关于如何更好地呈现红蓝对抗价值的思考

虽然红蓝对抗机制和蓝军团队建设的经验和思考笔者已经通过不同渠道（博客、公众号、公开演讲等）多次分享了，但是今天这篇文章主要是谈一谈关于如何更好地呈现红蓝对抗的价值。

众所周知，近几年由于国家政府的重视红蓝对抗已经开始在国内各大组织和企业内蓬勃发展，但是笔者发现国内在运用红蓝对抗的价值呈现上还是有待提高的。纵观当前国内的情况，大家更重视这种形式的直接结果，如发现了几个漏洞之类的，却似乎很少公开提及如何将红蓝对抗更深次的价值呈现出来，这既包括横向上对防守团队的防御体系建设的促进，也包括纵向上对管理层的红蓝对抗价值呈现的理解。

笔者近年来一直在从事红蓝对抗机制和团队的建设，也在平时的工作中经常思考如何更好将红蓝对抗结果的价值呈现最大化，负责过蓝军建设的同学一定会或多或少被问到过类似的问题，即“红蓝对抗对企业到底有多大价值？如何量化体现？”。

一般的红蓝对抗的流程会在复盘阶段的《红蓝演练行动报告》和《复盘总结报告》中呈现红蓝对抗的结果价值，按照笔者的经验大多数情况下这两个报告一般会包括如下几方面内容：

• 攻击过程与时间线

• 发现的关键漏洞和修复建议

• 发现的关键安全问题和改进建议
  

• 蓝军发现的这些漏洞是已知漏洞
  

• 蓝军的这些攻击方式是已知攻击路径

• 蓝军发现的这些安全问题是已知问题，且并不关键
  

那么如何避免由于将红蓝对抗的结果呈现单纯漏洞化而导致非蓝军人员或者管理层片面地以为红蓝对抗就是找漏洞的误解，笔者认为应该从红蓝对抗的本质出发，我们都知道以攻促防是红蓝对抗的本质，因此需要蓝军从业人员懂得从方法论设计、根因分析模型、数据量化分析等维度来深度呈现红蓝对抗的价值。

首先我们来看看国外同行是如何从这几个维度来实践的。

0x00 实施红蓝对抗、发现攻击路径

0x01 映射攻击TTPs、识别安全问题

0x02 统计共性问题

0x03 改进防御体系

注：更多详情可点击“原文查看”！

查询和订阅最新安全事件，请关注”安全小飞侠“吧！