红蓝攻防 构建实战化网络安全防御体系（奇安信官方出品，多年服务各类大型政企机构的经验总结，红队、蓝队、紫队视角全面揭示红蓝攻防）(z-library.sk, 1lib.sk, z-lib.sk)

红蓝攻防：构建实战化网络安全防御体系 奇安信安服团队　著 ISBN：978-7-111-70640-3 本书由机械工业出版社华章分社授权北京世纪卓越信息技术有限公司 在全球范围内制作与发行。 版权所有，侵权必究

目录 作者简介 作者名单 前言 第一部分　红蓝对抗基础 第1章　认识红蓝紫 1.1　实战攻防演练 1.1.1　为什么要进行实战攻防演练 1.1.2　实战攻防演练的发展现状 1.2　蓝队 1.2.1　什么是蓝队 1.2.2　蓝队演变趋势 1.3　红队 1.3.1　什么是红队 1.3.2　红队演变趋势 1.4　紫队 1.4.1　什么是紫队 1.4.2　紫队演变趋势 1.5　实战攻防演练中暴露的薄弱环节 1.6　建立实战化的安全体系 第二部分　蓝队视角下的防御体系突破 第2章　蓝队攻击的4个阶段 2.1　准备工作 2.1.1　工具准备 2.1.2　专业技能储备 2.1.3　人才队伍储备 2.2　目标网情搜集 2.2.1　何为网情搜集 2.2.2　网情搜集的主要工作 2.2.3　网情搜集的途径 2.3　外网纵向突破 2.3.1　何为外网纵向突破 2.3.2　外网纵向突破的主要工作 2.3.3　外网纵向突破的途径 2.4　内网横向拓展 2.4.1　何为内网横向拓展

2.4.2　内网横向拓展的主要工作 2.4.3　内网横向拓展的途径 第3章　蓝队常用的攻击手段 3.1　漏洞利用 3.1.1　SQL注入漏洞 3.1.2　跨站漏洞 3.1.3　文件上传或下载漏洞 3.1.4　命令执行漏洞 3.1.5　敏感信息泄露漏洞 3.1.6　授权验证绕过漏洞 3.1.7　权限提升漏洞 3.2　口令爆破 3.2.1　弱口令 3.2.2　口令复用 3.3　钓鱼攻击 3.3.1　外网钓鱼 3.3.2　内网钓鱼 3.3.3　钓鱼应急措施 3.4　供应链攻击 3.4.1　网络或平台提供商 3.4.2　安全服务提供商 3.4.3　产品或应用提供商 3.5　VPN仿冒接入 3.6　隐蔽隧道外连 3.7　社会工程学攻击 3.8　近源攻击 第4章　蓝队攻击的必备能力 4.1　实战化能力与传统能力的区别 4.2　实战化蓝队人才能力图谱 4.2.1　基础能力 4.2.2　进阶能力 4.2.3　高阶能力 第5章　蓝队经典攻击实例 5.1　正面突破：跨网段控制工控设备 5.2　浑水摸鱼：社工钓鱼，突破系统 5.3　偷梁换柱：冒充客户，突破边界 5.4　声东击西：混淆流量，躲避侦察

