攻防演练实战派|战后总结“三重境”，系统防御常态化！

攻防演练结束了紧张的实战，是不是该迎来胜利和凯旋呢？

非也，“战后总结”其实是国家级攻防演练的重要环节，因为攻防演练的终极目标是发掘自身防御优势及短板，找到防御系统问题，在日常工作中加以完善和加强，从而建立真正能够持续保障关键信息基础设施安全的网络安全防御系统。

战后总结第一步，通过对系统防守的成败，来看防护系统构成：

系统防守成功，且有引诱捕获攻击者，编写完整防守报告，主动上报组织方专家审核的加分，获得超前排名，确实可喜可贺。同时需要我们进行成功经验的分析总结，首先明确是哪些防御手段起到了切实的作用，从而找到自身的优势；其次对作为优势的系统防御手段进行持续化运营和加固；最后，将攻防演练的战略固化为系统防护的落地战略进行执行。

如通过创宇蜜罐广布诱饵、步步设陷，引导并真实还原攻击的话，那么在日常的防护中，是否可以对真实系统，通过部署创宇蜜罐进行安全防护加强，并进一步生产针对性的威胁情报，赋能整个防御体系。

系统防守成功，没有典型的失分，说明整体的防御落地切实可行，足以应对日常的攻防对抗。不过还可以在主动向前防御方面再进一步，就需要根据防御体系现状，进行优势点的确立，并进行针对性的建设和加强，力求能够通过防御长板的发展，在以后的演练和对抗中夺得先机，发挥主动。

创宇蜜罐和NDR流量监测系统是主动防御体系的“主角”，创宇蜜罐重塑网络空间地形，强化自身优势；NDR流量监测系统则紧盯APT攻击为代表的高级攻击，提前掌握攻击者的资产信息及攻击手法信息，做到主动出击。

最后，如果系统防守失败，有失分，就需要具体到对比攻击方提供的总结和报告，对自身的问题进行比对和发现，确认问题进行修复和加固，并保持持续化的检查和评估。

网络空间资产问题，可以通过ZoomEye Pro进行持续的网络空间资产安全管理解决，边界安全可以通过NDR流量监测系统与威胁情报网关联动解决，内网的安全防御可以通过创宇蜜罐进行加强。

看系统防守的成败，进行具体问题的解决是战后总结的第一步，之后我们需要进行的是系统化梳理攻防演练的整个过程，看影响结果的“软实力”，既要从攻防对抗中找到防守的漏洞，查漏补缺，也需要从更高的维度对防守战略进行审视，确定整体方向。我们可以从备战、临战及战时的流程、分工、配合及重点工作的重点成果等几个方面展开来看：

这些事关流程及人的“软实力”因素，同样是关系整体防御体系是否有效的重点。

明确系统的防守优势及缺失，从攻防演练体系中分析了人员、流程及方案需要优化的问题点，其后就需要再次“看山还是山”--进行网络安全规划建设的常态化落实过程。

在这个过程中，知道创宇一直专注实战，希望从实战化的角度，可以协助您制定完整、切合实际、具有前瞻性的信息安全策略，从整体的建设理念和思路方面进行定制化的支持；

其次，可以协助制定全面的安全管理制度、完成信息系统安全运营建设方案等，在理念落地和运营执行方面，提供以网络空间资产安全管理ZoomEye Pro、创宇蜜罐、NDR流量监测系统为代表的产品及服务，完成安全防御体系与管理制度的结合、落地以及技术数据支撑；

最后，对于防守表现优异的客户，知道创宇同样可以基于现状提供更优的安全防护方案，对向前防御进行针对性的加强，所谓“向前防御”，即在空间上防御关卡前移，时间上提前应对，做到不再被动挨打的同时，还要洞察攻击者的动态，提前发现其攻击资产、攻击目标，进行针对性的向前防御。

针对“战后”总结，我们梳理了三个层次，也列举了一些具体的方向和问题，希望可以在您经历了紧张激烈的“战时对抗”后，依然可以在重要的“战后总结”中，帮助您真正获得实战经验而来的真知灼见，也可以找到从问题到解决方案到落地执行的完整闭环。

更多攻防演练相关资料咨询