红蓝对抗演练总结,红蓝对抗演练总结报告

我国的红蓝军事对抗

当然不是。制定输赢那还有什么意思。红蓝军事对抗主要是训练我军在逼真的战场环境下的作战素质。红军指我解放军，蓝军也是由解放军扮演，但多是扮演西方国家的军队，特别是模仿他们的作战战术，作战风格，来训连红军，说白了就是模拟西方军队给红军练手的。蓝军部队可以临时编组，也可以专门抽调。我军就有专门的蓝军部队，从各种渠道搜集外军的技战术，加以逼真模仿，可以说给我们解放军提供一个良好的假想敌。

因此，如果按剧本直接指定输赢，还能起到训练效果吗？lz估计是CCTV7看多了都是红军胜利的播报，所以产生了这种误解。

网络安全攻防演练？

我觉得这是非常有必要的，因为我们现在的社会有太多的不安全了，所以有安全隐患意识是非常重要的。

1981年邓小平亲自拍板大军演，出兵11万耗资2500万，事后才知高明

1981年9月14日，河北省张家界以北的一片大平原上，出现了震撼人心的一幕：

排列好的炮车率先发动，向着远方的既定目标打出一发发炮弹，紧接着坦克部队顶着阵地上弥漫的硝烟出动。

坦克车后，一架架武装直升机有序升空，在天空更高的地方，轰炸机群、战斗机排成序列，也在向地面喷泄炮火。

机械部队出动后，步兵紧随其后，战士们冒着猛烈的炮火奋勇向前……

这是自新中国成立以来，中央军委组织的规模最大的一次军事演习，这次演习，部队共投入海陆空共11万兵力，总花费有2500万之多。

在这次演习之前，有人以花费太大为由反对，但邓小平同志却拍板定了下来，事后收到的效果，也证明了小平同志的高明和远见。

“华北大演习”，是在当时环境下一次展现中国实力的行动。

中国从改革开放以来，国内的政治经济都在飞速发展，但是外部环境仍然不容乐观。

上世纪70年代以来，前苏联这个超级大国就一直想与美国争夺世界霸主的地位，为了在争夺中取得优势地位，他们又不约而同地在全世界范围内“划分地盘”。

这一时期，虽然随着尼克松的访华，中美关系进入了难得的“蜜月期”，但也只是表面上的和睦。

另一方面，中苏关系此时也不断恶化，在边境地区甚至两国陈兵百万，这对中国来说，是一个不小的压力。

虽然中国不惧战争，但对于当时想要稳下来发展国内经济的中国来说，必须有一个合适的机会，来展示中国的军事实力，让美苏安分。

而在这个时候，进行一场声势浩大的军事演习，是体现中国军事实力的最好方法。

军事演习还有一个重要作用，就是检验军队的战斗力，看军队能不能适应当当下的作战要求。

适应当下的作战要求，也是在79年对越自卫反击战中暴露出来的问题。

自卫反击战虽然胜利了，但是解放军在这一战中，伤亡情况也很不乐观。

实战中暴露出来的，除了干部指挥能力弱、部队协同作战能力不强之外，基层官兵对于先进武器的使用，也有明显的不足。

用模拟实战的方式，让官兵在演习中得到锻炼，也是组织这次实战演习的目的。

1955年，1959年和1973年，解放军也先后组织过大规模的实战演习，只不过当时最大的一次只有5万人参加。

当时的实战演习也各有侧重点，而在内外环境已经发生变化的1981年，再进行一场有针对性的大演习，对于全军来说，也是一件有利的事情。

所以在中央军委举办的全军高级干部战略问题研究班，大家决定了要在华北地区组织一次大规模的演习，当时为了保密，中央军委把这次秘密会议叫做“801会议”。

在“801”会议召开之前，总参谋部针对当时的形势，提出“积极防御”的战略方针，这一方针也得到了聂荣臻、叶剑英和徐向前三位开国元帅的认可。

1980年9月30日，总参的杨得志、杨永和张震三位将军在向邓小平同志汇报时，将这一战略方针，还有三位老帅的意见一一向邓小平同志做了汇报。

邓小平同志不仅明确肯定了他们的观点，还当场表示，自己要在“801”会议上讲话。

在随后的讲话上，邓小平同志明确赞成“积极防御”这个方针，并表示我们要持续作战，叶剑英元帅也做了发言。

叶帅在发言中提出：在这个方针下，全军要抓好训练，特别是合成军队的作战训练。

为了落实“801”会议的精神，总参提出，可以组织一次较大规模的实兵演习，演习可以分成几个不同的方向，各有针对性。

当演习的方案上报到中央军委之后，时任中央军委主席的邓小平同志却拍板决定：要搞，就搞大的！

“801”会议决定了举行实兵演习后，就立即制定了演习的方案。

总参最初制定的演习方向有三个：在华北地区组织防御作战演习，在西北地区组织阵地防御战、运动战和游击战的“三战”演习。

在渤海湾一带，可以根据地理条件，组织防御登陆的演习。

经过大家的反复研究和讨论之后，总参最终决定，首先在华北地区进行军事演习，演习的主要方向为防御作战。

演习的具体地点就定在张家口以北的地区，由北京军区组织实施，因为这次演习是在“801”会议上提出的，所以演习代号为“802”。

总参决定出来之后，北京军区也迅速制定出了具体的演习方案，北京军区司令秦基伟作为演习负责人，在1981年2月底举行的军委办公会议上做了汇报。

会议原则上同意了北京军区对于演习方案的计划，但是也有一部分同志仍有顾虑，他们担心这么大规模的演习，会在国际上产生不良的影响。