5.5　迂回曲折：供应链定点攻击 5.6　李代桃僵：旁路攻击，搞定目标 5.7　顺手牵羊：巧妙种马，实施控制 5.8　暗度陈仓：迂回渗透，取得突破 5.9　短兵相接：近源渗透，直入内网 第三部分　红队视角下的防御体系构建 第6章　红队防守的实施阶段 6.1　备战阶段：兵马未动，粮草先行 6.2　临战阶段：战前动员，鼓舞士气 6.3　实战阶段：全面监测，及时处置 6.4　总结阶段：全面复盘，总结经验 第7章　红队常用的防守策略 7.1　信息清理：互联网敏感信息 7.2　收缩战线：收敛互联网暴露面 7.3　纵深防御：立体防渗透 7.4　守护核心：找到关键点 7.5　协同作战：体系化支撑 7.6　主动防御：全方位监控 7.7　应急处突：完备的方案 7.8　溯源反制：人才是关键 第8章　红队常用的防护手段 8.1　防信息泄露 8.1.1　防文档信息泄露 8.1.2　防代码托管泄露 8.1.3　防历史漏洞泄露 8.1.4　防人员信息泄露 8.1.5　防其他信息泄露 8.2　防钓鱼 8.3　防供应链攻击 8.4　防物理攻击 8.5　防护架构加强 8.5.1　互联网暴露面收敛 8.5.2　网络侧防御 8.5.3　主机侧防御 8.5.4　Web侧防御 8.5.5　App客户端安全 第9章　红队常用的关键安全设备

9.1　边界防御设备 9.1.1　防火墙 9.1.2　入侵防御系统 9.1.3　Web应用防火墙 9.1.4　Web应用安全云防护系统 9.1.5　邮件威胁感知系统 9.2　安全检测设备 9.2.1　互联网资产发现系统 9.2.2　自动化渗透测试系统 9.2.3　开源组件检测系统 9.2.4　运维安全管理与审计系统（堡垒机） 9.3　流量监测设备 9.3.1　流量威胁感知系统 9.3.2　态势感知与安全运营平台 9.3.3　蜜罐系统 9.4　终端防护设备 9.4.1　终端安全响应系统 9.4.2　服务器安全管理系统 9.4.3　虚拟化安全管理系统 9.4.4　终端安全准入系统 9.4.5　终端安全管理系统 9.5　威胁情报系统 第10章　红队经典防守实例 10.1　严防死守零失陷：某金融单位防守实例 10.1.1　领导挂帅，高度重视 10.1.2　职责明确，全员参战 10.1.3　全面自查，管控风险 10.1.4　顽强作战，联防联控 10.2　厘清现状保核心：某集团公司防守实例 10.2.1　明确核心，总结经验 10.2.2　合理规划，全面自查 10.2.3　纵深防御，全面监控 10.2.4　联动处置，及时整改 10.3　准备充分迎挑战：某政府单位防守实例 10.3.1　三项措施，演练前期充分备战 10.3.2　三段作战，破解演练防守困境 第四部分　紫队视角下的实战攻防演练组织

第11章　如何组织一场实战攻防演练 11.1　实战攻防演练的组织要素 11.2　实战攻防演练的组织形式 11.3　实战攻防演练的组织关键 11.4　实战攻防演练的风险规避措施 第12章　组织攻防演练的5个阶段 12.1　组织策划阶段 12.2　前期准备阶段 12.3　实战攻防演练阶段 12.4　应急演练阶段 12.5　演练总结阶段 第13章　组织沙盘推演的4个阶段 13.1　组织策划阶段 13.2　推演准备阶段 13.3　沙盘推演阶段 13.4　总结评估阶段

作者简介 奇安信安服团队 团队以攻防技术为核心，在云端大数据支撑下聚焦威胁检测和响 应，具备咨询规划、威胁检测、攻防演练、持续响应、预警通告、安 全运营等一系列实战化服务能力，是一支能够为客户提供全周期安全 保障服务的专业网络安保和应急响应团队。 团队是国内规模领先的安全服务团队，业务范围覆盖全国，服务 对象包括网络安全监管机构以及党政、金融、运营商、能源、央企、 传媒、民航等各行业各领域的头部企业和行业单位。 团队拥有大量经验丰富的网络安全攻防专家，聚集了国内优秀网 络安全人才，创造了数量位于业内前列的重要保障案例，并连续多年 在实战攻防演练中取得了辉煌的攻防战绩，已成为攻防演练服务的领 军团队。 团队拥有专注于互联网应用漏洞挖掘和攻防研究的观星实验室团 队，以及在实战攻防演练中扮演重要角色、擅长组织实施渗透攻击的 Z-TEAM团队，为网络安全服务工作提供强有力的技术支持。Z-TEAM 团队在实网对抗的不断锤炼中研发出多套实用技战法和配套工具，尤 其在Web攻防、社工渗透、内网渗透、模拟APT攻击等方面技术实力 扎实、技战法灵活，实战能力受到业内高度认可。 

