与西方不同，近年来国内安全市场在这一领域的驱动力仍主要来自于逐渐常态化的实战化攻防演练。这就导致了一方面我们的攻击面管理基础较为薄弱，从机房的老旧设备到云端的新业务，潜在的攻击暴露面始终存在，另一方面我们针对这些攻击暴露面的动作仍然是周期性、运动式的，这就决定了国内攻击面管理产品与解决方案在落地时，单纯的管理并不能完全满足需求，还需要重点关注收敛这一动作。

渗透测试渗透测试，通过模拟黑客攻击行为，评估企业网络资产的状况。通过渗透测试，企业及机构可以了解自身全部的网络资产状态，可以从攻击角度发现系统存在的隐形安全漏洞和网络风险，有助于进一步企业构建网络安全防护体系。渗透测试结束后，企业还可以了解自身网络系统有无合法合规、遵从相关安全条例。渗透测试作为一种全新的安全防护手段，让安全防护从被动转换为主动，正被越来越多的企业及机构认可。

同时，需要与企业沟通及确定攻击目标、范围、规则等。以上确定后，便开始渗透，主要分为几个步骤：信息收集、发现漏洞、漏洞利用。入侵结束后，需要清除入侵痕迹，并将整理渗透过程中资产信息、漏洞信息、运用工具等信息，最终形成报告，汇报给甲方。红蓝对抗红蓝对抗便是针对此方面的测试。红蓝对抗是以蓝队模拟真实攻击，红队负责防御，最终的结果是攻防双方都会有进步。

要点一：安全设备拦截虽然目前大多数企业都非常重视信息安全，但是在攻防演练初期，大部分攻击者会使用扫描工具来收集资产及漏洞信息，攻击告警量会大幅度增加，对应的防守人员无法逐个处理所有攻击告警。因此各企业需要部署带有拦截功能的安全设备，比如防火墙、Web应用防护系统、入侵防御系统等，以便在演练前做好兼容性测试及告警拦截策略优化，提升处置效率。

要点三：应急响应和追踪溯源在攻防演练中，当主机被夺取权限，会造成防守方阵地沦陷。因此需要实时监控异常流量及告警信息，及时对失陷主机或被攻击成功的系统启动响应处置流程：检测阶段、系统隔离、问题定位、调查取证、木马清除、主机修复及恢复，根据应急响应过程中取证的数据，结合威胁情报、蜜罐等工具，利用社工等多种手段进行追踪溯源，从而实现为防守方有效加分。