攻防演练 | 关于蓝队攻击研判的3大要点解读

在对检测到的事件进行处置之前，有一个对事件从识别到评估的过程。这个过程被称为“攻击研判”，攻击研判相当于整个事件响应流程的“军师”，承担分析判断安全事件和决定处置方式的任务。为了帮助企业组织在攻防演练中更好地理解、部署、实施安全事件响应，本文重点以攻击研判为主题，从团队角色分类、具体实施步骤和创新服务模式3个方面对其进行详细解读。

攻击研判的定义及重要性

网络安全中的攻击研判，可以理解为人工层面对攻击事件进行再分析的行为。安全人员针对安全系统或工具发出的告警，通过结合已有的经验和相关工具，来判断其是否为真实存在的攻击，并根据判断结果做出响应的响应、给出处置建议。

一般来说，对攻击事件的分析研判通常从以下4个维度进行：

• 对已发现攻击的来源进行研判；
• 综合分析攻击技术、工具和路径，判断其威胁性大小；
• 攻击意图研判；
• 处置方式判断。

攻击研判，可以看作安全防护流程最为关键的一环。它上承安全告警的分析，下接安全处置的实施，是安全防护过程中技术含量最高的一步。

一个企业组织，拥有攻击研判能力是至关重要的。这样在发生告警的时候，它可以做出正确的判断，进而实施有效的措施，使情况恢复控制。攻击研判，同时也是事件响应过程中最具挑战性的