我们正生活在被称为网络时代、信息时代或数据时代的年代，不论如何称呼，一个共识已经形成：我们的安全意识必须与时俱进。

过去，我们保护重要物品的方式是使用坚固的保险柜、重重的锁，甚至可能养只狗来增加安全性。然而，随着计算机和网络技术的迅猛发展，我们的生活和生产得到了前所未有的便利，但也面临前所未有的风险。

电影中的间谍可能需要进行复杂且危险的任务才能窃取文件，然而在现实中，黑客坐在舒适的椅子上，几次键盘敲击就能轻松完成攻击。这种变化反映了黑客角色的演变，从最初的技术爱好者发展为具有复杂动机和技术能力的专业攻击者。

近年来，黑客群体变得越来越商业化和多样化，这也是时代发展的必然趋势。尽管大多数黑客最初出于技术兴趣和分享精神，但随着网络和数据的重要性不断增加，黑客行为可能带来的影响也变得更加深远和复杂。企业如Facebook在2018年遭遇的数据泄露事件不仅导致巨额市值损失，还迫使其进行品牌重塑。

在这个背景下，保护数据和信息安全不仅是技术问题，更是经济和社会稳定的关键。我们必须采取先进的安全措施，不断学习和适应新的安全挑战，以确保我们的信息和资产不受到威胁。

01介绍

当然，有人觉得只有安全意识不够的企业才会被黑客攻击。我们公司装了高级防火墙，还有内外网隔离，重要数据都在内网，除非有内鬼帮忙，不然即使再厉害的黑客也进不来。这么说挺有道理，但接下来我们要说的“内网横向移动”就是为了应对这种情况。

在继续之前，先让我们聊聊另一个困扰网络安全的问题，就是安全意识的认知。近年来，网络安全意识大大提高，各方都在积极宣传。安全专家们都很熟悉，国家每年都办网络安全宣传周，企业也都意识到防火墙和防盗门同样重要。

但是，意识到网络安全重要性和时刻保持警惕是两码事。还有一个关键问题是如何评估安全投资的价值。我们都说安全无价，但安全服务是要花钱的。买安全设备、雇安全人员，这些都是得掏钱的。

所以，企业得面对两大问题：一是得掏多少钱来“买安全”，二是花了钱以后怎么判断值不值。一旦企业开始思考安全投资的价值，就会遇到个难题：安全投资的价值要看问题是否发生了。

比如说，我是一家公司，今年花了300万在安全上，结果一年下来啥事没有，这时候我得自问：是省钱了还是白花了？这个问题没定论。科学试验强调控制变量，我们可以想象，如果那家公司没花这300万，结果遭了2000万的网络攻击损失，那肯定这300万花得很值。

但实际情况常不那么简单。网络安全要么没事，要么大事，这让企业决策者觉得在安全投资上花的钱是不是物有所值。

02 红蓝对抗

当谈论红蓝对抗时，可以从不同角度来看。我个人想说，为什么网络安全总是显得那么被动呢？因为别无选择。网络安全天生就是攻守两端的游戏，在任何领域中，防守方总是处于被动地位。

更为严重的是守方心理上的被动性。对于大多数企业来说，安全投入并不能直接带来利润，它只是个成本支出。所以，企业高层和其他部门通常关心的不是网络安全有多重要，公司应该在安全方面加大投入宣传，而是守住了阵地，守不住则是他们的责任。

外界很难理解攻方的激烈对抗，因此很难承认安全部门的努力和成果。这种心理上的被动性不可避免地会带来更多消极影响。一个常见的词汇能很好地描述这种感受，那就是“憋屈”。

守方是否天生就应该感到憋屈呢？未必。历史上有很多因守而名的英雄人物。但这需要一个前提条件：所有人都必须认识到当前存在的危机。要挽狂澜于既倒、扶大厦之将倾，首先需要让大家明白眼前的紧急性，然后才能有效地守住阵地。

然而，网络安全往往具有隐蔽性。事发之前甚至事发之后，许多企业可能会在新闻中看到自己的名字，才惊讶地意识到出现了安全问题。这时意识到问题已经太晚，为时已晚！企业一旦认识到安全问题的严重性，通常会陷入各个部门相互推诿责任的泥潭中。

有没有办法改变网络安全的这种被动性，至少让公司在制定明年网络安全预算时，要求款项理所当然、掏钱的也心甘情愿呢？我认为答案就是红蓝对抗。

说到红蓝对抗，我们必须提到“蓝军”。以前“蓝军”这个词可能比较陌生，杭州天猫建模渲染但最近我接触的一些企业已经组建了自己的蓝军团队，内部开始进行红蓝对抗演练。

那么，“蓝军”究竟是什么呢？红蓝对抗如何能够改变企业的网络安全被动性呢？

如果你对军事有所了解，应该对红军和蓝军的术语不陌生。军事对抗演练一般会安排两个阵营，分别是红军和蓝军，然后进行攻防对抗。过去，红蓝对抗只是为了演习而设立的角色，但后来蓝军逐渐演变成了专业的“打脸”部队。

