一、攻击队（蓝队）分类

• 军火商级：掌握0day漏洞、具备编写工具的能力。甚至有vpn的漏洞。攻击特点：直接攻击，如导弹、大炮一般，攻击猛烈，效果极强。
• 间谍级：长期APT钓鲸攻击，打入红队内部，通过木马控制重要用户终端，从而控制目标服务器。与系统管理员同工同息，极难被发现。
• 摊贩级：使用攻击工具，利用已有漏洞进行攻击，打击效果一般。

二、攻防队伍对比

600人组成的蓝方，红方需12万人参与防御。

• 得分标准：
• 蓝队：获取权限、穿透网络隔离、发现被控线索。
• 红队：发现木马、钓鱼邮件、溯源、应急处置。

三、红方攻略

• 收敛攻击面
• 漏洞补丁修补
• 建立纵深防御体系
• 安全设备冗余、多重已构
• 部署高交互蜜罐
• 回溯分析

四、重点防御

• APT攻击
• 零日漏洞
• 违规外联

五、体现的问题

弱密码，密码复用。
VPN，邮箱系统0day漏洞。
域控、堡垒机、云平台、杀毒后台。
主机普遍零防御。
非法外联。
第三方接入。
供应链安全。
手机app安全。

六、防御措施

DMZ区防护：白名单防0day。
隔离
集权类设备：关键人识别APT攻击。
威胁情报共享、集体防御。
非法外联监控。