攻防之间：

一名安全蓝军的无声战场

作者：Alan

我从小就听过各类扣人心弦的黑客故事，但真正与网络安全结缘，还要从2017年那场席卷全球的“WannaCry”蠕虫病毒说起——那简直是一场数字世界的“灾难”。

在网络安全领域，勒索软件是通过加密受害者的电脑文件索要赎金的恶意程序，蠕虫病毒则可以利用漏洞在计算机之间自动传播。“WannaCry”将两者结合在一起，短短数天就蔓延到全球上百个国家和地区，感染了数十万台电脑。

那时，我是一名计算机系的学生，虽然学习过编程和网络知识，却从未认真琢磨过信息系统的攻击与防御。“WannaCry”事件的冲击，彻底打破了我对计算世界的固有认知：它不是黑客电影里遥不可及的情节，而是发生在身边的现实——被病毒感染的一台台加油站自助机上弹出红色勒索窗口，刺眼又真实。也是从那一刻开始，我意识到：自己不仅想写程序，更想弄明白这些程序是否安全，它们可能会被怎样攻破，又该如何筑牢防线。

于是，我下定决心在网络安全的世界里一探究竟。大二时，我加入了学校网络安全实验室。之后，各类安全项目、安全竞赛、安全实习便成了大学生涯里最鲜明的印记，一路陪伴我走到毕业。

PART.1

解锁蓝军“新身份”

2019年毕业前夕，我在一众offer中选择了华为。一方面，华为“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”的理念，让我看到了企业对安全的重视；另一方面，2019年国际营商环境突变，华为成为各国APT（高级持续性威胁）组织的重点关注对象。这两点让我坚信，这里必定是一个既充满挑战又能实现自我价值的平台。因此毕业后，我加入了华为ICSL（内部网络安全实验室），成为了一名安全蓝军。

“红蓝对抗”源自军事概念：蓝军模拟假想敌，通过针对性演习锤炼红军（正面部队）的实战能力。在网络安全领域，我们蓝军的工作便是模拟外部攻击者，用合法授权的“黑客手段”挖掘漏洞、攻破系统、揭示风险，以此检验业务在真实威胁面前的防御能力——这不仅是技术对抗，更是对业务体系能否真正守护用户数据、保障业务安全的实战检验。

ICSL是公司独立的安全验证中心，我在这里接触到了全公司不同部门的各类产品，由此获得了研究大量形态各异的产品和解决方案的安全性的机会，同时借助成熟的培养体系，我的技术能力得到了快速的成长。试用期结束后，通过一系列的考试并签订多份保密协议，我取得了现网渗透的上岗资格证。

渗透测试是一种模拟攻击的技术手段，就像扮演小偷，试着闯入系统这个“家”，排查“门窗”——如权限、防护配置，是否存在疏漏，然后告知住户该加锁、装栅栏等加固方案，以防止真正的小偷进来。而现网渗透则是指直接对生产环境的业务系统进行模拟攻击，目标是通过红蓝对抗来发现业务的防守盲区，推动业务建立更主动、更立体的防御体系，实现防御能力的实质性升级。

不久后，我便参与针对H产品线的现网渗透项目，在一周内就发现了多个致命漏洞，并通过多个漏洞组合利用拿到了JWT（一类认证凭据）签发私钥，实现了任意账号接管。当时的我，甚至有一丝得意，感觉自己的技术能力已经足够应对这类安全挑战。组里的前辈似乎看穿了我的小心思，提醒道：“这次干得不错，但千万不能得意太早，这个H产品线的安全建设刚起步，在华为各体系中属于薄弱的一员，等后面遇到了真正成熟的红军，才是考验你的时候”。

前辈的话很快应验。几个月后展开的新行动，我们面对的是一个早早投入攻防能力建设的“对手”。尽管在这次行动中我打起十二分精神，却因一个小失误险些断送全局：行动前期我们已经获取部分权限，并在目标网络部署了据点和代理，但我调用某个系统接口时，忘记了从代理发起请求，直接从外部网络进行了调用。没过多久，红军就捕捉到“从非可信的网络访问敏感接口”的异常，然后顺腾摸瓜将我们的据点连根拔起，让我们不得不推倒重来。

尽管这让我很沮丧，但另一方面也感到欣慰，这说明我们的系统防御能力并不是那么易于攻破的。同时，我也深刻意识到：攻防的核心不仅是技术堆砌，更是细节把控和高效流程——红军能敏锐捕捉到蓝军的异常访问，背后是全面的日志采集、实时监测和快速响应机制。