而且北京军区这次制定的演习方案，在建国以来，是规模最大的一次，军委的同志也担心这会给财政造成压力。

所以会议上也有些同志提出：演习规模是不是可以小一些。

但是秦基伟贯彻“801”会议的精神，重申了大规模演习的重要意义，双方在会议上并没有达成一致。

会议的最终结果，是让总参和北京军区再讨论一下，准备大、中、小三个方案，最后再由军委审批。

最后制定的三个方案把演习规模分别定位方面军规模、集团军规模和师一级规模。

根据规模的不同，参与演习的兵员数量分别是10万人、5万人，最后师一级规模的只搞图上作业。

后两个规模小的方案是总参拟定的，第一个方案是北京军区拟定的，这个方案除了规模大、参与人数多之外，训练的科目也最全，一共有四个。

这四个训练科目分别是：模拟敌军坦克集群进攻、空降和反空降、阵地防御和反突击训练。

这三份演习方案制定出来后，就被统一报送到中央军委主席邓小平同志处，由他做最后的决定。

邓小平同志听完汇报之后表示，大规模的演习，我军很长时间没有搞过了，通过演习也可以鼓舞士气，要搞合成军，地上有，天上也要有，要搞，就搞大的！

邓小平同志还表示，大规模的演习，对于提高军队的实战水平是有好处的，所以就按照第一个方案搞一次，既然要做演习，就要收到训练军队的目的。

对于花费过大的事情，邓小平则大手一挥：钱还是要花的，节约一点儿就是！

除了实战训练，邓小平同志提出，阅兵式和分列式也很久没有搞了，这些可不是形式主义，这对部队的作风培养有重要的意义。

所以邓小平同志还特别提出，实战训练完之后，搞一次阅兵，把军队的威风摆出来给大家看一看。

邓小平拍板定下演习规模的事情之后，参与演习的部队都沸腾起来了，这么大规模的演习，是我军 历史 上前所未有的，能参与到这项工作中来，也让大家非常振奋。

随后演习的各项工作就有条不紊地进行起来。

在军委的批准下，全军成立了以总参谋长杨得志将军为组长的全军高级干部战役集训小组，演习导演部则由北京军区的参谋长周衣冰负责。

5月20日，总参对全军下发通知，将演习的参加人员、内容、时间等具体安排做出了详细规定。

演习的设想是以红蓝对抗的方式进行的，蓝方为假想敌，以突然袭击的方式发起全面进攻。

蓝方的攻击方式是，先使用核武器和远程航空部，对红方的纵深目标实施打击，然后再出动装甲车和坦克集群，夺取红方战略要地。

红方为防御方，代表中国，在发现蓝军大规模进攻后，迅速组织防御，掩护国家进入战时机制，粉碎蓝军的进攻。

详细方案制定好之后，各参演部队就投入到了军长的训练中。

由于演习训练时，正是夏季最热的时候，官兵们克服困难，白天在酷热的天气下摸爬滚打，晚上就住在简陋的帐篷中。

面对这样艰苦的环境，参与演习的官兵没有一个叫苦叫累的，大家都兴致高昂，只等“亮剑”的那一天。

1981年9月14日，演习正式开始。

随着号令响起，炮兵先发制人，炮弹像雨点一样，密集地投向预定的目标地点。

炮兵轰炸过后，地面上，红蓝双方上千辆坦克、装甲车展开对战，在空中，双方的武装直升机、战斗机也进行了一场激烈的空战。

在这样强大的阵势下，演习场地上硝烟弥漫，火光冲天，时不时有爆炸声响起。

红方步兵也不甘示弱，冒着猛烈的炮火向前冲锋，看着精彩的演习场面，观摩席上掌声不断。

在演习的过程中，邓小平同志也来了，他在观摩席上看完了演习的整个过程。

最后一天的演习中，红蓝双方展开激烈空战，蓝方飞机不断打击目标，红军也以火炮回击，看到紧要关头，邓小平同志也忍不住起身鼓掌。

当看到代表中国一方的红军在航空兵、炮兵的支援下，对蓝军实施“反突击”时，邓小平同志再一次高兴地站起身来，边鼓掌边夸赞“打得好”。

9月19日，对抗演习结束，参与演习的部队迅速整队，进行了阅兵式和分列式的汇演。

当天上午9点30分，装甲兵、工程兵等组成53个地面方队，以整齐又威武的步伐，走过检阅台。

航空兵组成6个空中梯队，也按照预定的队列，通过阅兵场上空接受检阅。

之后，邓小平同志在秦基伟的陪同下检阅部队，参与检阅的11万官兵排成整齐的队列，接受全军统帅的检阅。

阅兵仪式之后，邓小平同志发表总结讲话，称这次演习检验了部队建设的成果，不仅体现了现代战争的特点，又提高了部队的整体素质和实战水平，演习是非常成功的。

事后统计，这次演习除了出动的兵力是建国以来最多的一次之外，花费2500万元，比之前的预算少了很多，这也是切实贯彻了邓小平同志“该花就花，力求节约”的要求。

华北大军演，不仅对我军是一次锻炼，也让国际上看到了我军的整体实力，也收到了震慑外部力量，为我国发展经济赢得了和平安稳的环境的目的。

值得一提的是，就在我们准备华北军演的时候，前苏联也于1981年9月初，举行了一场声势浩大的军事演习。

前苏联的这次演习，也以红蓝对抗的方式进行。

在这次演习中，苏联投入的兵种有机械化部队、防化部队、中远程战略导弹部队和空军航空部部队，演习中的坦克数量，比当时中国全部的坦克数量还要多。

