上周帮一家做医疗SaaS的客户查问题,他们刚结束红蓝对抗演练,结果蓝队发现:防火墙策略没同步、DNS解析记录被误删、某台日志服务器磁盘写满却没人告警——这些都不是攻击造成的,全是演练前没按规则走流程埋下的坑。
别把规则当形式,它真能拦住故障扩散
很多团队一提“攻防演练规则”,第一反应是填表、签字、等领导审批。其实翻看《金融行业网络安全攻防演练指南》或《关基单位攻防演练实施规范》,核心就三条:
① 演练前必须完成资产清点与最小权限收敛;
② 所有模拟攻击行为需提前备案,且不得触碰生产数据库主库、核心网元配置库;
③ 演练中一旦触发真实业务中断,3分钟内必须启动熔断机制,而非继续“看看到底能打穿几层”。
这三条,条条都在帮你避开排错黑洞。比如你正追查一个持续丢包问题,查到一半发现是某台边界设备在演练期间被红队植入了限速策略——如果规则里写了“所有策略变更需带演练标签并自动归档”,你直接过滤tag就能定位,而不是翻三天配置备份。
实操中容易踩的三个坑
坑一:混淆“允许测试”和“允许越权”
规则里写“允许对Web服务进行SQL注入探测”,不等于你能用admin账户登录后台删日志。真实排错时,常有人借着演练名头绕过审批改配置,结果把环境搞崩,最后还得花两小时回滚。
坑二:漏掉“静默期”要求
某次演练后,运维同事急着恢复系统,顺手重启了负载均衡器。但规则第5.2条白纸黑字写着:“演练结束4小时内为静默观察期,禁止主动重启关键中间件”。后来才发现,正是这次重启导致会话ID重复分配,引发下游支付失败——这种问题,查日志根本看不出因果,只看规则才明白根源。
坑三:把“演练IP段”当免死金牌
有团队给红队分配了 192.168.100.0/24 段,结果蓝队监控脚本只盯这个网段的异常流量。可红队用云函数从公网发起请求,绕过了所有内网检测。规则里其实要求:“所有参与方必须同步出口IP白名单至WAF与IDS”,但没人落实。
贴个常用检查项(可直接抄进你的排错手册)
# 每次演练前必核对
- 资产列表是否含最新容器IP及Serverless函数域名
- 所有防火墙策略是否添加 remark="DRILL-2024-Q3" 标签
- 告警平台是否开启 "演练模式"(屏蔽非关键告警,但保留磁盘/内存/连接数硬阈值)
- DNS区域传输是否临时关闭(防信息泄露)
- 日志采集Agent是否启用采样率=0.1(避免刷爆存储)规则不是用来背的,是排错卡壳时你该翻的第一份文档。下次再遇到“明明没动配置怎么突然不通”,先打开演练规则PDF,Ctrl+F搜“变更”“回退”“熔断”,比抓包快得多。