2020年ICSL颁奖典礼（右三为作者）

PART.2

在攻防博弈中“相爱相杀”

此后，我不断参与类似的对抗演习。经历多次和安全防护成熟的业务体系的红蓝对抗行动，我终于体会到了何为相爱相杀。

每次行动结束后，我们都会组织红蓝双方进行深度复盘。蓝军会系统梳理渗透过程中发现的安全薄弱点，详细地拆解漏洞成因与攻击路径，为红军提供加固方向的指引；而红军则依据这些宝贵的实战反馈，针对性地更新防护策略、修补安全漏洞。在这样的良性循环中，红军如同一个持续进化的“成长型BOSS”，在一次次攻防博弈中不断变强。双方的攻防时间差，从最初的“天”为单位，逐步压缩到“小时”，如今更是精准到了“分钟”级别。

那些蓝军好不容易拿下系统权限，转眼就被红军“踢下线”的紧张场景，依然历历在目。记得一次对抗中，我们在某服务里发现了一个“代码注入”漏洞，此类漏洞可直接获取服务器权限，相当于在外边界撕开一道口子。正当我们打算以此为据点往内网深入，紧锣密鼓调配各类工具准备发起进攻时，队友突然传来急报：“不好，好像被发现了，访问不了了！”

“赶紧换IP试试！“

“通了，赶紧上C2（远程控制工具）！”

”嗯？怎么又不行了？难道账号被禁用了？……换个账号也不管用？”

在极短的时间内，红军的一连贯操作——封禁IP、禁用账号、仅允许白名单账号使用存在漏洞的功能、隔离疑似被攻破的服务器，直接让我们的进攻计划“胎死腹中”。

红蓝对抗是一件痛并快乐着的事情，对抗过程中那些绞尽脑汁的攻坚、转瞬即逝的战机自然会带来压力，但快乐也不会缺席：一是个人的技术能力提升，在对抗过程中不断钻研新的渗透思路、解锁前沿技术工具、发现新漏洞、串联攻击路径、达成目标，获得成就感；二是我们蓝军既是挑战者也是陪练员，看着红军在一次次攻防打磨中快速成长，业务系统在持续的防护迭代中愈发健壮，产品的安全性逐渐成为了有力的竞争力，同样令人振奋。

2021年，经过两年的摸爬滚打，我对“红蓝对抗”工作也更轻车熟路了，并担任了RedTeaming TMG（蓝军技术管理组）组长的角色，该TMG主要负责红蓝对抗的攻防能力建设。因此除了行动实施，我也承担了更多技术洞察与规划、平台系统建设以及其他事务性的工作。

PART.3

射中致命“靶心”

2022年，在攻防技术领域深耕之余，我希望获得一些更大的突破，更深入理解业务安全建设与安全工作全貌。多方了解后，我加入了终端BG云服务云安全与隐私工程部（下文简称“云安工”）的银针实验室。

这是公司最早建立蓝军的部门之一，彼时由业界知名的邱老师带队，攻防技术积淀深厚。同时，终端云也是公司内安全建设非常成熟的部门，是蓝军们口头常提起的“硬骨头”，让我想迎难而上。在团队内龙神、东哥等前辈的帮助下，我很快融入团队，也熟悉了终端云的业务和安全建设情况。

初来乍到，主管邱老师察觉到了我对突破性工作的渴望，很快便交给我一项重要任务：尝试攻破核心Y系统。该系统是某产品线运维管理的核心，一旦被攻破，就可能导致该产品线的所有业务陷入瘫痪，这类系统在红蓝对抗中通常被称作“靶心”。

经过前期大量的信息收集和分析，我推测Y系统大概率在测试、生产等环境上均有部署。在之前就一直听闻该产品线的SOC（安全运营中心）监控非常严格，而测试环境的监控力度一般会弱于生产环境，于是我决定先尝试攻破测试环境上的Y系统，然后再将攻击方法迁移至生产环境，尽可能避免在生产环境上产生额外噪音。经过一段时间的渗透测试，通过组合利用多个漏洞，我成功拿下了测试环境的Y系统，也总结出了一套针对性的攻破方法。

接着，我尝试将攻破测试环境的方法套用在生产环境的Y系统上，可生产环境的网络隔离力度远比测试环境严苛，且Y系统实际由数十个子系统组成，在生产环境中根本无法直接访问目标子系统，这样一来原本的攻击方法就不适用了。