苏联的军事演习是以“北约”为假想敌进行的，但是在当时复杂敏感的形势下，对中国也有相当大的压力。

如果当时中国没有这次华北大演习，其他的不说，光声势就会被前苏联死死压制，那么国际环境上中国的处境也会变得相对艰难一些。

所以当时的“华北大军演”，对于中国来说意义重大，这无疑也体现了邓小平同志高瞻远瞩的领导才能。

某导弹团用彩旗迷惑侦察机 官兵：敌人会这样蠢吗

8月中旬，西北大漠狼烟四起，一场红蓝对抗演练正在进行，担负蓝方防空任务的北空导弹某团频频机动。

部队驻扎后，团政治处宣传股干事姜邹像往常一样，从车上卸下横幅和彩旗，却被团长秦宁喊停：“这次任务和往常不同，可不能暴露目标，彩旗横幅就不要插了！”

不远处，官兵们实施阵地伪装，让兵器阵地大变样：工具车变身为导弹发射车，运输车变成了制导雷达，生活车辆变成了主战兵器，要不仔细端详，还真瞧不出任何端倪。

“赶紧把那些花花绿绿的彩旗横幅装起来吧，可不能给敌人引路啊！”姜邹正看得入神，战士李川的话让他心里一惊。

“给敌人引路？何不反其道而行之呢？”姜邹心想，把彩旗横幅布设在假阵地上，岂不更好？他的想法得到了指挥员的认可。不一会儿，假阵地上彩旗飘飘，有模有样。

第二天，“敌”侦察机来了，从高空中看到蓝方一下子多出好几个阵地，还有横幅彩旗，立即犯了嘀咕：“到底哪个是真的？”第三天，该团移形换位，彩旗插在真阵地上，假阵地不插。第四天，真假阵地全插上了彩旗……几十面彩旗成了“迷魂阵”，让“敌机”真假莫辨。

这天，就在“敌机”迟疑瞬间，该团隐蔽在伪装网下的制导雷达迅即开机，快速将目标牢牢锁定，“发射！”“敌机”来不及反应就被击中。

“假作真时真亦假！”对抗演练阶段总结会上，该团运用彩旗隐真示假的事受到一些官兵称赞，但也引发更多官兵深思：“我们对抗演练的对手，毕竟还是自己的部队，这种低层次的误导式伪装可能会一时奏效。真要打起仗来，敌人会这样蠢吗？”

该团党委从中得到启示，这种简单的谋略范畴的隐真示假，在现代战争中很难取得真正的伪装效果，敌人不会这样轻易上钩，必须把谋略、技术和战术结合起来，才能收到隐真示假的实际效果。

别再“左手打右手”

看了这篇新闻，我们应当为该团官兵的清醒叫好！

确实，在现代战争中，这种类似古代战争以旗帜布疑兵的简单欺诈谋略，已经很难行得通。我们在对抗演练中之所以有时行得通，是因为我们与所谓“对手”本来就是一支军队，有相同的文化背景、相同的成长环境、相同的技术水平、相同的思维方式，我们的优点相同，缺点也类似。试想，用彩旗“隐真示假”是否能瞒过真正的对手？请问，我们是不是真正了解对方的侦察手段？真正的对手除了目视侦察，岂能没有更先进的侦察设备？

从某种程度上说，这也正是我们经常诟病的“左手打右手”对抗演练之弊。所谓“假作真时真亦假”的自我欣赏，归根结底是因为我们的对抗演练有时还很“假”。因此，我们千万不能一厢情愿想对手，更不能把“臭棋”当妙算，非常有必要经常像北空导弹某团官兵那样问一问自己—真打起仗来，敌人会这样蠢吗？

红蓝对抗之蓝队防守：ATT&CK框架的应用

文章来 源： HACK之道

企业大规模数字化转型的浪潮下，各类网络入侵事件频发、APT和黑客团伙活动猖獗，合规性驱动的传统安全防护建设已无法满足需求。近年来随着各级红蓝对抗行动的开展，企业安全建设正逐步向实战化转型，而MITRE（一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织）提出的ATTCK框架正是在这一过程中能够起到指导性作用的重要参考。

ATTCK框架在2019年的Gartner Security Risk Management Summit会上，被F-Secure评为十大关注热点。ATTCK是一套描述攻击者战术、技术和执行过程的共享知识库，能够关联已知的黑客组织、攻击工具、检测数据源和检测思路、缓解措施等内容。ATTCK能够全面覆盖洛克希德-马丁公司提出的Kill Chain内容，并在此基础上提供更细粒度的攻击技术矩阵和技术详情。ATTCK分为三个部分，分别是PRE-ATTCK，ATTCK for Enterprise和ATTCK for Mobile。其中，PRE-ATTCK包含的战术有优先级定义、选择目标、信息收集、脆弱性识别、攻击者开放性平台、建立和维护基础设施、人员的开发。ATTCK for Enterprise包括的战术有初始化访问、执行、持久化、权限提升、防御逃避、凭据访问、发现、横向移动、收集、命令与控制、数据外传、影响。这些基于APT组织及黑客团伙的披露信息进行分析梳理的详细信息能够有效指导实战化的红蓝对抗，目前已在多个领域得到较好的应用。

在红蓝对抗中，防守方都可以按照事前、事中、事后三个阶段进行应对，在ATTCK框架的指导下实现安全体系建立、运营和提升的闭环改进。

一、准备阶段

攻击面评估

攻击面指企业在遭受内、外部入侵时可能的起始突破点或中间跳板，包括但不限于：对外提供业务的Web系统、邮件系统、VPN系统，对内提供服务的OA系统、运维系统、开发环境，员工使用的各类账号、办公终端等。

