1.1.2　實戰攻防演練的發展現狀

1. 實戰攻防演練向規模化演變

我國實戰攻防演練的發展分為兩個階段：第一階段是試驗階段，以學習先進實戰經驗為主，參演單位少，演練范圍小；第二階段是推廣階段，實戰演練發展飛速，參演單位數量暴增，演練走向規模化。

2016年《中華人民共和國網絡安全法》的頒布，標志著我國的網絡安全攻防演練進入試驗階段。當年，我國在舉行第一場實戰攻防演練后，迅速將網絡安全實戰演練推上日程，為日后發展打下了堅實基礎。在試驗階段，世界上著名的“網絡風暴”“鎖盾”等網絡攻防演練行動為我國實戰攻防演練發展提供了參考。在各部門的高度重視下，演練范圍越來越廣，參演單位數量和涉及行業逐年增多，我國實戰攻防演練開始走向規模化。時至今日，監管機構和各行業都已開展了實戰攻防演練，在實戰演練中誕生了一大批網絡安全尖兵。

2. 演練規則向成熟化演變

隨著國內實戰攻防演練的規模逐漸擴大，演練規則也在逐年完善，覆蓋面更廣，內容更貼合實戰，在發展過程中漸漸成熟。從規則設置看，數量逐年增加，規則進一步細化，要求更嚴。對攻擊方而言，要盡可能地找出系統中存在的所有安全問題，窮盡所有已知的攻擊方法，達到讓終端、邊界、目標系統失陷的目的；對防守方而言，要進行網絡安全監測、預警、分析、驗證、處置等一系列工作，并在后期復盤總結現有防護工作中的不足之處，為后續常態化的網絡安全防護措施提供優化依據。從具體內容看，規則制定緊貼網絡安全發展形勢，向實戰化傾斜。比如，針對APT攻擊，要求防守方做到在攻擊發生后，不僅要保證損失降到最低，更要掌握是誰、通過何種方式進入系統、做了什么。同時，針對網絡安全“一失萬無”的特性，除了保護目標系統外，也要保證相關的業務安全運營，在演練中培養從業者的全局意識。

3. 演練頻度向常態化演變

在監管部門、政企機構的高度重視下，實戰攻防演練逐漸走向常態化，影響力進一步擴大。一年一度的實戰攻防演練周期逐漸拉長。同時，更多政企機構開始利用攻防演練檢測自身的網絡安全能力，從而為后續網絡安全建設指路。網絡攻擊突破空間限制，攻擊速度快，隨時可能發生。應實戰要求，攻防演練對抗周期逐年拉長。在貼合實戰的攻防博弈中，防守方必須進行全天候、全方位的網絡安全態勢感知，增強網絡安全防御能力和威懾力。實戰攻防演練成為政企機構網絡安全防御能力的常態化檢查手段。只有打一遍，在攻防對抗中發現問題并解決問題，才能針對特定問題進行建設規劃，全面提升網絡安全能力。現在很多大型政企機構希望專業的網絡安全服務商先做一次實戰攻防演練，之后再根據演練結果進行定制化的網絡安全規劃與設計服務。只有不斷進行網絡攻防演練和滲透測試，才能不斷提升安全防御能力，從而應對不斷變化的新型攻擊和高級威脅。

4. 攻擊手段向多樣化演變

隨著演練經驗的不斷豐富和大數據安全技術的廣泛應用，攻防演練的攻擊手段不斷豐富，開始使用越來越多的漏洞攻擊、身份仿冒等新型作戰策略，向多樣化演變。

2016年，網絡實戰攻防演練處于起步階段，攻防重點大多集中于互聯網入口或內網邊界。從演練成果來看，從互聯網側發起的直接攻擊普遍十分有效，系統的外層防護一旦被突破，橫向拓展、跨域攻擊往往都比較容易實現。

2018年，防守方對攻擊行為的監測、發現能力大幅增強，攻擊難度加大，迫使攻擊隊全面升級。隨著部分參與過演練的單位的防御能力大幅提升，攻擊隊開始嘗試更隱蔽的攻擊方式，比如身份仿冒、釣魚Wi-Fi、供應鏈攻擊、郵箱系統攻擊、加密隧道等，攻防演練與網絡實戰的水平更加接近。

2020年，傳統攻擊方法越來越難取得成效，攻擊隊開始研究利用應用系統和安全產品中的漏洞發起攻擊。比如：大部分行業會搭建VPN（Vitual Private Network，虛擬私人網絡）設備，可以利用VPN設備的一些SQL注入、加賬號、遠程命令執行等漏洞展開攻擊；也可以采取釣魚、爆破、弱口令等方式來取得賬號權限，繞過外網打點環節，直接接入內網實施橫向滲透。

2021年，攻防對抗進一步升級，防守方攻擊監測防護能力的大幅提升以及攻防技術的快速提高，使得攻擊隊攻擊成本和攻擊難度也快速提高。于是，攻擊隊開始大量使用社工攻擊手段，從郵件釣魚發展到微信等多種社交軟件釣魚，甚至到物理滲透、近源攻擊，力求有效繞過防護壁壘，快速進入內網。網絡安全實戰演練是攻防對抗的過程，攻擊手段多樣化的最終目的是提升網絡安全防護能力，應對不斷變化的網絡安全威脅。

5. 安全防御向體系化演變

近幾年的實戰攻防演練充分證明，沒有攻不破的網絡，沒有打不透的“墻”。面對多樣化的網絡攻擊手段，不能臨陣磨槍、倉促應對，必須立足根本、打好基礎，用系統思維開展體系化的網絡安全建設。網絡安全防護思路，急需從過去的被動防御走向主動防御。被動防御可以理解為“事后補救”，采用隔離、修邊界等技術方法，是局部的，針對單點的，安全產品之間缺乏聯動。這種“頭痛醫頭，腳痛醫腳”“哪里出問題堵哪里”的防御思路，已經不再適應當前的網絡安全形勢。主動防御可以理解為“事前防控”，將關口前移，防患于未然。在實戰演練后，應對現有安全架構進行梳理，以安全能力建設為核心思路，重新設計企業整體安全架構，通過多種安全能力的組合和結構性設計，形成真正的縱深防御體系。