从2020年始至2022年，安在新媒体连续三年发布《中国网络安全产品用户调查报告》（下文简称“报告”），该报告最大特点为“基于用户，取之用户，利于用户”。有幸得益于网安业内人士的赏识与抬举，让报告在网安领域拥有“大众点评”的美誉。

今年6月，该报告第三版正式发布。问世之后，很快引发诸多争议。“横看成岭侧成峰，远近高低各不同”。每个人的视角与立场不同，所以看待报告也能得出不同的观点与结论。对此，他们完全可以理解，并对诸多争议观点进行了思考与总结。

为了阐释许多读者的疑惑，解答众多争议，他们特别邀请平安壹钱包信息安全架构师杨文韬，七牛云网络安全负责人朱士贺，斗象科技蓝队安全专家张贵卿，斗象科技红队安全专家黎侑霖，安在新媒体合作人及安在新榜出品人张威，齐聚线上直播分享。本次直播由安在创始人张耀疆主持。

张威介绍到，今年安在发布的报告对技术架构安全、数据安全、物流安全、工控安全、信创安全和安全服务等方面的产品进行了分类。其中，安全意识和红蓝对抗的产品服务增长速度很快。实际上，红蓝对抗服务在前几年还并不算热门，但从今年的报告来看，甲方企业对红蓝对抗服务的关注度持续增高。

张耀疆表示，中国网络安全产品用户调查报告到今年已经发布了三期，与前两年相比，今年的报告品类更加丰富。在安全服务方面，除了传统的渗透测试和安全评估，还多出了与红蓝对抗相关的攻防实训、代运营、靶场等等。在他的印象里，红蓝对抗是一个“奢侈品”，只有少数大的金融企业或互联网企业才能负担得起，可现在，非常多的企业已经具备了红蓝对抗的概念，即便无法配齐整个团队，依然还会进行相应的尝试。为什么会出现这种情况？与传统的渗透测试和应急响应相比，红蓝对抗的价值是什么呢？红蓝对抗到底需要做哪些事情？

对此，张贵卿表示，斗象安全作为国内领先的网络安全、数据智能与安全运营提供商之一。斗象安全于2021年完成了以中国电科为代表的国家级产业及政府资本的D轮融资，也正式融入了国家队。目前，斗象旗下的产品主要分为几方面包括智能安全、漏洞盒子、安全众测及安全运营平台。在漏洞盒子方面，斗象的主要客户聚焦在金融、互联网以及政府。斗象多次支援上海市的安全工作，并参与制定了多项网络安全国标和行业标准。

目前，我国正处于HW阶段，无论甲方还是乙方都在摩拳擦掌，严阵以待。最初，企业的安全建设主要是以合规驱动，而随着HW的展开，企业已经转化成实战型驱动。无论甲方和乙方都在积极响应政府的正南侧，在优化夯实自身业务矩阵的同时，也不断朝着红蓝对抗布局。

关于斗象在蓝队防御方面的主要服务内容，张贵卿表示，斗象作为服务的供应商，会和客户一起并肩作战参与防守。从服务的角度来讲，斗象往往会去客户现场，帮助客户对安全设备进行监控值守，同时还会对安全流量进行研判分析、溯源反制以及应急响应等。

除了服务，还有相关的产品。PRS全流量分析是斗象在攻防领域的产品。这款产品可以通过人工智能的算法防止0day的攻击，通过全流量设备的分析帮助客户加强防御，并且该产品还自带蜜罐用来协助溯源。除此之外，还有斗象自研的PVP对抗蜜罐，可以有效防止社工钓鱼。近年来，社工钓鱼成为红蓝对抗的主要攻击手段，HW开始前一般都会进行大面积的钓鱼，尤其是现在各企业的安全防护能力越来越强大，企业员工的安全意识就成为了主要突破口。目前，社工钓鱼已经不在局限于邮件，变得越来越精准。举个例子，通过知名的招聘平台或短视频平台获取到HR的联系方式，伪造身份与HR取得联系，在建立信任之后，诱导对方点击链接或运行恶意软件。另外，还可以通过某办公软件，引导对方添加该软件的账号，然后通过办公软件带出的流量获取到对方的虚拟桌面，最终打入内网。