作者名单 张翀斌　刘敬群　顾　鑫　袁小勇 龚玉山　张铁铮　黄敬磊　初雪峰 李世杰　李绪彬　刘丽锋　刘新强 秦　学　薛克伟　闫绍鹏　杨朋浩 于晓堃 策划人 刘　洋　尹　磊

前言 在全球信息技术不断推陈出新、数字化转型不断加速的大背景 下，我国各个领域也在加快技术创新、数字化转型的步伐，信息化、 数字化、智能化等方面正在发生不同程度的变革。新发展不仅带来新 机遇，也带来了新风险。网络安全是技术创新、数字化转型的重要基 础保障，但当前国内外网络安全形势日趋严峻，数据泄露、供应链攻 击、勒索病毒、APT（高级持续性威胁）攻击等网络安全事件频发，网 络安全所面临的威胁愈加多样、复杂、棘手。在互联互通的数字化链 条中，任何一个漏洞隐患都有可能破坏已有的网络安全防护，给企 业、机构等带来信息安全风险、不良影响甚至财产损失等。 网络安全的本质在于对抗，对抗的本质在于攻防两端能力的较 量。2020年以来，国家规模的实战攻防演练已成为检验各领域政企机 构网络安全防护水平的重要手段。因此，若要全面了解网络安全防护 水平和薄弱环节，那么定期组织高质量的实战攻防演练，在真实业务 环境下开展“背靠背”的攻防对抗，是一种必然且卓有成效的选择。 攻防演练不仅可以发现已存在的安全漏洞隐患并及时修补，还可以检 验安全技术人员的监测预警、分析研判和处置溯源能力，提升人员专 业技能和安全意识，更可以检验各组织、各部门间的协同响应能力， 提升上下和内外之间的联防联动能力，对完善网络安全监测预警和应 急响应机制、强化安全防护能力、切实提高网络安全防御水平具有重 要意义。 本书内容全面，从什么是实战攻防演练到如何分别站在红队（防 守方）、蓝队（攻击方）和紫队（组织方）视角开展演练工作都进行 了详细介绍，明确了各方演练的内容与要点，旨在向广大政企机构和 网络安全从业人员分享红蓝实战攻防演练经验，并提供基础性的参考 方案。 本书分为四部分共13章。第一部分介绍红蓝实战攻防演练的基本 概念、发展现状、演变趋势及常暴露的薄弱环节等。第二～四部分分 别介绍蓝队视角下的防御体系突破、红队视角下的防御体系构建、紫 队视角下的实战攻防演练组织，描述了在不同视角下各阶段如何具体 开展相关工作，并提供必备能力、重点策略、风险规避措施等实践干 货，以及剖析了多个经典案例。

本书适合网络安全从业人员、企业信息化负责人及对网络攻防演 练有兴趣的读者学习和参考。由于笔者写作时间和水平有限，书中难 免存在疏漏及不妥之处，敬请各位批评斧正。

第一部分　红蓝对抗基础 在网络实战攻防演练中的防守和攻击两方分别称为红队和蓝队。 通常在攻防演练中，除了红蓝双方外，还需要有站在中立角度进行演 练组织、评判等的第三方，即紫队。本部分详细介绍了实战攻防演练 的概念、意义和现状，对近几年国内实战攻防演练中红蓝紫三方的定 位和发展趋势进行了分析，同时描述了攻防演练中暴露的主要安全问 题，并讲解了如何建立实战化的安全体系。

