《孫子兵法》開篇即是“戰略觀”，并用“五事”說明了在所有對抗中的要素：一曰道，二曰天，三曰地，四曰將，五曰法。

道者，令民與上同意也，故可以與之死，可以與之生，而不畏危。

天者，陰陽、寒暑、時制也。

地者，高下、遠近、險易、廣狹、死生也。

將者，智、信、仁、勇、嚴也。

法者，曲制、官道、主用也。

事實上，發生在網絡空間的“攻防演練”亦是如此，勝利的意志、對業務系統的了解、安全設備部署的方案、人員團隊、方法策略缺一不可。

本期為【2023安天攻防演練廟算記】第一記：五事具足，將分享依托安天防御框架（ISPDR）形成先進、完善的攻防演練服務框架和安全產品生態體系，如何有效支撐客戶開展新形勢下的攻防演練活動。

“道者”，是明確網絡安全實戰攻防演練的目的并達成的一致認知：發現系統漏洞、檢驗防護策略、鍛煉應急能力和構筑防御體系。根據當前網空威脅和防御的發展現狀，防御沒有“銀彈”，沒有單一技術或者單一種安全框架可以解決所有的問題，因此在整體網空防御安全體系化建設中，需要進行不斷地的疊加演進、體系化的建設安全防御保障，從而適應發展的需要。

安天將威脅對抗經驗與安全規劃需求進行整合，基于防御關鍵動作的概念，于2020年提出安天防御框架（ISPDR）^[1]，包括5個部分：

1. 識別：是網絡安全管理的基礎；

2. 塑造：是建立防御主動性的前提；

3. 防護：是系統對威脅做出的行為反應；

4. 檢測：是發現、定位和定性網絡安全威脅的方法；

5. 響應：是處置、管理風險和威脅事件的過程。

圖1 安天防御框架

安天提出，“塑造”是防御動作的關鍵環節，它突出的是安全參與IT規劃整個生命周期的過程性，強調IT的可塑性能夠在一定程度上帶來防御的主動性。也就是說，我們需要把整個安全基因的能力沉浸式嵌入到數字化系統中，這樣在后期的威脅對抗與安全應用中，才能更好的實現積極防御能力，使我們在和對手對抗中獲得一個更優勢的地位。

“天者”，是以基礎安全產品為能力支撐，覆蓋攻防演練活動的啟動、備戰、迎戰、總結等所有環節，提供質量有保障、流程標準化、成果高價值的全生命周期的安全防護服務。

安天安全服務依托于安天防御框架（ISPDR），系統映射在演練活動的各個階段，全面滿足在攻防演練活動中場景、事件與人員的相關需求。

“地者”，是安天充分發揮下一代威脅檢測引擎和安全內核的基礎優勢，自主研發了可覆蓋信息安全領域全場景的安全產品生態體系，為攻防演練活動中防守服務的落地實施提供了更直接的有效支撐。終端防護、云主機、流量檢測、威脅分析、威脅捕獲、邊界防護、防病毒網關等安天多款產品可實現威脅情報協同共享，有效拓寬防御覆蓋面與縱深，共同發現和阻斷攻擊。

“將者”，乃是攻防演練的隊伍，安天基于近23年的應急響應支撐工作經驗，以及多年的安全服務、技術、人才和產品的積淀，形成了先進、完善的攻防演練服務框架。

圖1 安天攻防演練防守服務概覽

安天從2016年開始連續多年參與國家級攻防演練行動，協助70余個國家部委、能源電力、交通運輸、金融、大型國企等客戶單位圓滿完成了防守保障任務，并收到了專項感謝信。在攻防演練活動中，安天通過以下優勢為客戶持續賦能安全價值：

1. 基于近23年對網絡空間攻防對抗的深入研究，以及多年大型攻防演練的實戰積淀，對網絡安全事件的預防、監控、處置與溯源，有著成熟先進的方法體系；

2. 建立了完善的動態綜合防御體系，利用專業的監控平臺、邊界防護設備、終端防護軟件、威脅情報及處置分析工具，形成覆蓋“邊界側+端點側+網絡流量側”的全方位監測能力；

3. 基于“人機共智”的服務理念，結合專業的安全產品，從檢測發現、加固整改、整體布防、安全監測、應急響應及云端檢測，可支撐攻防演練活動全生命周期的各個環節防守任務，能整體把控安全態勢；

