那接下来的话我们再来看最后要干什么。那总结阶段其实做的东西就很简单,是不是?那就是我们各种的报告,我们要去做报告的一个梳理,编写梳理, ok那我们要要去做什么?内部的这个防护,防守这个方案的一个优化等等,团队的优化等等。那最终我们才能得到一个结果,那重点还是一个报告的一个梳理,就整个过程中你说了解到的。在这一次比方说这是两周或者三周,因为一般攻防演练的话,当然从一周两周三周都有就是它的周期,通常是这样子的。
然后整个过程中你作为参与者,你整个团队,你们的日报,你的报告,你溯源分析出来的这些东西你全部要梳理,然后去提交,大概是这样子的。Ok,所以我们来做一个大的总结,就是攻防演练绝对不仅仅是说,而你就在那里盯设备,做一个工具人就完事了,不是这样子的,攻防演练它有前期的大的一个备战阶段,它有这个中期的这一个攻防演练的一个决战阶段,它有第三的总结的阶段。
然后其实大家会发觉一点是什么?就是整个攻防演练过程中,大部分的工作其实是在前期要去做的,为什么?因为你只有前期做好了准备,你中间才不会被打穿,你要是前期连你的资产都没梳理,你有多少台服务器,你有多少IP,你有多少域名子域名,你有多少资产你都不知道,那你肯定会被人打穿了,是不是?因为对方做情报收集,他调研的也就是这些东西,那接下来你对你的资产,你调完之后能不能对它进行加固,是吧?加固里面所涉及到的漏洞、弱口令、基线,你能不能快速的去解决掉?
然后的话再接着用不用多采购一些安全产品,如果已经采购的话,用不用做安全的策略的调优?然后第四阶段,那既然你觉得你已经做的好像差不多了,是不是?那你用不用做一个内部的红蓝演练?找人帮你做一下安全评估,找外面的人来给你做一个渗透的测试。好,那1234搞定了之后,甚至如果还有预算的话,可以再去做一个内部的一个培训,安全意识的培训,内部的战术,这个战术的这种分享。
然后这些东西搞完之后,我们真正进入攻防演练期间,我们要去做,那就第六,这个现场的值守威胁情报的这种了解,然后各种事件的这种研判,然后去应急的处置,然后最后要做什么?溯源的分析与溯源的反制,你才能拿到分数,是不是?然后最后总结阶段那就是写写报告,然后优化你的整个应急响应的团队,优化你内部的一个方案。
好,这个就是整一个攻防演练过程中,我们作为蓝队,我们作为参与方,我们做安全运维,安全运营人员90%以上的人,现在都在干这个活,所以你要知道你在不同阶段你的重心应该在处理哪些?好的,那本期节目我们就到这里,关于攻防演练工作事情大家如果还有其他想听的一些话题,也可以在留言,那后面我再以这种方式给大家快速的去做好分享。