网络攻防演练能给企业带来哪些价值

网络攻防演练能给企业带来以下价值：

• 弱点发现：与漏洞扫描和渗透测试一样，攻防演练也一定会找到企业IT系统的脆弱性问题。尤其像提到的，企业对自己内部的安全能力已经很有信心的情况下，能找到企业的脆弱性问题就不仅仅是一两个漏洞的问题。很可能是帮助企业安全团队发现自己工作中的一个盲点，甚至盲维。

• 考验对抗能力：由于有防守方的实时参与，攻防演练在给攻击方团队带来挑战的同时，更能考验企业安全团队的实时对抗能力。对于防守方来说，实时对抗在日常工作中是很难遇到的，而一旦遇到很可能是场生死之战。所以，攻防演练是一个很难得的机会，让防守方可以考验自己的实时对抗能力。具体来说可以分为：实时检测能力、实时防御能力、应急响应能力。企业可以在开展演练之前全面梳理这三方面的能力。在启动攻防演练后，并不是坐等结果就可以的。攻防演练中还需要关注以下关键点，以保证攻防演练的质量。

• 约定目标和手段：选择适当的系统作为目标是很重要的，切忌将目标设置的过于简单，会导致攻防演练的效果大打折扣。建议将演练目标设定为保障手段比较完善，且对企业非常重要的系统。另外，在约定目标的同时当然也要约定攻击队的手段，以避免对企业实际运行业务造成影响。比如：应避免使用DDoS、DNS（Domain Name System）劫持、ARP（AddressResolution Protocol）欺骗等手段。从这个约定可以看出，由于种种限制，攻击队并不能发现网络安全所有的问题，在真实对抗中这些破坏性攻击是很有可能出现的。所以，在攻防演练之外，企业安全团队要单独考虑这些破坏性攻击的可能性和应对机制。

• 防御手段：在绝大部分情况下，演练过程中防守方都会选择严防死守，但严防也要考虑一个度的问题。比如，为了防御住攻击方的入侵，防守方选择以A段（如：202.0.0.0/8）为封堵单位，虽然可以取得很好的封堵效果，但也会严重影响业务的连续性。在实际攻防场景中也是不太可能实现的。因为演练主要还是为了应对真正的攻击行为，所以防御手段也应尽量采用实际对抗中可能采用的手段。

• 结果分析：攻防结束后，最重要的环节就是对结果的分析。只有做好这一步才能真正体现攻防演练的价值。为了全视角观察整个过程，我们会从攻击者和防御者两个视角去分析结果，这与对安全事件的复盘方式有些类似。在第7章将展开论述复盘工作的要点。

• 指导建设：通过结果分析，会发现我们在安全保障体系上的不足，这是下一步安全建设的重要参考。笔者在与很多安全团队管理者沟通时，经常会听到对申请资源困难的抱怨。我给他们的建议是从安全事件入手去提出安全需求，毕竟相比于相对务虚地建设一个安全保障体系，解决以前出现过的问题更容易让人接受。在短期内没有出现过安全问题的情况下，攻防演练的结果就是安全团队重要的参考。所以，再次强调，一定要重视攻防演练的结果分析。