4. 擁有豐富實戰經驗的服務團隊，能夠最大可能的為不同行業客戶保駕護航。

最后，所謂“法者”，是主用，也是最具體的一環，【安天攻防演練廟算記】最獨特的就是在攻防演練的各個環節對應了安天防御框架（ISPDR），也就是“道”，為客戶從啟動、準備、迎戰、總結的全生命周期防守提供了閉環方法指導。

1. 啟動階段

對應 “識別”部分。

深入了解客戶的業務系統和工作場景，通過安天可擴展威脅檢測響應平臺XDR（簡稱：安天XDR）進行自動化資產梳理和網絡安全防護現狀調研，協助客戶建立健全的攻防演練組織和管理規劃，明確演練期間的各項工作機制，向所有相關責任人宣貫攻防演練的重要性和工作部署方案。

同時，對客戶的網絡安全架構進行評估，并及時制定優化方案。

2. 準備階段

對應 “塑造”與“防護”部分。

首先，組織專項團隊為客戶提供脆弱性檢測服務，檢測方法包括基線檢查、漏洞掃描、滲透測試等，并附帶提供威脅檢測與處置服務。同時，可以通過安天XDR實現漏洞的全生命周期管理，例如漏洞的導入、匹配和監測等；也可以運用安天XDR導入漏掃結果或者通過流量被動發現來實現弱口令的管理。

然后，及時對脆弱性關聯的資產進行全方位的安全加固，同時依據安全現狀進行演練常見的安全防守策略調優。

在演練活動臨近時，內部組織多場景的攻防演練預演，以此驗證安全加固和優化工作的有效性，以及各項工作機制的可操作性。

此外，將同步為客戶提供安全意識、安全攻防技術等安全培訓，全面提升相關人員的安全意識和防護水平。

最后，在演練活動正式開始前，協同用戶制定演練期間的值守方案，確保值守方案可有效落地執行。

3. 迎戰階段

安天將基于自身的威脅情報分析平臺和威脅捕獲系統為用戶提供威脅情報服務，協助用戶全方位掌握演練期間的攻擊相關威脅情報。同時，利用自研安全產品和用戶已有的第三方安全產品，為用戶提供 7×24 小時的安全監測值守服務，以及支撐威脅情報、郵件安全、網站安全、網絡邊界、終端威脅、威脅誘捕及靶標安全等七大關鍵場景防護的專項服務。

在監測值守期間，組織專項團隊對安全告警和威脅情報等進行分析確認，結合安天XDR，可對接主流安全平臺收集告警與日志，進行關聯分析，從而對攻擊畫像展開描述；可聯動安天探海，進行流量包深度分析等，對證據進行留存。同時，工單系統在迎戰過程中全程跟進，對各項操作性任務進行備檔追蹤。在確認發現安全事件時，如防線被攻方團隊攻破、信息破壞事件（篡改、泄露、竊取、丟失等）、大規模病毒事件、網站漏洞事件等，安天將及時提供應急處置服務，并協調相關資源進行追蹤溯源，協助用戶撰寫防守成果報告，報送給相關單位，獲得加分。

4. 總結階段

對應 “塑造”部分，形成閉環。

演練活動結束后，將對演練期間攻擊成功的事件和防守成功的事件等相關情況，進行詳細的全過程復盤與總結。同時，根據演練過程中暴露的安全問題和流程問題，為客戶提供針對性的解決措施和建議，并協助用戶完善安全防御機制，優化安全防護體系。

最后，安天還將為客戶提供具有針對性的專項技能培訓服務，協助客戶培養符合自身網絡安全安全要求的人才體系。

附錄：產品介紹

安天充分發揮下一代威脅檢測引擎和安全內核的基礎優勢，自主研發了可覆蓋信息安全領域全場景的安全產品生態體系，為攻防演練防守任務的落地與實施提供了更直接、更便捷、更有效的安全實戰支撐。安天多款產品可實現威脅情報協同共享，有效拓寬防御覆蓋面與縱深，共同發現和阻斷攻擊。

安天可擴展威脅檢測響應平臺XDR可支撐提升在攻防演練活動中整體防守工作的效率。

參考資料

[1]《安天安全理念：動態綜合網絡安全防御》

http://8rpec4.com/safety_concept/index.html

下期預告

下期為【2023安天攻防演練廟算記】第二章：十處必救必守。將分享安天基于攻擊方視角分析，結合多年攻防實戰經驗，制定的十大防守要點。