杨文韬表示，平安壹钱包是平安旗下的一家非银支付的企业，接受人行的强监管，因此对安全的重视和投入始终维持在比较高的水平。近年来，随着监管力度和要求的提升，企业在安全建设的投入也水涨船高，无论是产品还是服务都有很高的投入。壹钱包背靠平安集团，而平安集团本身就具备红蓝对抗的能力，即银河实验室。银河实验室会对平安集团的所有下属公司常态化进行红蓝对抗，高度类似HW，在这种情况下，平安及下属公司在安全和对抗方面的能力有了很强的提升。他们也组建了专门的包小蓝，即壹钱包小蓝军（攻击团队），同银河实验室展开长期深度的合作，目的是共同进步，同时吸取对应的攻防能力。

今年与银河实验室合作后，壹钱包引入了与之相似的独立攻防环境，与生产网、办公网物理隔离，并配备了完善的攻防工具和审计措施，同时还引入了流程、制度、知识库等等，今年上半年已经完成了一次非常成功的联合攻防演练。从他的视角来看，目前社工的确是最大的突破口，人的因素制约着安全无法保证万无一失。在攻防方面，壹钱包会选择继续同集团一起进一步提升企业的安全能力。然而有许多企业其实并没有集团可以依靠，那么如果有乙方的企业具备这样的能力，能够提供给这些甲方企业的话，或许会是未来攻防服务需求的一个发展方向。

朱士贺表示，七牛云的目前的主要业务是云储存、视频直播、CDN和云计算。随着国家的进一步重视、网络攻击形式的日趋纷杂，整个网络安全行业得到了一个比较大的提升，在攻防方面，HW的进一步推动使企业纷纷加入到红蓝对抗的阵列中。但事实上，很多企业无法和壹钱包一样能够背靠大集团，因此，安全能力就需要逐步积累，不单单是技术方面，企业自身的弱口令、权限及资产管理都需要一定的积累。所以，即便是请到很厉害的安全人员也无法一步到位的提升企业安全能力，这种积累过程往往需要两年以上。

员工安全意识往往是企业永远补不齐的短板，尤其在离职和新进员工这方面，稍有不慎就会造成安全缺口。针对攻防能力和系统化模型，他们通过对Freebuf和安在上由安全人士所写的专业文章进行分类，通过行业性的经验实现攻防能力评估和系统模型。这里还包括事件检测、事件响应、攻击防御等能力。在红蓝对抗方面，他们尽可能模拟黑客攻击或外部有组织的攻击进行模拟对抗，结果是很好的，相比之前的渗透测试，他们的安全对抗能力已经提高了一个层次，并且他们设置了一些规范，规定了攻防双方可采取和不可采取的手段，在保障真实的同时，最大化保障企业攻防能力的检验结果。

对系统的影响，他们做了最小化的评估，同时还总结了不同黑客的攻击特点，确保他们所掌握的信息能够及时和互通。实际上，七牛云还不具备成体系的红蓝队伍，对此，他们一边在内部培养，一边进行外部招聘，同时在内部提升员工的安全意识，并和厂商或甲方进行合作，逐步形成一个体制。

朱士贺表示，红蓝双方的培养体系有不同也有交叉。双方都要对漏洞和攻击技术有一定的了解，但防守方要熟练掌握安全设备，攻击方要对安全技术非常精通。对于企业来说，防守方主要是厘清资产，清晰边界，与此同时还要对攻击进行防护或告警。而攻击方不仅要研究漏洞，同时还要熟练掌握各种编程语言，这是一个很高的要求，安全人才也就供不应求。

对此，他建议是由政府或行业发布例如网络安全人才指南，让有意向的人才能够有明确的方向进行自主学习。或是通过专家或资深人士共同形成一个通用性的标准或评估机制，为从业者提供一些指引。

