渗透测试演练分红、紫、蓝三支队伍。进攻型：红队，通过模拟攻击实现系统提权，控制业务获取数据等，并通过这些攻击实验发现系统的弱点，综合提升系统的安全性。防守：蓝色球队。这是我们这次的重点。一般而言，参演单位是以网络防护系统为基础，在演练中组成防御队，紫队是组织方，以组织方为人物，进行组织工作流程监管具体指导应急保障等，及其演练最终汇总和调优建议。

在公司大规模数字化转型的趋势下，各种各样网络入侵事件频频出现，APT和hack团伙活动猖狂，合规管理驱动的过去安全防护体系建设无法符合要求。近几年来，随着各级“红蓝对抗”行动的进行，企业安全建设逐渐向实战演练化变化，而ICMRe(为美政府提供系统工程、产品研发和信息技术支持的非营利组织)所提到的DAT&CK框架，恰好是可以在这个流程中发挥指导作用的重要参考。

在二零一九年的YorsSiaSecurommany&RiskManagededuceSummit交流会上，DAT&CKFramework被F-Secure评选为“前十名网络热点”。DAT&CK是一个分享的共享资源，它叙述了网络攻击者的战略、技术和表述流程，可以将已发现的黑客组织、攻击工具、检测数据源和检测思想、缓解措施等内容联系起来。DAT&CK可以全面涵盖洛克希德马丁-乔治公司建议的KillChain内容，并在此基础上提供攻击技术的更精细矩阵和技术细节。DAT&CK被分成几个部分，即PRE-DAT&CK、公司DAT&CK和MafaleDAT&CK。这些PRE-DAT&CK包含了优先级定义、选择目标、信息收集、漏洞识别、网络攻击者开放平台、基础设施建设和维护、人员开发等战略。公司DAT&CKwhenEncerprise包含下列战略：复位访问、表述、持久、权限提升、防御性逃避、凭据访问、发现、横向移动、收集、命令和控制、数据外传、影响。分析整理了这些以APT组织和hack团伙为基础的披露信息，可以有效地具体指导实战演练的红蓝对抗，目前已经在许多领域得到了较好的应用。

红蓝战中，防守方均可根据事前、事中、事后几个阶段的要求，在DAT&CK框架的具体指导下，实现对安全体系建立、操作和升级的闭环改进。第一阶段准备。当公司遭受内外入侵时，攻击面是指起始突破或中间突破的可能性，包含但不限于：网络系统，外部提供业务的邮件系统，VPN系统，内部提供服务的OA系统，运营系统，开发环境，员工使用的各种各样账户，办公终端等等。

企业级攻击面广泛存在，在企业级中进行攻击面评估是一种信息收集和漏洞识别的流程，可以帮助公司及早应对网络攻击者的入侵活动。这一流程在攻击链中属于“侦察”阶段。红蓝战中，由于攻防不对称性，防守方往往处于弱势地位，进攻方只需一击即破，而防守方需要建立一个涵盖所有攻击面的纵深防御系统，无法做到万无一失。但是在信息收集阶段，防守方占优势，其主要原因包含：

1.攻击方只能通过因特网公开信息(Google、社交网站、Github)或过去社会工作方式获取公司的部分信息，而防御方则能获得企业内部的完整信息，包含网络架构、商业系统、资产信息、雇员信息等，掌握上述信息不仅可以梳理潜在的入侵点，发现防御中的弱点，还可以结合诱骗或欺诈技术(如蜜罐)，在攻击方能获得的信息中埋入点，实现类似软件的“动态污染”的检测和跟踪。