2.1.2　专业技能储备

专业技能是蓝队快速应对攻击任务中各种情况、解决各种困难问题、顺利推进任务的保障。蓝队的专业技能储备涉及漏洞、工具、战法策略等多方面，主要有以下4种。

1. 工具开发技能

“工欲善其事，必先利其器。”对于蓝队来说也一样，好的攻击工具往往能起到事半功倍的效果。通过公开手段常常能搜集到好用的开源工具，但公开特征太过明显，往往容易被防守方态势感知系统和防火墙发现并拦截，从而极大地影响工作效率，因此需要借助自主开发或开源工具改版来开展工作。熟练的工具开发技能，可以让蓝队通过借鉴他人的高效思路，快速实现新的工具开发或对原有工具软件架构和模块功能的针对性改进，为攻击工作提供有力的工具保障。

2. 漏洞挖掘技能

漏洞挖掘技能是利用动态或静态调试方法，通过白盒或黑盒代码审计，对程序代码流程和数据流程进行深入分析与调试，分析各类应用、系统所包含的编程语言、系统内部设计、设计模式、协议、框架的缺陷，并利用此类缺陷执行一些额外的恶意代码实现攻击破坏的能力。对于蓝队来说，漏洞是大杀器，往往能起到一招毙命的效果。前期的漏洞准备对于外网打开突破口和内网横向拓展都非常重要，但公开的漏洞往往由于时效问题作用有限，而自主挖掘的0day却总能作为秘密武器出奇制胜，同时漏洞贡献能力是蓝队在实战攻防演练中的一个重要的得分项。因此，蓝队需要有足够多的漏洞挖掘技能储备，尤其是与蓝队攻击密切相关的互联网边界应用、网络设备、办公应用、移动办公、运维系统、集权管控等方面的漏洞挖掘技能。

3. 代码调试技能

代码调试技能是对各类系统、应用、平台或工具的代码进行的分析、解读、调试与审计等一系列技术能力。蓝队攻击中情况千变万化，面对的系统、应用、平台或工具各式各样，很少能用一成不变的模式应对所有情况，这就需要通过代码调试技能快速分析研判并寻找解决方法。只有具备良好的代码调试能力，蓝队才能快速应对各种情况，比如：针对攻击过程中获取的一些程序源码，需要运用代码调试技能对其进行解读和代码审计，以快速发现程序bug并利用；漏洞挖掘过程中，需要对某些未知程序和软件的逆向分析与白盒/黑盒代码审计能力；注入攻击过程中，对于一些注入异常，需要对注入代码进行解析和调试，通过代码变形转换实现规避；蓝队使用的渗透工具经常会被杀毒软件拦截或查杀，这时需要运用代码调试技能快速定位查杀点或特征行为，实现快速免杀应对；等等。

4. 侦破拓展技能

侦破拓展技能是在渗透攻击过程中对渗透工具使用、关键节点研判、渗透技巧把握、战法策略运用等一系列技能的综合体现。实战攻防演练存在时间短、任务紧的特点，因此对蓝队在侦破拓展技能方面就有比较高的要求。侦破拓展技能是建立在蓝队丰富的实战经验积累上的，是经验向效率转换的直接体现。蓝队良好侦破拓展技能主要表现在三方面：一是对攻防一体理念的深刻理解，作为攻击者，可以从防守者的角度思考问题，能快速定位防守弱点和突破口；二是对目标网络和系统的正确认识，能根据不同攻击目标快速确定攻击策略和战法，针对性开展攻击工作；三是对渗透工具的高效运用，能快速根据攻击策略实现对各类工具的部署应用，能够快速将攻击思路转化为实践，高效开展攻击工作。