上期我们讨论了企业HW的相关问题，感兴趣的读者可以点击回顾。

随着今年HVV的日益临近，本期话题继续围绕攻防演练展开讨论。

1.有人认为，如今的攻防实战演练应该常态化进行，要在不知不觉中开展，才能真正对安全“摸底”，对此大家有何看法，这样做会出现哪些问题或挑战？

2.在受疫情影响，很多人都在远程居家办公的条件下，会对攻防实战演练带来哪些变化或影响？

3.对于攻防实战演练，大家有什么可以分享的经验？

（本文所有ID已做匿名处理）

1.有人认为，如今的攻防演练应该常态化进行，要在不知不觉中开展，才能真正对安全“摸底”，对此大家有何看法，这样做会出现哪些问题或挑战？

@小草泠泠

攻防演练其实从各方来看，并没有达到需方希望的最佳效果，而是成为市场普遍的关注焦点和利润增长点，且很有效的推动了行业发展，各方入局，其服务标准和质量参差不齐，短时间来看不可能默默无闻开展。而如果针对企业内部开展，默默进行则需要充分完善的应急处理预案，否则可能弄假成真，且高调做事的惩戒效应可能反而更能提高整体安全意识，特别是在技术措施完善人已成为最弱之处的当下。

@远方

攻防本为就是打仗，打仗哪里会和你约定打仗时间和目标，所以个人理解为真正的攻防应该是常态化，没有目标，没有时间。这样我们就需要更先进的武器，否则只有挨打的份。

@自在安然

先跑偏说一下与摸底无关的事情，不看是不是无感知的进行摸底，现在很多地方在讨论常态化安全运营，常态化即为任何时刻都在进行重保，不应有特殊事情临时对安全设备的防护策略调整、业务系统的出口缩紧的情况。目前，重保时期一般是小于业务系统所需范围进行开放，再添加白名单进行调整。改变这种状态就对安全人员了解业务情况提出了较高的要求，需要明确业务系统所需的最小端口，以此来调整安全防护设备的防护策略，减少风险暴露面，在外部攻击时刻也不需要进行临时性的大规模紧缩。梳理业务情况也是比较耗费人力的过程，这一块挑战较大。

@快乐居家

演习这种事，个人认为要么不做，要么大张旗鼓地做。完全不做，可以闷头搞安全信息化建设，优化运营产品和各方面的运营逻辑。大张旗鼓地做，可以讲故事，促进企业安全文化。不通知的搞，不动员不庆功，批评时有你。除了安全人员继续背锅以外，解决不了太多问题。

@山间风

站楼上一票。站在企业视角，个人认为攻防演练的意义分为三个阶段：

1.安全人员自发开展，此阶段以安全+运维+科技部门参与为主，形式多为监测防守+应急响应，目的是强军练兵并针对性提升，局限在安全视角；

2.公司推动，全员参与，形式参考网络安全宣传周，目的是“大阅兵”，公司高层关注自家安全能力；

3.悄无声息，不相关人员毫不知情，形式无从参考（或者说已经潜藏在现实网络中的真实信息战），目的是持续优化。

其实不局限于攻防演练，所有安全建设工作都如此，国内80%企业还是不重视安全落地，安全工作大多流于表面，检验标准很简单，安全部门日常工作与一线业务或工作人员是否有强交集，如果没有那就是形式主义占多数。

@月下客

就算战争也是有准备的，只不过开打的某一刻是不确定的，没有完全不准备的战争。安全攻防也是如此，特别是安全氛围并不浓重的地方，你如果不大搞特搞，攻方也太轻松了，实际上最后啥也没检验出。

@Coca

我们搞攻防常态化，是为了提升值守人员的认知，因为日常的攻击强度很低，多体验高强度，能提升团队能力。攻防常态化展开，解决不了“摸底”问题，要想摸底，一定是内部发起+业务需求。

无论是真实攻击还是攻防演练，找的都是薄弱点，或者说是攻击人员能找到的最高性价的点，毕竟攻防实质打的是双方人员+时间的成本消耗。

是否要不知不觉展开主要看需求，是想挑战团队对突发性问题的反应能力？还是为了验证内部资源充分调动的能力？

@没落子弟

常态化太容易影响业务， 导致业务的暂停 。就好比核酸检测，大家本来在办公开会，突然被拉下去核酸检测。

@梦游

不建议这样，网络安全常态化没有问题，是符合公安部三化六防的目标要求，但是攻防演习如果不打招呼，会给防守单位造成困扰，分不清是真实攻击还是演习。对防守单位来说，无形中增加了防守工作负担。还是建议在有授权的前提下开展，可以在频次、规模上慢慢细化，结合企业实际开展，逐步达到三化六防目标。