企业的攻击面是广泛存在的，在企业内进行攻击面评估属于信息收集和脆弱性识别的过程，能够帮助企业在早期应对攻击者入侵活动。该过程映射到攻击链中属于“侦察”阶段。

由于攻防的不对称性，在红蓝对抗中防守方往往处于弱势，攻击方只需要单点突破即可，而防守方需要建立覆盖所有攻击面的纵深防御体系，很难做到万无一失。但在 信息收集阶段，是为数不多的防守方占优的阶段，主要原因包括：

1. 攻击方只能通过互联网公开信息（Google、社交网站、Github）或传统社工方式获取部分企业信息，而防守方能够获得完整的企业内部信息，包括网络架构、业务系统、资产信息、员工信息等等，掌握以上信息不但能够梳理潜在入侵点、发现防御中的薄弱环节，还能够结合诱骗或欺诈技术（Deception，如蜜罐），在攻击者能够获取到的信息中埋点，实现类似软件“动态污染”的检测和追踪效果。

2. 攻击面评估能够在特定阶段（如重保时期）通过采取更严格的管控措施降低入侵风险， 通过有限的代价获取最大攻击者入侵难度提升 ，具有很高的投资回报率。例如，获取VPN通道，相当于突破了企业传统的防护边界，直接获取内网漫游的权限。在特定情况下，通过增强VPN防护，能够大大缩减攻击者入侵成功的可能性。突破VPN主要有2种方式，利用VPN服务器本身的漏洞或通过合法VPN账号入侵。对于第一种方式，关注VPN厂商漏洞披露信息、做好补丁升级管理，能够有效减少大部分威胁；对于利用0day漏洞攻击VPN获取远程访问权限的场景，通过VPN自身日志审计的方式，关联VPN账号新建、变更及VPN服务器自身发起的访问内网的流量，也能够及时发现未知的漏洞攻击行为。对于第二种攻击VPN合法账号的入侵方式，增加VPN账号的口令复杂度要求、临时要求修改VPN账号口令并增加双因子验证（如绑定手机号短信验证），都可以在牺牲部分用户体验的情况下极大削减攻击者攻击成功的可能性。

ATTCK框架内所有攻击技术都有对应的攻击目的和执行攻击所需的环境、依赖，对其分解可以提取每项攻击技术适用的攻击对象，参照企业内的资产和服务，评估攻击面暴露情况和风险等级，能够帮助制定有效的攻击面缩减、消除或监控手段。例如，防守方需要在红蓝对抗前检查企业内部的共享目录、文件服务器、BYOD设备是否符合安全基线要求，是否存在敏感信息，并针对这些内容设定合规性要求和强制措施，以缩减该攻击面暴露情况。

综上，ATTCK框架可以帮助防守方了解攻击目标、提炼攻击面并制定攻击面缩减手段，同时也能够通过攻击面评估为后续增强威胁感知能力、总结防御差距、制定改进方案提供参考标准。

威胁感知体系建立

传统的安全防护和管控措施存在的主要问题在于没有全景威胁感知的体系，无法及时有效地监测威胁事件、安全风险和入侵过程。威胁感知体系的建立，可以有效地把孤立的安全防御和安全审计手段串联起来，形成完整的企业安全态势，为防守方实现实时威胁监控、安全分析、响应处置提供基础。建立威胁感知体系主要包括以下准备工作：

1.数据源梳理： 数据是实现安全可见性的基础元素，缺少多维度和高质量的数据会严重影响监控覆盖面；同时，很多企业会为了满足网络安全法、等保标准等法律和标准要求存储大量设备、系统和业务日志数据。因此，在数据源的规划、管理上，由威胁驱动的数据源需求和由合规驱动的日志数据留存，存在匹配度低、使用率低、有效性低的诸多问题，需要防守方加以解决。

* We can’t detect what we can’t see.

在进行数据源规划时，需根据企业实际存在的攻击面、威胁场景和风险情况进行设计。例如：针对员工邮箱账号可能会遭受攻击者暴力破解、泄露社工库撞库的风险，需要采集哪些数据？首先需要考虑企业实际的邮件系统情况，比如使用自建的Exchange邮件服务，需要采集的数据包括：Exchange邮件追踪日志、IIS中间件日志、SMTP/POP3/IMAP等邮件协议日志。其次还需要具体考虑攻击者是通过OWA访问页面爆破？还是通过邮件协议认证爆破？还是通过Webmail或客户端接口撞库？不同的企业开放的邮箱访问方式不同，暴露的攻击面和遭受的攻击方法也有所区别，需要根据实情梳理所需的数据源。

在数据源梳理上，由于涉及到的威胁类型、攻击方法众多，考虑周全很困难，可以通过参考ATTCK框架选取企业相关的攻击技术，统计所需的数据源类型，并梳理数据源采集、接入优先级。关于数据源优先级筛选，2019年MITRE ATTCKcon 2.0会议上Red Canary发布的议题：Prioritizing Data Sources for Minimum Viable Detection 根据总体数据源使用的频率做了Top 10排序，如下图所示：

该统计结果并未考虑企业实际攻击面范围、数据源获取的难易程度等，不应生搬硬套照抄。但在大部分情况下可以考虑先构建包括网络镜像流量、终端行为审计日志、关键应用服务日志在内的基础数据源的采集规划，再通过实际的检测效果增强补充。