第1章　认识红蓝紫 1.1　实战攻防演练 1.1.1　为什么要进行实战攻防演练 军事上的实兵演练是除了实战之外最能检验军队战斗力的一种考 核方式，可有效提高防御作战能力，以应对外部势力发起的攻击和袭 扰，更好地维护国家主权和安全。同样，在网络安全上，真实环境下 的网络攻防演练也是网络安全中最能检验安全团队防御能力、发现当 前网络环境中存在的安全风险的方式之一。 1. 政策要求驱动 2017年6月1日，随着我国第一部网络安全法《中华人民共和国网 络安全法》（下简称《网络安全法》）的正式实施，我国网络安全管 理迈入法治新阶段，网络空间法治体系建设加速开展。《网络安全 法》就网络安全应急演练工作明确指出，关键信息基础设施的运营者 应当“制定网络安全事件应急预案，并定期进行演练”，国家网信部 门应当统筹协调有关部门“定期组织关键信息基础设施的运营者进行 网络安全应急演练，提高应对网络安全事件的水平和协同配合能 力”，“负责关键信息基础设施安全保护工作的部门应当制定本行 业、本领域的网络安全事件应急预案，并定期组织演练”，要求关键 信息基础设施的运营者、国家网信部门等定期组织开展应急演练工 作。 2018年全国网络安全和信息化工作会议于4月20日至21日在北京召 开，会议强调，“没有网络安全就没有国家安全，就没有经济社会稳 定运行，广大人民群众利益也难以得到保障。要树立正确的网络安全 观，加强信息基础设施网络安全防护，加强网络安全信息统筹机制、 手段、平台建设，加强网络安全事件应急指挥能力建设，积极发展网 络安全产业，做到关口前移，防患于未然。要落实关键信息基础设施

防护责任，行业、企业作为关键信息基础设施运营者承担主体防护责 任，主管部门履行好监管责任。” “关口前移”是对落实网络安全防护的方法提出的重要要求，而 “防患于未然”则形成了鲜明的以防护效果为导向的指引要求，即要 求用更为积极主动、行之有效的方式来应对网络安全问题。在做好 “关口前移”的基础上，进一步加强网络安全防护运行工作，除了采 用定期检查和突发事件应急响应等偏被动的常规机制外，还需提升安 全防护工作的主动性，根据《网络安全法》的规定定期开展安全应急 演练工作。网络实战攻防演练便是在新的网络安全形势下，通过攻防 双方之间的对抗演练，实现“防患于未然”。 2020年7月，公安部印发《贯彻落实网络安全等级保护制度和关键 信息基础设施安全保护制度的指导意见》（下简称《意见》），《意 见》明确了网络安全保护“实战化、体系化、常态化”和“动态防 御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三 化六防”要求，而实战攻防演练是推动和检验“三化六防”水平的重 要手段。《意见》提出：“关键信息基础设施运营者和第三级以上网 络运营者应定期开展应急演练，有效处置网络安全事件，并针对应急 演练中发现的突出问题和漏洞隐患，及时整改加固，完善保护措施。 行业主管部门、网络运营者应配合公安机关每年组织开展的网络安全 监督检查、比武演习等工作，不断提升安全保护能力和对抗能力。” 该文件明确了组织开展实战化演练的责任主体和演练目的，即通过实 战化比武演练不断提升安全保护能力和对抗能力。 近年随着国家对网络安全工作的越发重视，尤其是《关键信息基 础设施安全保护条例》等关键信息基础设施保护有关政策法规和标准 的陆续出台，实战演练已成为国家各个重要行业用于检验网络安全保 护水平的重要手段。网络安全的本质在对抗，对抗的本质在攻防两端 能力较量。相信随着国家在网络安全方面政策文件的不断完善，“实 战练兵”将成为提高抵御网络攻击能力、检验网络安全措施有效性的 重要举措。 2. 安全威胁驱动

