单位的很多攻防演练也是SaaS完成的。还有有一些单位觉得数据比较敏感，本地化都可以做实网攻防演练；

第三是流程完备，对监管方来说周期是非常长，往往一个攻防演练要提前一个月准备，攻防演练完了之后大量的总结工作，包括数据的分析等等，要进行很长的时间；

第四是能力全面；

第五是验证客观，我们要保持客观性，站在中立的角度正确判断我们的网络防护的水平；

第六是整个安全可控的情况下进行攻防双方演练，不能出任何的安全问题。

甲方视角下的攻防演练部署

谭超 某航司信息安全专家

近些年在互联网大环境的影响下，无论国家还是行业层面，现在都开始逐渐关注和重视安全问题。

全国、地区、行业内的网络安全攻防演练活动越发增多，在传统甲方安全的视角下如何协调资源做好应对部署，以持续面对日益增多的网络攻击行为呢？

来自某航司信息安全专家谭超为大家带来分享《甲方视角下的攻防演练部署》，从技术、管理、行政、运营等方面针对攻防演练过程中各方面工部署作及思路想法做出了详细的总结。

谭超提到，作为传统央企，安全意识一直是他们的痛点，为了尽力解决问题，演练行动前从各方面做了详尽准备。

第一是文件策略，针对群体的邮箱已经形成常态化的机制，演练期间对用户发送数量做了限制；

第二是流量层的分析，国内有很多的流量分析产品，他们也进行了一些相关的部署；

第三是穿上隐身衣，对靶标系统做在线实名控制。

他还提到，最重要的还有一个方面，就是吃的。攻防演练中，很多驻场的朋友说“我好饿，要吃东西”，吃得好，休息得好才可以完成更好的保障工作。

钓鱼演练：基于攻防模式的人为因素风险教育

宋琼 上海易念信息科技有限公司产品研发总监

攻防演练专场的最后一个议题，将由易念科技产品研发总监宋琼带来《钓鱼演练：基于攻防模式的人为因素风险教育》，讨论人的安全问题与解决方案。

攻防演练部署需要从方方面面考虑，其中，人，更是网络安全的关键跟核心。

宋琼援引某国际知名调查报告称，每年因钓鱼邮件攻击造成损失的企业非常多，呈现逐年上涨的趋势，且更多是中小型企业，因缺乏安全意识成为攻击者的首选目标。很多企业也会做策略上的防范或者设备上的部署。但是，安全问题的产生，第一是技术漏洞、第二流程漏洞、第三人的漏洞，人是网络安全最薄弱的环节。

企业内鬼，人为漏洞、人员安全意识缺乏等由人为因素造成的安全隐患，是企业无法避免且亟需解决的问题，在攻防场景下尤甚。

宋琼还提到，安全教育不是一次性的事务。人的大脑都是有一个遗忘曲线的，当我们接触一次培训的时候，可能24小时之后我们的记忆量还存有70%，一个月之后记忆量已经趋近于零，所以必须用重复的培训来与之对抗。

至此，CIS 2020攻防演练专场圆满结束，议题PPT也会在后续根据嘉宾意见，陆续分享给大家。