2. 检测规则开发：大数据智能安全平台（或参考Gartner所提的Modern SIEM架构）已逐步取代传统的SIEM产品，成为企业威胁感知体系的核心大脑。传统的攻击检测方法大多是基于特征签名（Signature），采用IOC碰撞的方式执行，在实际攻防对抗过程中存在告警噪音过多、漏报严重、外部情报数据和特征库更新不及时等问题，且在防守方看来无法做到检测效果的衡量和能力评估。因此，新的检测理念需要从行为和动机出发，针对攻击者可能执行的操作完善审计和监控机制，再采用大数据关联分析的方式去识别攻击活动。

ATTCK框架在这里就起到了非常重要的参考作用，框架中的每项攻击技术，知识库都描述了相应的检测手段和过程，以T1110暴力破解为例，其Detection描述如下图所示。

虽然没有抽象出具体检测方法、检测规则，但提炼出了需要监控的设备以及能够提炼攻击痕迹的日志。参考这部分描述，防守方能高效的通过相关资料收集、内部攻击技术模拟、特征提炼等方式完成检测方法和检测规则的开发、部署、测试。此外，高级持续性威胁（APT）使用了较多的白利用技术，无法有效区分攻击者和普通工作人员。但通过开发检测规则对数据源进行过滤提炼，打上技术标签，后续再综合所有异常行为能够发现此类攻击活动。这样再与传统的检测方法结合，就提供了更加有效的补充手段。

综上，威胁感知体系的建立，需要通过数据源梳理和检测规则开发来完成基础准备工作，ATTCK框架可以帮助防守方快速了解所需数据源、并协助开发对应的检测规则，使防守方脱离安全可见性盲区，实现安全防护能力的可量化、可改进。

内部模拟对抗

为摸清目前网络安全防御能力并找出薄弱点，部分企业会进行内部红蓝对抗模拟演练，ATTCK知识库在模拟红队攻击、组织内部对抗预演上具有非常高的参考价值。

1.红队技术指导：ATTCK框架包含了266种攻击技术描述，模拟红队可以借鉴其中部分技术进行特定战术目的的专项测试或综合场景测试。在开展内网信息收集专项测试时，可以通过参考并复现“发现”、“收集”战术目的下的攻击技术，对内网暴露的攻击面逐一测试；在开展模拟场景演练时，可以挑选不同的战术目的制定模拟攻击流程，从矩阵中选择相关技术实施。以典型的红队钓鱼攻击场景为例，攻击技术链包括：钓鱼 - hta执行 - 服务驻留 - 凭证获取 - 远程系统发现 - 管理员共享，如下图红色链路所示。

2. 蓝队效果评估：内部模拟对抗是企业防守方检查实际威胁感知能力的最佳手段，对蓝队来说具有查漏补缺的效果。攻击行为是否被记录、检测规则是否有效、有无绕过或误报、攻击面梳理是否遗漏、威胁场景是否考虑充分等很多问题只有在实际测试中才会暴露。同时，防守方也可以通过模拟演练提炼极端情况下的缓解预案，包括：临时增加防御拦截措施、增加业务访问管控要求、加强人员安全意识教育和基线管理等。

综上，内部模拟是红蓝对抗实战阶段验证所有准备工作有效性的手段，作为大考前的模拟考，对防守方具有很大的查漏补缺、优化完善的作用，而ATTCK框架在这个阶段，对模拟红队攻击、协助蓝队查找问题都起到了参考作用。

二、开展阶段

准备过程越充分，在实际红蓝对抗行动开展阶段对防守方来说就越轻松。经过验证的威胁感知体系在这里将起到主导作用。

资产风险监控

除了封堵、上报潜在的红队攻击IP外，对于已突破边界防护进入内网漫游阶段的攻击者，基于ATTCK框架能够有效识别资产（终端/服务器）风险，发现疑似被攻陷的内网主机。

通过为每个资产创建独立的ATTCK主机威胁分布矩阵图，汇聚该主机上近期被检测到的所有攻击技术活动，然后根据该矩阵图上所标注的攻击技术的分布特征训练异常模型，监控主机是否失陷。异常模型从以下三个维度识别攻击：

1.攻击技术分布异常：多个战术下发生攻击、某个战术下发生多个不同攻击等。

2. 攻击技术数量异常：主机上检测到大量攻击技术，与基线对比偏差很大。

3. 特定高置信度失陷指标：主机上触发了高置信度规则检测到的高风险告警（传统的Trigger机制）。

以下图为例，主机短时间内触发一系列“发现”战术下的攻击技术，这在日常运维中是较为少见的，与该主机或同类型主机基线对比偏差非常大。在受害主机被控制后可能会执行大量此类操作，故该机器风险很高，判定为失陷/高危资产。

可疑进程判定与溯源

根据采集的终端行为日志（包括：进程活动、注册表活动、文件活动和网络活动），可以通过唯一进程ID（GUID）进行父子进程关联操作。当发现可疑进程活动时，能够回溯该进程的进程树，向上直到系统初始调用进程，向下包含所有子进程，并且为进程树中所有可疑进程添加ATTCK攻击技术标签，如网络请求、域名请求、文件释放等丰富化信息，帮助防守方的安全分析人员判断该进程是否可疑并及时采取处置措施。

以下图为例，发现可疑进程wscript.exe后溯源其进程树，其中标记了感叹号的子进程为命中了ATTCK攻击技术的进程，无感叹号的子进程也属于该可疑进程树下，有可能是攻击者利用的正常系统进程或规避了检测规则导致未检出的进程。通过该进程树展示的信息，可以直观发现wscript进程及其派生的powershell进程存在大量可疑行为，这些进程信息也为后续联动终端防护软件处置或人工上机排查处置提供了充足的信息。