比如，解放军的“朱日和”军演就有一支专业的蓝军部队，据说许多平时看起来妆容艳丽的红军部队在“朱日和”演习中都被彻底“打脸”。

然而，蓝军的目的并不是为了让红军出丑，而是为了评估安全水平和暴露问题。在网络安全领域，红蓝对抗是指红队（防守方）和蓝队（类似黑客攻击者）的对抗。通过这种实战模拟，蓝队能够揭示企业存在的严重安全问题，包括安全措施的不足和可能被利用的漏洞。

这种方法能够让企业更早地发现和解决安全问题，从而提高其在网络安全方面的主动性和反应能力。

03 蓝队养成计划

当谈论红蓝对抗时，有好几种角度可以聊。我觉得，为啥网络安全总是这么被动呢？因为没别的选项。网络安全本来就是攻守两方对峙的游戏，无论在哪个领域，防守方总是得被动应对。

更严重的是守方心理上的被动。对大部分企业来说，安全投入没法直接带来收益，只是个成本。所以，企业高层和其他部门不太在意网络安全有多重要，他们更关心的是安全部门能不能守住阵地，守不住就得承担责任。

外界难以理解攻方的狠劲，所以很难承认安全团队的努力和成果。这种心理上的被动必然会带来更多消极影响。你懂的，就像被“憋屈”这个词最能形容的那种感觉。

守方是不是天生就该这么“憋屈”呢？未必。历史上有不少靠守成名的人物。但前提是得所有人都意识到眼前的危机。要是没人觉得“咱们现在这情况有点儿严重”，那守住阵地的成就也没人会在意。

不过，网络安全往往隐蔽性强。有时候问题不是事发之前就能察觉的，甚至有些企业是在新闻报道中才发现自己出了安全问题。那时候才惊觉，已经来不及了！企业意识到问题严重时，往往就得开始内部推诿责任。

有没有什么法子能改变这种网络安全的被动性？至少让公司在预算网络安全时，要求款项理直气壮、掏钱的也心甘情愿？我觉得答案就是红蓝对抗。

说到红蓝对抗，得提一提“蓝军”。以前这个词可能不太熟悉，但最近我接触过的企业中不少已经组建了自己的蓝军队伍，内部搞起了红蓝对抗。

那“蓝军”到底是啥呢？红蓝对抗怎么能改变企业的网络安全被动性呢？

你要是对军事有点儿了解，应该对红军和蓝军这些名词不陌生。军事演习一般会安排两个阵营，红军和蓝军，然后搞攻守对抗。过去这种对抗是为了演习，但现在蓝军已经逐渐发展成了专业的“打脸”部队。

比如，解放军的“朱日和”军演就有个专业的蓝军部队，听说有些平时看起来妆容艳丽的红军在那演习中都被彻底“打脸”。

但蓝军的目标并不是让红军出丑，而是为了评估安全水平和暴露问题。在网络安全领域，红蓝对抗就是红队（防守方）和蓝队（类似黑客攻击者）对抗。通过这种实战模拟，蓝队能揭示企业存在的严重安全问题，包括安全措施的不足和可能被利用的漏洞。

这种方法能帮助企业更早地发现和解决安全问题，提高在网络安全上的主动性和反应能力。

04 蓝队如何攻击

当谈到蓝队的攻击过程时，可以分成四个阶段：准备、信息收集、外网入侵和内网横向移动。这个过程看起来有点像渗透测试，但其实有着关键的不同。

首先是准备和信息收集阶段，这是基础但至关重要的步骤。蓝队得组建团队，准备好工具，并且收集攻击目标的各种信息，俗称“踩点”。

接下来是外网入侵阶段，这是黑客攻击的起点。渗透测试可能会在发现漏洞后停工，但对于蓝队来说，这只是开始。渗透测试就像博物馆的安检员，发现问题后提交报告；而黑客则像小偷，利用漏洞进入博物馆，找到最有价值的目标进行偷窃。

蓝队的关键在于内网横向移动，就像电影中主角深入敌方总部的情节。他们在内网各节点之间跳跃，寻找存储关键数据或运行重要系统的地方。

总之，无论是黑客还是蓝队，都得保持一种“总想进去偷点什么”的心态。企业内部防御强大，仅靠自身可能发现不了所有漏洞。渗透测试的目标可能是完成任务并提供报告，但对于蓝队来说，他们追求的是攻克难题的机会，通过供应链攻击或其他方式实现进攻。

网络安全不仅仅是技术问题，更是一门艺术。成功的攻击需要技术和创造力，找到防守者意料之外的弱点。这个领域不仅具有高度的专业性和复杂性，同时也充满了乐趣和挑战。