关键信息基础设施，指的是面向公众提供网络信息服务或支撑能 源、通信、金融、交通、公共事业等重要行业运行的信息系统或工业 控制系统。这些系统一旦发生网络安全事故，可能会对重要行业正常 运行产生较大影响，对国家政治、经济、科技、社会、文化、国防、 环境及人民生命财产造成严重损失。 当前，我国关键信息基础设施面临的网络安全形势严峻复杂，网 站平台大规模数据泄露事件频发，生产业务系统安全隐患突出，甚至 有的系统长期被控，面对高级持续性的网络攻击，防护能力十分欠 缺。近几年，针对我国的网络窃密、监听等攻击事件频发，网络空间 的网络安全攻防对抗日趋激烈。目前，我国面临的网络安全威胁主要 有以下几点。 1）针对我国重要信息系统的高强度、有组织的攻击威胁形势严 峻。2020年，据不完全统计，奇安信威胁情报中心共收录了高级威胁 类公开报告642篇，涉及151个命名的攻击组织或攻击行动，其中，提 及率最高的5个（高级持续性威胁）组织分别是Lazarus（10.3%）、 Kimsuky（7.8%）、海莲花（5.4%）、Darkhotel（4.8%）和蔓灵花 （3.2%）。监测显示，高级威胁攻击活动覆盖了全球绝大部分国家/地 区，其中，提及率最高的5个受害国家分别为中国（7.4%）、韩国 （6.6%）、美国（4.9%）、巴基斯坦（3.2%）和印度（3.2%）。中国 首次超过美国、韩国、中东等国家/地区，成为全球APT攻击的首要地 区性目标。医疗卫生行业首次超过政府、金融、国防、能源、电信等 领域，成为全球APT活动关注的首要目标。2020年，新冠肺炎疫情信息 成为APT活动常用诱饵，供应链和远程办公成为切入点，定向勒索威胁 成为APT活动新趋势。海莲花依旧是东南亚地区最为活跃的APT组织。 2）工业互联网面临的网络安全威胁加剧。2020年，根据我国国家 信息安全漏洞共享平台（CNVD）统计，通用软硬件漏洞为19 964个， 其中，Web应用漏洞占总比为27.7%，操作系统漏洞占总比为10.3%，网 络设备漏洞占总比为6.8%，数据库漏洞占总比为1.4%，电信行业漏洞 占总比为4.4%，移动互联网占总比为7.3%，工控漏洞占总比为3.2%， 物联网终端设备占总比为2.1%，其他类型占比为36.8%。工控漏洞虽然 在2020年全年漏洞中占总比相对较小，但其重要性不可忽视，涉及西 门子、施耐德、研华科技等在中国广泛应用的工控系统产品。 2021年5月7日，美国燃油管道公司Colonial Pipeline管网遭受攻 击，攻击者窃取这家公司的重要数据文件，燃油管道运输管理系统也

