从闪电战到持久战：实战演习中的攻防策略演变与战术升级

一、演讲背景与概述

本演讲由王依帆在2024补天白帽黑客大会上发表，探讨了网络安全实战演习中攻防策略从"闪电战"到"持久战"的演变过程，以及相应的战术升级路径。

二、攻防策略演变历程

1. 闪电战阶段特征

快速突袭式攻击
依赖0day漏洞利用
短期高强度对抗
目标明确且单一
防御方响应时间窗口极短

2. 持久战阶段特征

长期持续性对抗
多阶段复合攻击链
攻击方具备长期潜伏能力
防御体系多层纵深
攻防双方资源消耗战

三、战术升级路径

1. 攻击方战术进化

隐蔽通道构建：DNS隧道、HTTP隐蔽信道、ICMP隧道等
权限维持技术：黄金票据、白银票据、SSH后门、计划任务等
横向移动技术：Pass-the-Hash、Pass-the-Ticket、DCSync等
目标定位技术：网络拓扑测绘、关键资产识别、数据定位

2. 防御方战术升级

威胁狩猎：基于ATT&CK框架的主动狩猎
异常行为检测：UEBA用户实体行为分析
欺骗防御：蜜罐、蜜网、蜜令牌技术
自动化响应：SOAR平台建设与剧本开发

四、实战演习关键策略

1. 攻击方核心策略

前期侦察：被动信息收集、主动探测扫描
入口突破：鱼叉攻击、水坑攻击、供应链攻击
权限提升：本地提权、域权限提升
数据窃取：数据分类、压缩加密、外传通道

2. 防御方核心策略

攻击面管理：资产发现、漏洞管理、暴露面收敛
纵深防御：网络分层、权限隔离、数据分级
威胁情报：IOC共享、TTP分析、情报驱动防御
应急响应：事件分类、处置流程、溯源分析

五、攻防对抗发展趋势

AI驱动的攻防对抗：机器学习在攻击检测和规避中的应用
云环境攻防：容器逃逸、无服务器函数滥用、多云横向移动
供应链安全：依赖项投毒、构建过程劫持、更新劫持
OT/IoT安全：工业协议漏洞、物联网设备固件攻击

六、防御体系建设建议

建立持续监测能力：7×24小时安全运营
完善威胁情报体系：内部情报与外部情报结合
强化人员培训：红蓝对抗常态化演练
优化响应流程：自动化与人工研判结合

七、总结

现代网络攻防已从短期高强度对抗演变为长期持续性对抗，攻防双方都需要建立体系化的战术方法论，通过技术创新和流程优化来提升攻防效能。防御方尤其需要转变思维，从被动防御转向主动防御，构建"检测-响应-预测-预防"的完整安全闭环。

从闪电战到持久战：实战演习中的攻防策略演变与战术升级一、演讲背景与概述本演讲由王依帆在2024补天白帽黑客大会上发表，探讨了网络安全实战演习中攻防策略从"闪电战"到"持久战"的演变过程，以及相应的战术升级路径。二、攻防策略演变历程 1. 闪电战阶段特征快速突袭式攻击依赖0day漏洞利用短期高强度对抗目标明确且单一防御方响应时间窗口极短 2. 持久战阶段特征长期持续性对抗多阶段复合攻击链攻击方具备长期潜伏能力防御体系多层纵深攻防双方资源消耗战三、战术升级路径 1. 攻击方战术进化隐蔽通道构建：DNS隧道、HTTP隐蔽信道、ICMP隧道等权限维持技术：黄金票据、白银票据、SSH后门、计划任务等横向移动技术：Pass-the-Hash、Pass-the-Ticket、DCSync等目标定位技术：网络拓扑测绘、关键资产识别、数据定位 2. 防御方战术升级威胁狩猎：基于ATT&CK框架的主动狩猎异常行为检测：UEBA用户实体行为分析欺骗防御：蜜罐、蜜网、蜜令牌技术自动化响应：SOAR平台建设与剧本开发四、实战演习关键策略 1. 攻击方核心策略前期侦察：被动信息收集、主动探测扫描入口突破：鱼叉攻击、水坑攻击、供应链攻击权限提升：本地提权、域权限提升数据窃取：数据分类、压缩加密、外传通道 2. 防御方核心策略攻击面管理：资产发现、漏洞管理、暴露面收敛纵深防御：网络分层、权限隔离、数据分级威胁情报：IOC共享、TTP分析、情报驱动防御应急响应：事件分类、处置流程、溯源分析五、攻防对抗发展趋势 AI驱动的攻防对抗：机器学习在攻击检测和规避中的应用云环境攻防：容器逃逸、无服务器函数滥用、多云横向移动供应链安全：依赖项投毒、构建过程劫持、更新劫持 OT/IoT安全：工业协议漏洞、物联网设备固件攻击六、防御体系建设建议建立持续监测能力：7×24小时安全运营完善威胁情报体系：内部情报与外部情报结合强化人员培训：红蓝对抗常态化演练优化响应流程：自动化与人工研判结合七、总结现代网络攻防已从短期高强度对抗演变为长期持续性对抗，攻防双方都需要建立体系化的战术方法论，通过技术创新和流程优化来提升攻防效能。防御方尤其需要转变思维，从被动防御转向主动防御，构建"检测-响应-预测-预防"的完整安全闭环。