应急响应对接

在发现失陷资产、溯源到可疑进程后可导出其进程树上的进程实体路径、进程命令行、进程创建文件、进程网络连接等信息提交给应急响应组进行清除工作。应急响应组通过以上信息可以快速在主机上处置并开展入侵路径分析，通过回溯攻击者入侵植入木马的手段，进一步排查是否存在数据缺失、规则缺失导致的攻击漏报；并通过关联所有具有相似行为的终端，确认是否存在其他未知失陷资产。

以上基于ATTCK框架建立的资产风险监控和可疑进程判定方法，能够有效地在红蓝对抗过程中及时发现攻击者攻击成功的痕迹，并为溯源和应急响应处置提供数据支撑。而这些都脱离不了以威胁感知体系为核心的蓝队建设思路，更多与ATTCK框架适配的应用方法也会在后续不断丰富、增强。

三、复盘阶段

防御效果评估

在红蓝对抗结束复盘阶段，防守方对防御效果的评估是非常重要的环节。具体包括以下内容：

安全设备漏报分析：结合攻击方提供的报告，把各个攻击类型归属到相应的安全检测设备，查看相关设备的告警与报告中的攻击过程是否匹配，分析当前安全设备检测能力，较低检出率的设备需要后续协调厂商优化、更新规则等，以加强完善。

规则误报调优：在红蓝对抗开展阶段，为了确保对攻击方攻击过程的全面覆盖检测，通常会采用限制条件较宽松的规则检测模式，以防漏报对防守方造成的失分影响。例如，对暴力破解场景，触发告警的连续登录失败请求阈值可能设定的较低；对Webshell植入场景，可能对所有尝试上传动态脚本文件的行为都做监控或拦截，以防攻击者通过一些编码、混淆的方式绕过特征检测等。这些限制条件宽松的检测规则，在红蓝对抗过程中能够尽量减少攻击漏报，具有比较好的效果；但同时，由于限制不严导致的告警噪音也会随之增加。在红蓝对抗结束复盘过程中，需要对产生误报的数据和误报原因进行统计分析，完善检测规则逻辑、边界条件限制，配置适当的白名单过滤，为后续能够日常运营提供更具备可操作性和更实用的威胁检测规则。

攻击面再评估和数据可见性分析：在红蓝对抗准备和红蓝对抗开展阶段，防守方和攻击方分别进行了攻击面评估、攻击目标信息收集的工作，因此在复盘阶段可以通过对比双方掌握的攻击面信息和攻击目标的选择，来挖掘是否存在先前遗漏的边缘资产、未知攻击面，通过攻方视角查漏补缺。同时对遗漏的攻击面可以做相关的数据源需求分析，补充缺失的数据可见性和威胁感知能力。

防御差距评估与改进：针对红蓝对抗中发现的薄弱环节，防守方可以提炼改进目标、指导后续的安全建设工作。由于不同企业存在的攻击面差异性较大，重点关注的核心资产、靶标也有所差别，在准备过程中可能根据优先级选择了比较关键的几个领域优先开展，而通过红蓝对抗发现的其他薄弱环节，为后续开展哪些方向的工作提供了参考。例如，重点加强生产环境安全防护的，可能忽略了员工安全意识培训，导致被攻击者钓鱼的方式突破入侵；重点关注网站安全的，可能忽略了服务器存在其他暴露在外的端口或服务，被攻击者通过探测发现，利用已知漏洞或0day漏洞控制服务器绕过。结合ATTCK框架补充对应的数据源和攻击技术检测手段，可以快速补足这方面的遗漏。

防御效果评估是红蓝对抗复盘阶段重要的总结过程，也为后续持续优化改进提供参考。在这里ATTCK框架起到的作用主要是统一攻防双方语言，将每一个攻击事件拆分成双方都可理解的技术和过程，为红蓝对抗走向红蓝合作提供可能。

朱日和蓝军为何打出32胜1负？

有着“草原狼”之称的中国第一蓝军旅，组建6年以来，以32胜1负战绩，在实战化演练中，一度把参演红军虐得“想哭都哭不出来”，甚至有红军喊出“踏平朱日和 活捉满广志”的口号。

为什么他们能被称为“草原狼”?“踏平朱日和，活捉满广志!”是否有可能实现?在这一轮军改后，该旅又发生了哪些变化?

近日，“朱日和之狼”的三匹“狼王”——中国第一蓝军旅旅长满广志、政委周勋、参谋长陈军接受记者专访，在访谈中，满广志直言：不反对“活捉我”，这也说明蓝军旅存在有价值。

“你好我好大家好”蓝军就没有存在价值

记者：每次实战化演习，红军都被“虐”得没脾气，为什么蓝军总能赢?

满广志：蓝军旅取得目前的成绩主要基于几个方面：第一，我们确实有地形优势，对朱日和很熟悉。没去过朱日和的人可能体验不到那种空旷，走到草原深处，很容易找不着北。

第二，红蓝对抗的实战演习中，用的武器主要是激光交战系统。作为专业蓝军，我们从班组战术到营战术，一直都在用激光系统训练，久而久之就非常熟练。但有的红军部队在营区没这个系统，使用时间短，相对不那么熟练。

第三，我们有导向优势，实战化对抗演习主要目的是让红军暴露问题，让红军在实战化危局、险局、难局中得到锤炼，演习规则设置对红军更为苛刻一些，其实就是导演部带着蓝军与红军过招、喂招。

我们还有训练优势，每年十多次在这么大规模的场地上进行实兵对抗演习;另外蓝军还是“东道主”，是等待红军劳师远征。有的红军部队武装十公里奔袭，到了朱日和，人有时都感觉是“飘着”的。

周勋：红军部队如果都是敲锣打鼓喜气洋洋地过来，你好我好大家好，我们这支部队就没有在大漠戈壁存在的价值。所以说“红军要过硬，蓝军必凶狠”。

跟其他部队不同的是，这支蓝军部队更“灵活”。基层指挥员自主性更强，平日训练都不用上级领导机关“盯摊”，官兵们时常为作战方案“争”得面红耳赤。

战前大家激烈讨论，战后复盘也是一样，从单兵到单装、班排、营旅，从战损大小、地形利用和典型行动是否演到位都会进行讨论。长期的训练磨砺，让大家自信满满地投入“战斗”。

网上对抗和纸上谈兵出不了执行力

记者：有人说蓝军是因为熟悉地形才连连获胜?