朱士贺认为，未来企业要对自己的网络安全做到真正的负责，可以像车企一样可以对软件进行召回。从业者可以像驾驶员对企业或行业公示自己的安全水平和安全措施。

杨文韬表示，安全行业缺人才是事实。企业往往会培养一些运维或研发人员，参与部分的防守工作。网络行业的人才培养方法非常清晰，思科为整个行业铸造了一个完善的人才培训体系。而网络安全行业，他认为目前缺少一个领军的培训体系，安全行业有很多认证，但是作为从业者来说，无法通过这些认证来看清行业的全貌，没有统一的可衡量的依据，个体差异性的逐渐扩大使整个行业人才匮乏。从壹钱包的角度来看，他们从平安集团那里得到了很多帮助，尤其是在攻防人才培训方面，平安集团安全经过多年的沉淀，为集团内部打造了一套完整的人才培养体系，即“零号安全培训平台”，我认为是在攻防领域非常贴合行业发展需要的一个培训体系。集团内人员通过saas模式的在线访问，可以很方便的获取到课程文字材料、课程视频、实操环境、靶场、以及认证考试，甚至还可以参加内部的ctf，目前光靶场就有300多个。“零号安全培训平台”原先只针对集团内部开放，后续将逐步对外开放，这可能对整个行业的攻防领域也是一个好消息。

关于攻防两方的培养方式有哪些区别，杨文韬表示，防守方不仅是要看安全设备日志，在溯源时还需要了解企业的整体系统架构，这就涉及到更广泛的知识体系需求，所以就很难有标准化的体系培养。因为不同企业的业务流程、体系架构都有差异，需要因人而异的培养。攻击方需要一定的实战基础，只有真正站在攻击的视角，才能注意到防守视角所忽视的漏洞。

除了人才，机制与平台建设也很重要，包括流程规范、运营体系、法律合规，以及自动化工具和运营管理平台的使用等，张威提问到这方面情况目前是怎么样的？对此黎侑霖表示，目前，自动化相当于从信息收集到打下漏洞只需要一个回车，既快又精准。而关于社工钓鱼，黎侑霖认为，精准钓鱼取决于能否进入企业内网。某些企业会限制客服聊天框不能发送文件，并且限制其他聊天软件的使用，这样就可以有效降低钓鱼所带来的风险。

张贵卿认为，斗象的众测平台为其积累漏洞产生了一定的帮助，当他们已经产品的方式将这些漏洞打包之后，就会给客户很大的助力。HW之外，甲乙方其实还是有很多的合作空间，比如资源互补、人才培养等等。红蓝双方需要换位思考，通过角色的互换来理解客户的需求，同时更好地满足安全的服务。关于人才，HW目前缺乏认证，未来或许会有专门的认证，现在确实是泥沙俱下，尤其在蓝队，防守所需要的能力与攻击相比要更加丰富，对人员的要求也就越高。目前，网络安全人才缺乏中高端人才，从地域来看，北上广深一线城市肯定是供需失衡最为严重的，随着HW的影响，企业对攻防的需求日益明显，中高级人才更是非常渴求，因此人才的培养也就至关重要。

张贵卿认为，目前斗象已经有相关的服务，一个是驻场或帮扶等项目，另一个就是根据客户的业务需求，结合漏洞盒子等产品，寻求外部的专家一起来弥补企业的漏洞。白帽子在学历、职业素养和法律意识得到了提高，传统众测的风险现在已经非常低了。目前，企业安全的攻防需求已经变成了常态化需求，随着各种攻击手段的出现，以及灰黑产的组织化、规模化，企业需要和厂商进行更深层次的结合，以获得厂商所积累的漏洞或攻击手段。同时，安全设备的繁多也让企业难以把控，在此情况下，如何评估设备对企业安全防护的有效性就是一个问题。对于经费问题，张贵卿表示，目前斗象在和第三方机构联合成立了一个实验室，结合多年来攻防的经验和标准，推出了一个攻防能力成熟度评估解决方案，以此来帮助客户有针对性地提供企业安全能力水平。

杨文韬表示，在壹钱包日常攻防工作中有一个问题比较难以平衡，那就是攻防效率和对业务影响之间的平衡。在每次测试前，壹钱包都会对运维监控人员发布公告，明确详细的攻击行为信息，在行动中运维监控人员一旦发现有任何影响业务波动的情况，都可以及时掐断演练的动作。

提问：在攻防演练中，如何确保红方发现的漏洞全部向蓝方通报

黎侑霖：我认为写报告是最好的方式，例如发现了某个配置文件中的账号密码，并登录到后台，就可以对此写份报告，将详细的攻击过程展现出来，并发给防守方。但这是一个自愿行为，因此防守方需要主动一点，积极和攻击方沟通和协作。