@秋雨

不自觉的学生，没有老师鞭策，就更难进步，会拉全班的后腿。所以HW的范围每年都在逐步扩大，帮扶，促进整改对象也在逐步增加。HW其实就是形成一种大的趋势，气氛到了，再想躺平，也得起来努把劲，挣个脸。平时散兵游勇惯了，演习时候也得拿出点精气神来。 对于习惯性的躺平单位，静悄悄的开始HW，等于毫无参与感的被搞了一次。

@无色的海

每年都在逐步扩大是一种必然的趋势，需要将安全意识传递到更多的企业去，安全行业也需要这种活动 带来更多的商业机会，对安全行业的发展也是一种促进。

2.在受疫情影响，很多人都在远程居家办公的条件下，会对攻防演练带来哪些变化或影响？

@快乐居家

零信任全面代替传统VPN前，远程办公弱口令问题是永恒的麻烦。短信二次验证、图形验证码、账号锁定机制在效率优先的企业容易被吐槽。对于还未转型零信任的传统VPN产品，可以采取设备白名单+账号密码的形式。

@小草泠泠

攻击不会因为目标变化而产生过多的变化，但因为居家办公，可能导致受攻击面扩大，而又未及时上线零信任类平台，且安全意识培训教育会因为线上效果变差，应急响应沟通不流畅等原因，让本来处于弱势的防守地位下降。

@自在安然

我觉得攻防演练就像军事演习一样，双方约定好时间地点范围，大家在范围内玩夺旗游戏。但是真的攻防就是军事实战，不知道攻击者从哪里来，什么时候来，目标是什么。

在搞清楚讨论范围是攻防演练的前提下，大家都在远程办公的场景，没有集体坐在一起的紧张氛围，个人感觉更能暴露平时日常的防护状态，相对来说所反映出来的情况也会更真实。不过，人员远程进行设备运维，效率会有所降低，而且增加了安全防护设备的外网暴露面，或者是使用云桌面增加运维成本。

@梦游

远程办公所接入的节点将收到考验，对攻击方来说，无所谓地理位置，有网络即可开展，只是监管要求需要能够跟上；防守方有人值守还行，如果居家，不能到机房或者办公内网环境，那应付起来还是有难度的，一方面VPN接入本来就是各攻击队眼中的香饽饽，往年的0day教训还历历在目，势必在疫情远程办公期间更受关注，倘若让攻击者通过VPN漏洞获取到超管权限，那防守阵线将一泻千里。

另一方面，即时防守方通过VPN开展能够正常开展防守工作，在处理效率、响应速度、协同处置上还是会受影响。在攻守双方本就能力不对等的情况下，远程办公条件下的HVV对防守方带来更多的挑战。

@冒险的鸟

会造成一定影响吧，远程监测处置分析会有时间延迟，出现告警不能及时处置；出现安全事件也无法能够保证正常办公下的应急响应处置能否有效执行；远程办公本身就存在一定安全隐患。

3.对于攻防实战演练，大家有什么可以分享的经验？

@自在安然

如上面大佬所言，在没有完善自己的安全运营流程，确定自己风险承受能力之前，优先建议做双方约定好时间地点范围的攻防演练，相当于增加一道安全测试，进行防护策略及流程的调优。同时，将安全攻防演练事情进行宣传，要求员工加强安全意识，增加安全意识培训的机会。

以下为个人猜想，在觉得流程建立到一定阶段后，可以寻找相应的服务商或者内部攻击团队，每季度举行一周的攻击行为，具体在哪一周由攻击团队决定，以此来检验自己的安全防护能力。

@Coca

不要对效果有太高期待，攻防演练只是工作中的一小部分。

@冒险的鸟

攻防有效方法很多大佬都说过，有效社工行为，结合当前防疫场景，还是能做挺多的，例如防疫短信、邮件钓鱼、人员伪造大白、志愿者身份进出等大佬操作。

——————————————————

本期精彩观点到此结束啦~此外，FreeBuf会定期开展不同的精彩话题讨论，想了解更多话题和观点，快来扫码免费申请加入FreeBuf甲方群吧！

加入即可获得FreeBuf月刊专辑，还有更多精彩内容尽在FreeBuf甲方会员专属社群，小助手周周送福利，社群周周有惊喜，还不赶快行动？

申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入会员俱乐部

如有疑问，也可扫码添加小助手微信哦！