攻防論道之總結篇 | 往者不可諫，來者猶可追

網路攻防演練的目的是發現當前關鍵資訊基礎設施防護體系中存在的不足，找出解決的方案。因此在演練結束之後，必須及時進行復盤總結，以期全面改進。在總結階段，需要做三項工作：過程覆盤、經驗總結和提升規劃。

一、 過程覆盤

1. 安全事件彙總分析

攻防演練防護結束後，攻防演練防護專案組將對演練期間的資料進行彙總，並從以下維度展開分析：

攻擊事件

針對不同的攻擊事件進行攻擊時段、頻率、次數的統計，分析常見攻擊事件行為，識別已受攻擊的業務風險。

風險等級

風險等級由高到低排序，重點關注高危行為，根據高危行為指向的目的地址，識別易受攻擊的業務模組。

攻擊路徑

復現環境拓撲，還原攻擊者的入侵路徑，分析攻擊思路，回溯業務薄弱環節，根據薄弱點制定對應的加固措施。

漏洞利用

彙總攻擊者入侵路線所利用的漏洞，追溯漏洞形成原因。

2. 缺陷問題輸出閉環

攻防演練防護專案組將針對重大保障前期的待處理事件和中期發生的安全事件進行梳理，根據安全問題風險程度由高到低設定處理優先順序，繪製輸出安全事件跟蹤表，內容包括但不限於：問題分類、影響範圍、問題描述、發現時間、處置完成時間、主要跟進人、問題進展、是否閉環、事件優先順序等。

二、 經驗總結

完成對演練過程中安全事件的全面覆盤之後，就進入了經驗總結環節。經驗總結一般從兩方面進行：防守經驗和反制經驗。

1.防守經驗

在備戰階段，專案組進行了資產安全評估、業務缺陷識別、風險整改推進、防護能力補差、整體策略最佳化和意識能力培訓。在做經驗總結時，專案組需要全面回顧前期的工作，判斷在資產安全評估中是否有遺漏的資產被攻擊方發現，是否有未修復的漏洞被攻擊方利用；在業務缺陷識別中是否有未識別的缺陷造成資料洩露，是否有供應鏈被攻擊方利用；在風險整改中是否已知風險未閉環使得攻擊方得分；在防護能力補差中是否有短板未消除，新增的安全防護裝置是否真正起到了作用；在整體策略最佳化中是否能從最佳化後的日誌中快速定位攻擊事件，是否切實減少了誤報而沒有增加漏報；在意識能力培訓中是否做到了全員安全意識增強，而沒有被攻擊隊釣魚利用。

2.反制經驗

攻防演練的過程也是專案組溯源反制能力的檢驗過程。在本階段主要總結是否發現了攻擊方利用的0day漏洞，是否定位了攻擊方的真實IP，是否透過溯源發現了攻擊方的人員真實資訊。

三、 提升規劃

透過經驗總結，專案組可以明晰整個攻防演練過程中的成績和不足。這些不足暴露了當前網路和業務系統中存在的安全薄弱部分，也就是需要改進的方向。

網路攻防演練，既是檢查網路安全建設成果的試金石，也是指導開展下一步建設的指路燈。透過攻防演練，企業應以體系化建設為指引，構建“全場景、可信任、實戰化”的安全運營能力，實現“全面防護，智慧分析，自動響應”的防護效果，使得企業的網路安全平穩健康的發展。