多维视角下的实战攻防演习纪实 3

本章为该系列的第三篇，非常简要的介绍公司级的统筹布局及支撑其高效运转的策略、组织和资源。继上篇《关于对演习的期望》后，将看到从上至下的打破部门常规职责，在面对公司重大网络安保活动时全司攻防资源的大调度。此外由于多维视角下看到的内容太多，还是保持以“产品安全保障”为主线，把相关统筹规划和资源调度串起来，并在与产品相关的部分稍加浓墨重彩。

公司层面统筹布局

01

—

最高领导部署

大型实战攻防演习，就是一次重大的商机，通过提供红队服务、产品试用、威胁情报、主防协防等方式，每年都会带来不少订单。所以每年的保障，都是由专项办公室牵头，先是到EMT上汇报，找老板拍板各项目标，再组织相关部门成立公司级项目团队。

02

—

组织架构设计

大型网络安全保障活动的有序开展，背后需要强大且坚固的支撑组织。在这次演习中除了专项办公室，最主要的是公司指挥体系、决策领导小组及产品指挥组等十余个二级工作组，各部门围绕指挥体系各司其职、协同作战。

2.1 公司指挥体系

指挥体系打通老板到一线甚至客户侧，几乎把公司所有攻防相关的资源都投入其中。在安全公司，要是没有直接或间接参与进来，那至少能推测出不是安全序列人员。可想而知，是一场极其重要的战役。

指挥体系下设指挥值班中心，届时所有的情报与演习相关信息都汇聚于此，客户侧安全产品的问题、客户侧的攻防情报等达到指挥中心，将会通过相关团队分析研判、联动大后方各团队给出处置建议，最终再转回到前场客户侧或社会面。

2.2 产品安全分工

产品安全隶属于产品指挥组下的组织，负责处置安全产品的所有安全相关问题。但在此之前或常态化时，主要涉及产品线、SDLC（开发安全团队）和PSIRT（产品安全应急响应小组）：

• 产品线：负责提供产品代码仓库、测试环境、架构讲解、漏洞修复、编写加固手册、输出产品公告等工作；
• SDLC：负责采用黑白灰盒等方式进行漏洞挖掘并推进产品线修复、产品交付文档安全审计、互联网产品控制台暴露面信息探测、产品漏洞情报监测等漏洞相关工作；
• PSIRT：负责安全事件的应急处置（包括对外公关、舆情处理）、对外发布公告审核、客户侧漏洞闭环等产品安全事件相关工作，其中漏洞分析相关人员与SDLC中复用。

03

—

资源分配调度

一般也只有在演习前后，公司内部职能才不会分得那么清晰。具备攻防能力的部门和同事，将会加入这场大作战，不过也可以分为搞攻击的和做防守的。（by the way，要想把防守做好，就必须要懂攻击，并且防好的难度要高于攻击。）

3.1 漏洞挖掘

攻击队届时需要上战场去主动出击，另外也需要将挖掘漏洞的实力提前发挥出来。一方面是做一些通用型软件的0day储备，另一方面就是要承担起公司安全产品自身漏洞挖掘的职责。所以，在这时网络安全部将迎来公司的核心力量支援，对隐藏较深难以发现或查漏补缺式地挖掘高可用漏洞，力争在短时间内进一步提升产品的自身安全性。

3.2 蓝队资源

攻击方面是其他部门输入到网络安全部，轮到防守时，网络安全部也会输出防护团队和运营团队的同学，加入安服大军走到客户侧，为客户坚守阵地。这往往也是公司所需要的，平时大家都待在内部专心做安全，在战时扎身到一线也是一种锤炼：扩大视野、检验实力与增加体验。

未完待续，下期再见~