遭遇“劫持”，一度致使美国东部沿海各州的关键供油管道被迫关 闭。 3. 国外实战演练开展情况 2017年11月中旬北美举办了第二轮“GridEx-IV”网络战演练，来 自美国、加拿大、墨西哥的450家组织和机构的6300人共同参与了北美 电网故障场景的演练。该演练由美国政府与各电力企业合作开展，于 2011年首次举办之后，每两年举办一次。主要参与对象有电力企业、 地区（地方、州、省）和联邦政府执法机构、第一响应和情报机构、 关键基础设施跨部门合作伙伴（公共事业单位等）、能源供应链企业 等，规模较大。该演练的目的是：证明各参与方应如何应对物理安全 威胁事件并恢复演练中的模拟协调网络，从而让各参与方加强危机意 识，并彼此交流经验教训；协调各方资源、努力筹备与提出应对举 措，解决国家层面的灾难或针对关键基础设施的安全威胁。 2018年4月23日至27日，来自30个国家/地区的1000多名“战士” 在一个虚拟国家Berylia进行了为期5天的“战斗”，最终北约队折 桂，法国队和捷克队分获亚军和季军。这场没有硝烟的虚拟网络战， 每年都要开战一次，这便是全球最具影响力、规模最大、最复杂的国 际性实战网络防御演练——锁盾（Locked Shields）。锁盾演练的主 办方为北约，具体操办机构为北约网络防御中心（CCDCOE，成立于 2008年），自2010年始，每年举办一次。该演练的目的是为各国/地区 网络防御专家提供保护国家/地区信息技术IT系统和重要基础设施的演 练机会，同时评估大规模网络攻击对民用和军事领域的IT系统所造成 的影响。 2020年8月13日，为期三天的美国“网络风暴2020”（Cyber Storm 2020）演练落幕，在美国网络安全和基础设施安全局（CISA） 的组织下，近2000名来自政府机构和私营企业的人员参加了演练。本 次演练汲取了往届的经验，跟进了当今网络安全的格局变化，并以此 为基础，对网络响应方面取得的成绩进行评估和改进。本次演练促进 并加强了公私伙伴关系，对新的关键基础设施合作伙伴进行整合，不 仅强调了信息共享和分析机构的关键作用，还强调了实体有必要充分 了解自己对第三方服务的依赖。

2021年11月15日至20日，美国网络司令部举行了“网络旗帜21- 1”演练。此次演练是美国网络司令部规模最大的跨国网络演练，以网 络空间集体防御为重点，加强了来自23个国家/地区的200多名网络作 战人员的防御技能。演练利用“国家网络靶场”测试了参与人员检测 敌人、驱逐敌人和确定解决方案的能力，以加强其模拟网络的技能。 此次演练是美国对SolarWinds渗透攻击的回应举措之一，旨在加强网 络空间集体防御，确认开放、可靠和安全的互联网的重要性。

1.1.2　实战攻防演练的发展现状 1. 实战攻防演练向规模化演变 我国实战攻防演练的发展分为两个阶段：第一阶段是试验阶段， 以学习先进实战经验为主，参演单位少，演练范围小；第二阶段是推 广阶段，实战演练发展飞速，参演单位数量暴增，演练走向规模化。 2016年《中华人民共和国网络安全法》的颁布，标志着我国的网 络安全攻防演练进入试验阶段。当年，我国在举行第一场实战攻防演 练后，迅速将网络安全实战演练推上日程，为日后发展打下了坚实基 础。在试验阶段，世界上著名的“网络风暴”“锁盾”等网络攻防演 练行动为我国实战攻防演练发展提供了参考。在各部门的高度重视 下，演练范围越来越广，参演单位数量和涉及行业逐年增多，我国实 战攻防演练开始走向规模化。时至今日，监管机构和各行业都已开展 了实战攻防演练，在实战演练中诞生了一大批网络安全尖兵。 2. 演练规则向成熟化演变 随着国内实战攻防演练的规模逐渐扩大，演练规则也在逐年完 善，覆盖面更广，内容更贴合实战，在发展过程中渐渐成熟。从规则 设置看，数量逐年增加，规则进一步细化，要求更严。对攻击方而 言，要尽可能地找出系统中存在的所有安全问题，穷尽所有已知的攻 击方法，达到让终端、边界、目标系统失陷的目的；对防守方而言， 要进行网络安全监测、预警、分析、验证、处置等一系列工作，并在 后期复盘总结现有防护工作中的不足之处，为后续常态化的网络安全 防护措施提供优化依据。从具体内容看，规则制定紧贴网络安全发展 形势，向实战化倾斜。比如，针对APT攻击，要求防守方做到在攻击发 生后，不仅要保证损失降到最低，更要掌握是谁、通过何种方式进入 系统、做了什么。同时，针对网络安全“一失万无”的特性，除了保

