百练成“精” | 默安科技红蓝对抗专业服务2021版来了

随着国际关系变化，网络攻防对抗日益激烈，网络安全逐渐从之前的重“合规”向重“效果”转变。在连续几年国家级实战攻防演练之后，各级组织相继开展区域、行业、集团级的实战攻防演练。在网络安全攻防实战化背景下，大部分企业存在诸多防守难点。

攻防实战背景下的防守难点

传统防御措施力不从心

很多企业都已根据相应的行业标准或监管要求，搭建了较全面的安全制度体系和防御措施，但由于安全运维人员缺少实际攻防经验，导致原有的管理体系及防御措施无法有效贴合实际攻击趋势，从而与实际工作脱节。

安全防御体系有“形”无“神”

企业在自身环境中部署了不同功能的安全防护产品，但近几年的大型攻防演练不断证明安全设备形同虚设，难以抵挡攻击火力，没有发挥应有的作用，事后也无法还原出攻击方的攻击路径。因此如何验证现有安全体系有效性是攻防实战环境下迫在眉睫的问题。

IT人员应对真实攻击的能力参差不齐

当发生真实攻击时，现有人员配备是否具备应对和处置真实黑客攻击的能力？处理效果直接影响到安全事件造成的损失程度。

常规扫描无法反映安全问题的最大化伤害

很多企业都已经将漏洞扫描和渗透测试工作常态化，但这类工作往往只能发现一部分已知漏洞及系统中存在的部分风险，评估面过于狭窄，无法全面反映企业实际面临的安全风险状况，和可能发生的最恶劣的后果。

为了评估企业信息系统安全防护体系现状，默安科技通过总结多年的红蓝对抗实战经验，形成了具备特色优势的红蓝对抗服务体系。

红队 服务

服务内容与价值

默安科技的红队服务包括红队攻击测试、互联网资产暴露面梳理、邮箱风险检测、上下游攻击、社会工程学攻击、近源攻击评估。

默安科技在除常规边界突破手段之外的社会工程学攻击、近源攻击、上下游攻击均有丰富的经验积累和成功案例。在对抗的每个环节中，默安科技均有安全专家把控项目风险，并有专业的项目管理人员把控项目进度和保障交付质量。

默安科技红队服务主要帮助用户解决三大难题：

1.企业防御体系存在哪些短板？

检验安全设备和防御体系的有效性。

2.是否能够发现高级黑客？处置措施是否有效？

检验现有的安全检测手段是否有效，评估安全人员应对威胁事件的响应能力，以及各部门人员的协同作战能力。

3.如果遭遇高级攻击，企业会面临什么样的损失？

发现有价值漏洞和隐藏攻击面，掌握APT攻击所能造成的最大危害和影响，并给出改进建议。

与漏洞扫描、渗透测试的区别

红队服务作为一种新型网络安全服务，与渗透测试有某些相似性，二者经常被混为一谈，甚至一些安全从业人员也难以阐述清楚二者的区别。实际上，“红蓝对抗”的关键价值在于检验用户整个防御体系的有效性，持续对抗，不断帮助提升安全防护能力。而渗透测试覆盖面有限，关注单点问题。下图更加明确地说明了红队服务与漏洞扫描、渗透测试的区别。

由上图可见，漏洞扫描显然是通过漏洞扫描工具去发现已知的系统漏洞；而渗透测试更多关注的是应用系统层面的漏洞和脆弱性问题，漏洞扫描是整个渗透过程的重要一环。而红队攻击可能由多个攻击队共同发起，以更贴近真实攻击的手段，侧重获取业务权限和数据，检验企业在真实攻击中的纵深防御能力、告警运营质量、应急处置能力。

蓝队 服务

服务目标与特色

默安科技的蓝队服务致力于帮助客户全方位分析当前网络系统的安全状态，收敛风险面，优化防守策略，解决易被利用的安全问题，制定高效的“感知、研判、处置、溯源”一体化响应体系。

特色一：设备有效性验证

如上文所说的现有安全设备有“形”无“神”，有效性有待验证的问题，默安科技的蓝队服务能够通过自主研发的安全设备有效性验证平台，定时、定量、定性地模拟常见的红队攻击手法，并根据各安全设备的告警情况，准确分析当前安全防御体系存在的问题。其中的定制化攻击、变量可控等特点也说明与红队服务中不限制攻击手法和过程的设备有效性验证是有区别的。

特色二：告警噪音消除

内网往往存在被感染主机和正常流量触发的大量告警，若不及时清理识别，可能会极大地增加攻防过程中现场值守人员的工作量，甚至可能将真实的攻击流量淹没。默安科技将指定专家工程师集中分析各类安全设备中的告警，定位“噪音”源头，提出整改建议，协助消除“噪音”。

特色三：安全事件处置高效协同

传统厂商的防守流程往往采用树形层级上报的方式，关键节点易“堵塞”。根据多年的实战对抗经验，默安科技借鉴网络数据传输的流式思想，开发了高效的协同处置平台，让事件并行处理，一般性事件从发现到处置封禁可控制在5分钟以内，极大提高对抗阶段的事件处置效率。

特色四：欺骗防御3.0

默安科技作为国内欺骗防御领域的先行者和领导者，目前欺骗防御体系从精准检测与溯源、极低成本部署与智能响应发展到3.0时代的情报联动和全局响应，实现了攻防常态下的纵深防御、主动防御、联防联控，为防守方提供高价值威胁情报，极大降低防守成本。

服务价值

蓝队服务能够帮助用户：

1. 检验安全防护能力以及对安全事件的监测、研判、处置和溯源能力；

2. 加强内部人员网络安全意识，积累实战经验；

3. 强化与开发、运维、网络等部门的联合作战、协调配合能力；

4. 针对攻防演习发现的突出问题，展开整改和风险缓解，提升整体防护水平。