1.2　藍隊

1.2.1　什么是藍隊

在本書中，藍隊是指網絡實戰攻防演練中的攻擊一方。

藍隊一般會針對目標單位的從業人員以及目標系統所在網絡內的軟件、硬件設備執行多角度、全方位、對抗性的混合式模擬攻擊，通過技術手段實現系統提權、控制業務、獲取數據等滲透目標，從而發現系統、技術、人員、管理和基礎架構等方面存在的網絡安全隱患或薄弱環節。

藍隊人員并不是一般意義上的黑客，黑客往往以攻破系統、獲取利益為目標，而藍隊則是以發現系統薄弱環節、提升系統安全性為目標。此外，對于一般的黑客來說，只要發現某一種攻擊方法可以達成目標，通常就沒有必要再去嘗試其他的攻擊方法和途徑；而藍隊的目標則是盡可能找出系統中存在的所有安全問題，因此藍隊往往會窮盡已知的所有方法來完成攻擊。換句話說，藍隊人員需要的是全面的攻防能力，而不僅僅是一兩項很強的黑客技術。

藍隊的工作與業界熟知的滲透測試也有所區別。滲透測試通常是指按照規范技術流程對目標系統進行安全性測試；而藍隊攻擊一般只限定攻擊范圍和攻擊時段，對具體的攻擊方法則沒有太多限制。滲透測試過程一般只要驗證漏洞的存在即可，而藍隊攻擊則要求實際獲取系統權限或系統數據。此外，滲透測試一般都會明確要求禁止使用社工手段（通過對人的誘導、欺騙等方法完成攻擊），而藍隊則可以在一定范圍內使用社工手段。

還有一點必須說明，雖然實戰攻防演練過程中通常不會嚴格限定藍隊的攻擊手法，但所有技術的使用、目標的達成都必須嚴格遵守國家相關的法律法規。

在演練中，藍隊通常會以3人為一個戰斗小組，1人為組長。組長通常是藍隊中綜合能力最強的，需要具備較強的組織意識、應變能力和豐富的實戰經驗。而2名組員則往往需要各有所長，具備邊界突破、橫向拓展（利用一臺受控設備攻擊其他相鄰設備）、情報搜集或武器研制等某一方面或幾方面的專長。

藍隊工作對人員的能力要求往往是綜合性的、全面的，藍隊人員不僅要會熟練使用各種黑客工具、分析工具，還要熟知目標系統及其安全配置，并具備一定的代碼開發能力，以便應對特殊問題。