周勋：未来在战场上，我们会跟各种对手较量碰撞，特别是有些军队经营战场可能几十年，甚至一道沟一道坎一个山梁子都很熟悉，但这并不代表红军就不能打仗了，蓝军存在的价值并不是要把红军打败，而是为了更好磨练红军。

这几年下来发现红军一场比一场打得好，从指挥员实战观念、摆兵布阵、部队行动、敌情意识、战场保障，如今战损率越来越低，部队越打越精了。

陈军：好的训练场地，是战斗力生成的有力保障。可能有人会说我们对场地熟，这是一个因素。

只有在实地环境展开，部队才能真正得到历练，部队的指挥控制能力是靠实战化训练磨砺出来的，网上对抗和纸上谈兵出不了执行力。

蓝军旅组建以来即是军队改革的试验田

记者：这一轮军改中，蓝军旅发生了哪些变化?

周勋：从编制体制调整优化、从大城市移防到偏远地区，蓝军旅是随着军队改革步伐而组建，我们也是最早一批改革探路人。

这一轮军改后，大家在振奋的同时也面临更大压力。2016年至2017年我们继续担负当时总部赋予的跨越系列演习任务，这两年的演习强度、难度、险度比往年都要大。因此连续几年的跨越演习，红军从对我们的陌生，到如今已把蓝军的套路摸得很透，包括满广志的性格，指挥弱点、部队行动特点，大家都摸得很清楚。

2016年训练重点结合体制调整改革基础，在如何优化用兵、如何提高各级指挥顺畅性和协调性做了一些文章。2017年4月部队跑步行进中进入演习状态，重塑成合成旅，从其他兄弟单位分流了1000多名官兵过来，还进行沙场阅兵等重大任务。

记者：军改后如何从专业化蓝军旅向合成旅转型?

陈军：作为中国第一蓝军旅，我们要应对世界军事潮流变化不断发展，不断跟踪研究理论、编制、战力等方面的变化，决不能把我们过去的成绩变成停下脚步的资本。

伴随着改革深入，实战化标准提高，专业化模拟蓝军将成为一种普及态势。作为起航和引领专业化蓝军发展的部队，我们对此负有责任和义务。在启动和引领蓝军部队建设上，我们要立标杆，搞指导，带标准，让正在建立和逐步成长的其他蓝军部队，从一开始就进入状态。

在执行作战任务和蓝军任务的标准上，不能有偏颇。现在整个陆军部队模拟蓝军训练大纲准备颁行。未来大型检验性演习，无论是谁，只要通过资格考核，经相关部门批准，都可以来朱日和验一验。

记者：从训练角度说，你感受到了怎样的变化?

陈军：部队职能转型建设是大势所趋。我们要将过去的步兵旅变成合成旅，模块化发展，给部队战备配套标准和组训模式方法、检验战斗力生成规定带来系列变化。

这一轮改革中，我们从专业化模拟蓝军转型为红蓝兼备的部队，这更有利于“知己知彼”。改革要求我们在研究战斗力形成的规律和方法当中“两条腿走路”，从改变训练方法、提高训练效率等方面入手，进一步加强训练保障、器材保障、装备保障体系建设，完善人才机制。

“蓝军旅不看重胜负，内部很少提成绩”

记者：如果有一天让蓝军旅去到陌生环境搞对抗，你们还能那么自信吗?

满广志：我们有这种渴望，但前提不是为了证明我们自己。

事实上，蓝军旅部队也需要陌生环境来检验能力水平，将来拭目以待。

我个人非常希望到其他场地搞个对抗，从内心深处，我们并没有把到其他场地的输赢看得有多重，到一个不占据各种优势的地方，换个角色，对部队整体作战能力、实战意识，将有很大促进。我们需要这种历练，不能关起门来、自我感觉良好。

我们的目标是既要完成模拟蓝军任务，也要像其他红军部队一样具备各项能力。如果某一天换一支蓝军部队过来，我们也想和他们过过招，也希望能在朱日和或其他地方，蓝军旅作为新的红军部队，去打赢蓝军。

周勋：打仗地形是一个重要条件，但地形并不是决定因素，人才是决定因素。你在地图和信息获取手段上能把地形准确判断出来，并合理利用，那就掌握了地形，不用非得在朱日和才行。在朱日和成“狼”，在其他地方我们同样是“狼”，我们长年累月训练下来，已具备狼性，我对我的士兵和指挥员有信心，不管在什么场地，我们照样能打出我们的成绩。

记者：你们怎么看待“32胜1负”的战绩?

