【红蓝/演练】-事前准备(3)之人员筹备

本章为该系列的第3篇，也是事前准备阶段的第3篇。

防护体系不是只有安全设备，人员也是防护体系中的重要因素，特别是强对抗场景下，需要提前准备好保障的人员，保障有人进行7*24小时监控，出现突发事件有能力协助处置。如果自己的人力资源不足，可以在预算范围内采购安全公司的驻场值守服务，本篇就来聊聊参演人员的筹备工作。

---

一、人员盘点

首先要知道我们需要多少人，可以根据需要管理的安全设备规模来定，如果资源充足的话，可以每个设备都安排专人监控。

监控是24小时不间断的，以“白夜休”的模式进行排班，至少要安排3个班次，如果资源充足，可以采用“白夜休休”的方式安排4个班次，企业根据自身情况评估资源投入的情况，最小配置为3人，即在三班倒的情况下每个班次配置1个人。

---

二、人员技能

在人员数量确定好后，下一步需要明确人员的能力。

实际对抗过程中，防守人员根据不同的职责对应要有不同的技能要求，在组建防守队伍的时候一定要注意能力职责匹配，就像战场上，不同兵种相互配合才能打出漂亮仗。

1、渗透测试能力

未知攻焉知防，这是每一名设备监控人员必备的基础技能，有些人能力很强，但就是看不懂告警。

有一次接了一个客户的防守任务，一共2个人派驻到客户现场，另一位兄弟是一名专业的产品实施人员，对操作系统、对产品架构很熟，但是不了解攻击手法，对安全告警和日志没有任何分析经验……反正当时面对客户的时候，我挺替他尴尬的。

2、日志分析能力

日志分析也是必不可少的技能，特别是已经成功的攻击链，攻击手法复杂，往往不是靠单一安全设备的告警能解决的，需要联动多源日志对一起事件进行全方位的排查，防守人员必须具备从海量日志中梳理出攻击路径的能力。

3、应急响应能力

在防守队员中，一定要有能做应急响应的人员，一旦遇到突发事件可以做技术研判、溯源分析和技术处置。

曾经一次对抗项目中就遇到过这样的场景，前期征集了很多人参与防守，后来攻击队突破了边界，内网里到处告警，安排防守人员去做应急响应，结果没有人能做处置，一帮人盯着屏幕不知所措。

做好防守靠的不是堆人头，特别是应急响应，需要防守人员对攻防技术有较为深入的理解，在防守队伍中至少要储备一名具备此项能力的人，安全事件虽然不是天天都有，这个人平时不一定会有出场的机会，可是到了关键时候却能帮上大忙。

不过还是希望大家在演练过程中都平平安安的。

4、报告撰写能力

报告撰写很重要，安全工作做得好不好，全看报告写的怎么样，报告也是我们对指挥部高管们的重要输入。

有些演习活动还有编写技战法和各种总结报告的要求，为了能让防守队员专心进行对抗，最好能设置专人来承担报告撰写的工作。

很多防守单位会专门成立报告组专职负责演习期间的报告编写，经历过的都知道，写报告可不比防守轻松。

如果预算充足的话，很多安全公司的主防服务都会搭配报告编写的人员，演习期间可为防守单位分担很多报告任务。

除此之外，还有溯源反制能力、样本分析能力、情报渠道能力、漏洞研究能力等，个人觉得这些都属于高配能力，可以根据企业自身情况来进行人员能力配置。

一个人可以同时具备上述多种能力，基于上述的准备，基本可以确定演练期间需要多少人，需要什么样的人，然后再对比自身情况查缺补漏，快速组建战时防守队伍。

---

三、组织人力项目采购

完成人员盘点后，还要结合企业自身的情况补充外部人力资源，一般是向安全公司采购人力服务，这也是防守方常用的方式。

预算直接决定了防守人员的数量和质量，最终的防守队能否按照人员盘点的预期到位，主要就看预算的多少，有钱就能多组织些人，找些技能强的人，防守现场人声鼎沸，看上去风风火火的，很适合拍照写工作报告用。