在之后的一个多月里，我换了5种不同的攻击方式与路径反复尝试。虽然每次都离目标更近了一点，甚至一度拿到其他系统的权限，足以对生产环境造成严重影响，但距离获得Y系统的权限始终差一步。眼看就到项目的最后期限了，我心里那股劲泄了大半，内心也渐渐动摇：做到这种程度，其实也还算过得去了吧？

项目限期的最后两天，我重新梳理了项目开展以来记录的几十个分析文档，突然转念一想：其实最大的阻碍就是网络隔离，只要找到访问目标子系统的方式就行。我之前的攻击路径总是从传统网络环境出发，可整个业务系统明明部署在公有云上，云上网络的限制与连通逻辑与传统网络大不相同。由于先入为主，我把自己最熟悉的云环境给忽略了！

思路一打开，我的斗志瞬间被重新点燃。项目截止前一天，我发现O系统与Y系统通过对等连接实现了网络打通，而此前我已经拿下了O系统。于是我以O系统为跳板访问到了Y系统，按照预定的思路开展攻击，并结合实际环境的反馈进行逐步调整，在往复多次、解决各种各样的“小问题”后，终于接收到了预期的响应，我愣了几秒才反应过来：生产环境的Y系统，被攻破了！

至今我仍清晰记得成功攻破的那一刻，心脏在胸腔里剧烈跳动，仿佛能清晰感受到肾上腺素奔涌的热度，我下意识按住胸口，长舒一口气，目光扫了眼时间，已是凌晨两点半。

有红军的同事曾问我：“你对蓝军工作的热爱，是不是为了攻破那一刻的成就感？”

我承认，一开始的确如此，也许大部分从事进攻性安全工作的同事最初也是这样。但随着工作年限和阅历的增长，另一个重要的内核逐渐清晰——责任。无论蓝军还是红军，终究殊途同归，保障业务安全才是最终目标。在模拟“真实攻击者”的过程中，我们必须始终清晰把握蓝军的边界与目标：不是破坏，而是揭示。眼看着我们日夜守护的系统正在变得强大，像一面坚固的盾挡住了明枪暗箭，我们的努力都是值得的。攻不破，才是我们最大的成功和快乐。

2023年云安工颁奖典礼（左一为作者）

PART.4

攻防交融，红蓝军碰撞出新火花

获得业务安全主管授权后，行动顺利启动。这个老对手的难缠我已领教过多次，这次我特意跳出常规思路，尝试了多种未曾使用过的攻击手法，最终顺利达成了目标，获得了核心系统权限，再以此为基础，对相关业务实际验证了3类高风险攻击路径。

在项目复盘会上，红军同事提出了疑问：“云安全确实迫在眉睫，但这个课题实在太大了，你有没有什么好的建议，怎么系统性地找到防护切入点？”

我随即拿出提前准备好的总结文档：“解构是关键。从蓝军视角看，目前主要有7类攻击路径，包括基于资源托管、基于权限委托、供应链类攻击等……我个人建议可以从这些路径涉及的关键节点来切入，先做好日志收集工作……”

其实行动刚结束时，邱老师对我强调说：“这个项目中，攻击路径的验证只是起点，更关键的是帮助红军认清这些路径背后的风险，找到监控和防护的着力点。”因此，我提前以实战经验总结、行动验证数据及外部情报洞察作为核心输入，通过综合分析形成多份安全报告。

这些安全报告得到了红军同事的高度认可，之后我还切换身份，深度参与到红军后续的云安全能力建设中：围绕攻击路径中的关键手法、权限管理、监控点等核心问题，开展了多轮专题研讨，进一步细化监控和防护方案，最终推动多项防护措施落地生效。这些措施在后续内外部蓝军的多次攻防行动中得到验证，切实提升了相关业务在云环境下的抗击打能力。

如今的企业安全环境，早已不是单点对抗那么简单。国家级APT组织具备完整的攻击链、充足的资源、长期的耐心和明确的动机。面对这类威胁，我们必须让业务在每一个环节都具备“风险感知、攻击阻断、快速恢复”的能力。单纯的蓝军和红军都难以独立完成这项任务，唯有两者深度协同：红军建立防护规则，蓝军通过实战打破规则暴露隐患，再协同加固规则。如此循环往复，才能构建真正的闭环防护体系。

参加2024年华为开发者大会（右二为作者）

PART.5

写在最后

“先于外部发现安全风险，以攻促防”，是安全蓝军的天然使命，这背后实际上也隐含着蓝军的双重“对手”——外部黑客与内部红军。

在蓝军的6年，我清醒地认识到，道阻且长，行则将至。只有付出更多的努力，不断提升自我，才能坚守安全蓝军的的职责使命，与团队一同助力业务筑牢安全防线。