周勋：演习是最贴近实战的训练，但绝对不是真正的战场，所以这个成绩并不代表蓝军旅一定“能打仗打胜仗”。战场有很多瞬息万变的情况，需要经过血与火的检验，我们还任重道远。

“踏平朱日和，活捉满广志!”，作为战斗口号叫响没有问题，但关键的目的是，大家在未来信息化战场上能够担负起军人的使命。

蓝军旅并不看重胜负，我们内部很少提成绩，在每一场演习后我们都会从指挥官指挥、分队行动、装备保障、后勤供给、与支援配属部队部队配合等环节挨个找问题，一个个解决，在下一场演习尽量避免，。

记者：有没有想过蓝军旅某一天如果被打败了，会怎样?

周勋：当然是高兴，我们盼望着这一天，但决不会手软。

来到朱日和，就是进战场，我们不会通过放水，给任何对手降低条件。

蓝军分队越多对蓝军旅也是一种鞭策

记者：未来陆军蓝军分队越来越多，会担忧被取代吗?

满广志：现在好多蓝军分队会邀请我们去跟他们交流试点经验，在这基础上，我们不是独此一家、没有垄断地位，压力也会更大，会逼着我们更上一层楼，让我们走得更快更好。

希望下一步全军模拟蓝军部队建设中，继续发挥专业蓝军优势，先行试点的优势，继续走在模拟蓝军建设的前列，继续发挥示范作用。

周勋：各种蓝军分队出现对我们也是一种促进和鞭策。

我们都是中国人民解放军，如果被替代那是我们能力不够。按理说，我们有解决问题的能力，有多种 人才集聚，还有全军最好的训练场，以及官兵对打赢实战化演练的坚定自信。

记者：作为全中国最具战场氛围的地方，如何确保一直领先?

周勋：作为全军实战化训练的试验田和风向标，朱日和不唱赞歌，这里打破了“红军是块铁，蓝军豆腐渣”的传统演练程试化，如今我们是实战化训练的“磨刀石”和陪练。

要想红军过硬，更需“磨刀石”自身硬。同时，“磨刀石”部队不仅要“磨刀”，还要当“刀”，成为打赢制胜的尖刀，我们研究敌军，就比红军部队先行一步，我们要保持蓝军方面的强项，弥补自身训练的弱项。

记者：演习当中如何运用高科技装备来对抗红军，武器装备换代进展到什么程度?

周勋：从主战武器来讲，2016年我们开始整体换装，从一代装备过渡到三代初装备，在演练过程中，我们还得到一些战略支援部队的支援，例如电子战分队、心理作战分队;此外还有无人机分队、陆航部队的配属，这几年空地协同越来越精准。陆军要真正实现战斗力更新换代，确实要长翅膀飞起来，耳目也要亮起来。

记者：第一蓝军旅为全军实战化建设做出哪些贡献?

满广志：在上级赋予我们任务和给予支持的前提下，蓝军旅为陆军实战化训练提供了一个参照和对手，可以形象比喻为“黑鱼”的角色。通过实兵对抗暴露战斗力建设中存在的问题，强化实战化意识，检验实战化水平，提高实战化能力。

现在大家有个误区，把红蓝对抗的输赢看得很重，实际上从跨越演习开始就强调要重过程不重结果。从参演部队双方来看，更多看你为红军部队提高实战能力做多少贡献，提供了多少帮助，慢慢淡化输赢，让红军部队的主要心思放在发现问题上。

对抗中的“违规”若在模糊区皆可利用

记者：30多场对抗蓝军旅基本都赢了，有红军部队说你们“违规”，你承认这种说法吗?

满广志：从领导层来讲，我们没有违规的主动意识，我们没把输赢放在首位，我们只是“磨刀石”和陪练员。

所谓的“违规”可能是存在一个模糊区，红军可以这样做，蓝军也可以这么做，“法无禁止即可为”，我们都可以利用它。如果在使用过程中导演部觉得不允许，那就改规则，实战化演练也在推动着规则的不断完善。毕竟前期设计中，不可能把所有问题都考虑到。对于灰色区域，基层官兵往往感到既然没有禁止，就可以做。

当然也不能完全排除个别人故意违规，这方面我们一经发现就会严肃处理。但不能因为百分之一的不纯粹，否定百分之九十九的效果。

记者：有对红军“心软”过吗?

满广志：让红军感受到刻骨铭心的挫败感，既是蓝军旅的任务和职责，也是导演部对我们的预期，更是强军必由之路。

所以心态要调整好。我们的着眼点是在检验能力、暴露问题上，如果到朱日和非要打赢不可、不打赢不回去，这就不对。这种演练也能彰显出军人的血性，从失败挫折中知耻而后勇，更好地改进问题，提高自己能力。

我也当过红军，也打过败仗，曾经也败得很惨，那种感觉是刻骨铭心的，更能被逼着去反思和琢磨。

记者：有没有想过自己某一天会被“活捉”?

满广志：(笑)大家说的“活捉”更多是一种口号，体现一种决心意志和敢打必胜的追求。

我们也是红军部队，只是扮演着蓝军角色。从内心来讲，我也非常渴望红军能尽快打败我们蓝军旅，至于活捉我，我也不反对，恰恰说明我们蓝军旅的阶段性使命任务已经完成。如果在实战对抗中，每个部队都能打败我们，说明这个阶段蓝军旅的使命任务已经完成了。

记者：你有什么个人爱好吗?

满广志：我平常有时间喜欢看书，很少看电视，有时会用手机翻翻一些资讯新闻。

记者：看到那些有关你的新闻报道，有什么感受?

满广志：(大笑)战友帮我搜过，我自己也搜过。看到那些文章，我其实很诧异，不能把一个人的作用捧得太高，还是要低调做人，高调做事。你们关注我，更多的也是在关注我们部队，也是在助推军队和国防建设。