攻防演练 | 关于蓝队攻击研判的3大要点解读_攻防演练h3c 知道创宇 深信服 通过什么判断攻击队

在上一篇文章《攻防演练中常见的8种攻击方式及应对指南》中，笔者总体介绍了攻防演练中常见的八种攻击方式及针对各种攻击的响应方式。响应作为遏制攻击、缩小攻击影响面的具体执行阶段，被视为攻防演练中的关键一步。

但在对检测到的事件进行处置之前，有一个对事件从识别到评估的过程。这个过程被称为“攻击研判”，攻击研判相当于整个事件响应流程的“军师”，承担分析判断安全事件和决定处置方式的任务。为了帮助企业组织在攻防演练中更好地理解、部署、实施安全事件响应，本文重点以攻击研判为主题，从团队角色分类、具体实施步骤和创新服务模式3个方面对其进行详细解读。

攻击研判的定义及重要性

网络安全中的攻击研判，可以理解为人工层面对攻击事件进行再分析的行为。安全人员针对安全系统或工具发出的告警，通过结合已有的经验和相关工具，来判断其是否为真实存在的攻击，并根据判断结果做出响应的响应、给出处置建议。

一般来说，对攻击事件的分析研判通常从以下4个维度进行：

• 对已发现攻击的来源进行研判；

• 综合分析攻击技术、工具和路径，判断其威胁性大小；

• 攻击意图研判；

• 处置方式判断。

攻击研判，可以看作安全防护流程最为关键的一环。它上承安全告警的分析，下接安全处置的实施，是安全防护过程中技术含量最高的一步。

一个企业组织，拥有攻击研判能力是至关重要的。这样在发生告警的时候，它可以做出正确的判断，进而实施有效的措施，使情况恢复控制。攻击研判，同时也是事件响应过程中最具挑战性的环节：确定是否发生了事件，事件影响面有多大，后续如何遏制或根除异常、可疑活动。

攻击研判中的团队角色分类

为了有效地处理网络安全事件，企业组织需要一个专门从事攻击研判的团队。这个团队的任务是当安全告警发出时，按照既定计划对事件及时进行分析和判断。

以下是一个组织内进行全面、协调的攻击研判所需的角色列表。用户可以根据企业组织的规模、结构以及监管和行业要求来定制此列表。例如，一个人可以担任几个角色，或者几个人可以协调分担一个角色的责