我曾经就去过一个大型企业的防守现场，一个大报告厅作为防守指挥中心，长桌一个挨着一个，一屋子坐了上百人，也不知道这么多人甲方怎么组织的，反正我当时挺蒙，发现了问题也不知道怎么上报，更别说联动处置了。

说到这里，根据我自己经历过的值守项目，讲讲值守现场的一些情况，也请各位甲方爸爸们关注：

1、很多甲方都喜欢要能力强的人员来值守，但是能力强的人员，在演练这种特殊时期通常预约不到，就算能约到，这类人员在客户现场也会同时并行处理本公司其他项目的事情，精力不会100%放在客户侧；

2、如果运气不好遇到能力差的人员一般会有两个结果，一是什么也发现不了，二是遇到告警就高频上报，本质是缺少研判能力；

3、本着多一事不如少一事的本能，对于绝大多数告警不会深入分析，发现的事件不会升级处理，能简化就简化，至少我自己在值守的时候有过这种心理；

4、由于演练特殊时期的舆情传播很快，如果真的出现紧急事件，有的甲方为了控制消息传播范围，花重金请来的应急值守人员参与不到应急响应中，大部分工作还是甲方自己处理；

5、哪怕甲方被打穿了，对值守人员不会有什么影响，甲方找的是商务不是值守人员。

现场值守人员更多是被动接收任务，当然也有很多优秀的值守人员，也有很多落地成功的防守项目。这里并不是讲值守人员没有价值，而是希望防守单位在人力采购立项前要想清楚为什么要引入值守的人员，明确需求后做好人员的组织安排才能达到项目预期。

---

四、面试

演练前，安全服务市场会迎来短期大量的需求，就像双十一期间对快递人员的井喷需求一样。安全公司出于成本的考量，大部分情况不会招聘正式员工，解决人力问题一般有以下几个方式：

1、公司内部能用的人全用上，我曾经就见过负责供应链的、负责培训的都派到客户现场值守；

2、通过公司自有的渠道补充人力，卖盒子有渠道，其实安全服务也有渠道；

3、和学校合作，学生们有实习的机会，也能解决安全公司的用人需求；

4、招聘临时工，现在市面上针对演练场景甚至催生出很多这方面的人力外包公司，专门为安全公司提供短期的人员补充，演练前各种群里发的招聘信息有些就属于这种。

所以，最后到达客户现场的人员能力会参差不齐，大部分防守方都想要安全公司原厂人员支持，但是原厂有能力的人毕竟数量有限，对于安全公司来说，这样的人员通常会安排到给钱多的客户现场。我曾经支持过一个演练项目，由于项目金额比较大，现场安排了3名资深安全专家支持，属于顶配了。其实不只是演练，乙方大部分项目的资源投入原则都是这样的。

对于防守方来说，如果既想省钱，又想得到能力强的人员，面试是一个很好的方法。

有没有准入门槛，最后得到的结果会是天壤之别。为应对陡增的人员需求，很多安全公司为了快速弥补人员缺口，往往会降低对人员能力的要求，这就是为什么防守现场会出现边吃苕皮边盯监控的舞蹈专业学生了。

关于如何组织面试，提供一些小建议供参考：

1、根据人员盘点的结果，将我们所需的人员技能提前与供应商沟通，尽早协调资源；

2、如涉及多家供应商，最好协调时间集中面试，这样效率最高，根据面试者的数量安排好每人的面试时长；

3、提前收集简历了解不同人员的技能特长，针对性准备面试问题。另外简历做好留存，防止事中阶段出现人员“调包”的情况。

---

五、小结

人员筹备工作至少要完成以下事项：

1、人员盘点，要清楚知道我们还需要多少人

2、技能盘点，要清楚知道我们还需要哪些人

3、组织采购，要清楚知道为什么需要这些人

4、安排面试，要清楚知道他是不是我需要的人

如果这篇文章你只能记住一件事，那请记住：组建符合自己需求的防守队伍。

--------- END ---------

原文始发于微信公众号（十九线菜鸟学安全）：【红蓝/演练】-事前准备(3)之人员筹备