红蓝攻防 构建实战化网络安全防御体系

作者经验丰富：奇安信安服团队曾多次参与国家、行业、企业等组织的攻防演练活动。 内容详实系统：针对蓝队如何防御突破、红队如何构建防御体系、紫队如何组织实战攻防，详细讲解了其中的流程、方法、手段策略和应具备的能力。 案例真实精彩：包含大量来自政企机构等的经典实战案例，展现了数十种不同的攻防演练策略。

这是一部从红队、蓝队、紫队视角全面讲解如何进行红蓝攻防实战演练的著作，是奇安信安服团队多年服务各类大型政企机构的经验总结。
本书全面讲解了蓝队视角的防御体系突破、红队视角的防御体系构建、紫队视角的实战攻防演练组织。系统介绍了红蓝攻防实战演练各方应掌握的流程、方法、手段、能力、策略，包含全面的技术细节和大量攻防实践案例。

奇安信安服团队是奇安信集团旗下为用户提供全周期安全保障服务的团队。奇安信安服团队以网络攻防技术为核心，聚焦威胁检测和响应，在云端安全大数据的支撑下，为用户提供咨询规划、威胁检测、攻防演习、应急响应、预警通告、安全运营等一系列实战化的服务。 奇安信安服团队在数据分析、攻击溯源、应急响应、重保演习等方面有丰富的实战经验，曾多次参与国内外知名APT事件的分析溯源工作，曾参与APEC会议、G20峰会、两会、纪念抗战胜利70周年阅兵、上合组织峰会等国家重大活动的网络安全保障工作，获得国家相关部门和广大政企单位的高度认可。 自2016年以来，奇安信安服团队平均每年参与处置各类网络安全应急响应事件近千起，救援部门的服务对象涵盖各个行业，处置事件包括服务器病毒告警、PC病毒告警、WebShell告警、木马告警、数据泄露等多种类型，为用户挽回经济损失数千万元。

前言
第一部分 红蓝对抗基础
第1章 认识红蓝紫
1.1 实战攻防演练
1.1.1 为什么要进行实战攻防演练
1.1.2 实战攻防演练的发展现状
1.2 蓝队
1.2.1 什么是蓝队
1.2.2 蓝队演变趋势
1.3 红队
1.3.1 什么是红队
1.3.2 红队演变趋势
1.4 紫队
1.4.1 什么是紫队
1.4.2 紫队演变趋势
1.5 实战攻防演练中暴露的薄弱环节
1.6 建立实战化的安全体系
第二部分 蓝队视角下的防御体系突破
第2章 蓝队攻击的4个阶段
2.1 准备工作
2.1.1 工具准备
2.1.2 专业技能储备
2.1.3 人才队伍储备
2.2 目标网情搜集
2.2.1 何为网情搜集
2.2.2 网情搜集的主要工作
2.2.3 网情搜集的途径
2.3 外网纵向突破
2.3.1 何为外网纵向突破
2.3.2 外网纵向突破的主要工作
2.3.3 外网纵向突破的途径
2.4 内网横向拓展
2.4.1 何为内网横向拓展
2.4.2 内网横向拓展的主要工作
2.4.3 内网横向拓展的途径
第3章 蓝队常用的攻击手段
3.1 漏洞利用
3.1.1 SQL注入漏洞
3.1.2 跨站漏洞
3.1.3 文件上传或下载漏洞
3.1.4 命令执行漏洞
3.1.5 敏感信息泄露漏洞
3.1.6 授权验证绕过漏洞
3.1.7 权限提升漏洞
3.2 口令爆破
3.2.1 弱口令
3.2.2 口令复用
3.3 钓鱼攻击
3.3.1 外网钓鱼
3.3.2 内网钓鱼
3.3.3 钓鱼应急措施
3.4 供应链攻击
3.4.1 网络或平台提供商
3.4.2 安全服务提供商
3.4.3 产品或应用提供商
3.5 VPN仿冒接入
3.6 隐蔽隧道外连
3.7 社会工程学攻击
3.8 近源攻击
第4章 蓝队攻击的推荐能力
4.1 实战化能力与传统能力的区别
4.2 实战化蓝队人才能力图谱
4.2.1 基础能力
4.2.2 进阶能力
4.2.3 高阶能力
第5章 蓝队经典攻击实例
5.1 正面突破：跨网段控制工控设备
5.2 浑水摸鱼：社工钓鱼，突破系统
5.3 偷梁换柱：冒充客户，突破边界
5.4 声东击西：混淆流量，躲避侦察
5.5 迂回曲折：供应链定点攻击
5.6 李代桃僵：旁路攻击，搞定目标
5.7 顺手牵羊：巧妙种马，实施控制
5.8 暗度陈仓：迂回渗透，取得突破
5.9 短兵相接：近源渗透，直入内网
第三部分 红队视角下的防御体系构建
第6章 红队防守的实施阶段
6.1 备战阶段：兵马未动，粮草先行
6.2 临战阶段：战前动员，鼓舞士气
6.3 实战阶段：全面监测，及时处置
6.4 总结阶段：全面复盘，总结经验
第7章 红队常用的防守策略
7.1 信息清理：互联网敏感信息
7.2 收缩战线：收敛互联网暴露面
7.3 纵深防御：立体防渗透
7.4 守护核心：找到关键点
7.5 协同作战：体系化支撑
7.6 主动防御：全方位监控
7.7 应急处突：完备的方案
7.8 溯源反制：人才是关键
第8章 红队常用的防护手段
8.1 防信息泄露
8.1.1 防文档信息泄露
8.1.2 防代码托管泄露
8.1.3 防历史漏洞泄露
8.1.4 防人员信息泄露
8.1.5 防其他信息泄露
8.2 防钓鱼
8.3 防供应链攻击
8.4 防物理攻击
8.5 防护架构加强
8.5.1 互联网暴露面收敛
8.5.2 网络侧防御
8.5.3 主机侧防御
8.5.4 Web侧防御
8.5.5 App客户端安全
第9章 红队常用的关键安全设备
9.1 边界防御设备
9.1.1 防火墙
9.1.2 入侵防御系统
9.1.3 Web应用防火墙
9.1.4 Web应用安全云防护系统
9.1.5 邮件威胁感知系统
9.2 安全检测设备
9.2.1 互联网资产发现系统
9.2.2 自动化渗透测试系统
9.2.3 开源组件检测系统
9.2.4 运维安全管理与审计系统（堡垒机）
9.3 流量监测设备
9.3.1 流量威胁感知系统
9.3.2 态势感知与安全运营平台
9.3.3 蜜罐系统
9.4 终端防护设备
9.4.1 终端安全响应系统
9.4.2 服务器安全管理系统
9.4.3 虚拟化安全管理系统
9.4.4 终端安全准入系统
9.4.5 终端安全管理系统
9.5 威胁情报系统
第10章 红队经典防守实例
10.1 严防死守零失陷：某金融单位防守实例
10.1.1 领导挂帅，高度重视
10.1.2 职责明确，全员参战
10.1.3 全面自查，管控风险
10.1.4 顽强作战，联防联控
10.2 厘清现状保核心：某集团公司防守实例
10.2.1 明确核心，总结经验
……