1.3.2　红队演变趋势

2016年和2017年，由于监管单位的推动，部分单位开始逐步参与监管单位组织的实战攻防演练。这个阶段各单位主要作为防守方参加演练。到了2018年和2019年，实战攻防演练不论单场演练的参演单位数量、攻击队伍数量，还是攻守双方的技术能力等都迅速增强。实战攻防演练已经成为公认的检验各单位网络安全建设水平和安全防护能力的重要手段，各单位也从以往单纯参与监管单位组织的演练逐渐转变，开始自行组织内部演练或联合组织行业演练。

2020年后，随着在实战攻防演练中真刀实枪地不断对抗和磨砺，攻守双方都取得了快速发展和进步。迫于攻击队技战法迅速发展带来的压力，防守队也发生了很大的变化。

1. 防守重心扩大

2020年之前的实战攻防演练主要以攻陷靶标系统为目标，达到发现防守队安全建设和防护短板、提升各单位安全意识的目的。攻击队的主要得分点是拿下靶标系统和路径中的关键集权系统、服务器等权限，在非靶标系统上得分很少。因此，防守队的防守重心往往会聚焦到靶标系统及相关路径资产上。

大部分参加过实战攻防演练的单位对自身的安全问题和短板已经有了充分认识，也都开展了安全建设整改工作，它们急需通过实战攻防演练检验更多重要系统的安全性，并更全面地发现安全风险。因此，从2020年开始，不论监管单位还是单位自身，在组织攻防演练时，都会逐步降低演练中靶标系统的权重，鼓励攻击更多的单位和系统，发现更多的问题和风险。同样，防守队的防守重心也就从以靶标系统为主，扩大到所有的重要业务系统、重要设备和资产、相关上下级单位。

2. 持续加强监测防护手段

随着近几年攻防技术的快速发展，实战攻防演练中各种攻击手段层出不穷、花样百出，各单位在演练中切实感受到了攻击队带来的严重威胁以及防守的巨大压力，防守队的监测和防护体系面临巨大挑战。防守队对于在攻防对抗中确实能够发挥重大作用的安全产品青睐有加，投入大量资金来采购和部署。

2018～2019年，除了传统安全产品外，全流量威胁检测类产品在攻防对抗中证明了自己，获取了各单位的青睐。2020年后，主机威胁检测、蜜罐及威胁情报等产品和服务迅速成熟并在演练中证明了自己对主流攻击的监测和防护能力，防守队开始大规模部署使用。除此之外，对于钓鱼攻击、供应链攻击等还没有有效的防护产品，不过随着在实战中的不断打磨，相应产品也会迅速成熟和广泛使用。

3. 被动防守到正面对抗

要说变化，这两年防守队最大的变化应该是从被动挨打迅速转变为正面对抗、择机反制。之前，演练中的大部分防守队发现攻击后基本就是封堵IP、下线系统、修复漏洞，之后接着等待下一波攻击。敌在暗，我在明，只能被动挨打。现在，大量的防守队加强了溯源和反制能力，与攻击队展开了正面对抗，并取得了很多战果。

要具备正面对抗能力，需要重点加强以下几方面。

1）快速响应。实战中讲究兵贵神速，在发现攻击时，只有快速确认攻击方式、定位受害主机、采取处置措施，才能够有效阻止攻击，并为下一步的溯源和反制争取时间。

2）准确溯源。《孙子兵法》云：“知己知彼，百战不殆。”要想和攻击队正面对抗，首先得找到攻击队的位置，并想办法获取足够多的攻击队信息，才能有针对性地制定反制策略，开展反击。

3）精准反制。反制其实就是防守队发起的攻击。在准确溯源的基础上，需要攻击经验丰富的防守人员来有效、精准地实施反制。当然，也有些单位会利用蜜罐等产品埋好陷阱，诱导攻击队跳进来，之后再利用陷阱中的木马等快速攻陷攻击队系统。