护目标系统外，也要保证相关的业务安全运营，在演练中培养从业者 的全局意识。 3. 演练频度向常态化演变 在监管部门、政企机构的高度重视下，实战攻防演练逐渐走向常 态化，影响力进一步扩大。一年一度的实战攻防演练周期逐渐拉长。 同时，更多政企机构开始利用攻防演练检测自身的网络安全能力，从 而为后续网络安全建设指路。网络攻击突破空间限制，攻击速度快， 随时可能发生。应实战要求，攻防演练对抗周期逐年拉长。在贴合实 战的攻防博弈中，防守方必须进行全天候、全方位的网络安全态势感 知，增强网络安全防御能力和威慑力。实战攻防演练成为政企机构网 络安全防御能力的常态化检查手段。只有打一遍，在攻防对抗中发现 问题并解决问题，才能针对特定问题进行建设规划，全面提升网络安 全能力。现在很多大型政企机构希望专业的网络安全服务商先做一次 实战攻防演练，之后再根据演练结果进行定制化的网络安全规划与设 计服务。只有不断进行网络攻防演练和渗透测试，才能不断提升安全 防御能力，从而应对不断变化的新型攻击和高级威胁。 4. 攻击手段向多样化演变 随着演练经验的不断丰富和大数据安全技术的广泛应用，攻防演 练的攻击手段不断丰富，开始使用越来越多的漏洞攻击、身份仿冒等 新型作战策略，向多样化演变。 2016年，网络实战攻防演练处于起步阶段，攻防重点大多集中于 互联网入口或内网边界。从演练成果来看，从互联网侧发起的直接攻 击普遍十分有效，系统的外层防护一旦被突破，横向拓展、跨域攻击 往往都比较容易实现。 2018年，防守方对攻击行为的监测、发现能力大幅增强，攻击难 度加大，迫使攻击队全面升级。随着部分参与过演练的单位的防御能 力大幅提升，攻击队开始尝试更隐蔽的攻击方式，比如身份仿冒、钓

鱼Wi-Fi、供应链攻击、邮箱系统攻击、加密隧道等，攻防演练与网络 实战的水平更加接近。 2020年，传统攻击方法越来越难取得成效，攻击队开始研究利用 应用系统和安全产品中的漏洞发起攻击。比如：大部分行业会搭建 VPN（Vitual Private Network，虚拟私人网络）设备，可以利用VPN 设备的一些SQL注入、加账号、远程命令执行等漏洞展开攻击；也可以 采取钓鱼、爆破、弱口令等方式来取得账号权限，绕过外网打点环 节，直接接入内网实施横向渗透。 2021年，攻防对抗进一步升级，防守方攻击监测防护能力的大幅 提升以及攻防技术的快速提高，使得攻击队攻击成本和攻击难度也快 速提高。于是，攻击队开始大量使用社工攻击手段，从邮件钓鱼发展 到微信等多种社交软件钓鱼，甚至到物理渗透、近源攻击，力求有效 绕过防护壁垒，快速进入内网。网络安全实战演练是攻防对抗的过 程，攻击手段多样化的最终目的是提升网络安全防护能力，应对不断 变化的网络安全威胁。 5. 安全防御向体系化演变 近几年的实战攻防演练充分证明，没有攻不破的网络，没有打不 透的“墙”。面对多样化的网络攻击手段，不能临阵磨枪、仓促应 对，必须立足根本、打好基础，用系统思维开展体系化的网络安全建 设。网络安全防护思路，急需从过去的被动防御走向主动防御。被动 防御可以理解为“事后补救”，采用隔离、修边界等技术方法，是局 部的，针对单点的，安全产品之间缺乏联动。这种“头痛医头，脚痛 医脚”“哪里出问题堵哪里”的防御思路，已经不再适应当前的网络 安全形势。主动防御可以理解为“事前防控”，将关口前移，防患于 未然。在实战演练后，应对现有安全架构进行梳理，以安全能力建设 为核心思路，重新设计企业整体安全架构，通过多种安全能力的组合 和结构性设计，形成真正的纵深防御体系。