核心判断:演练价值不在截图数量,而在路径是否可复核
每一条攻击链都需要能回答:入口在哪里、凭据如何变化、横向移动是否真实发生、哪些环节被防守方发现。
- 拒绝只有结果没有证据的复盘
- 拒绝把推测写成已验证事实
- 拒绝整改项没有复测标准
攻防演练
复盘方法
把演练从热闹变成可整改
澄安的复盘过程会把红队路径、蓝队发现、系统证据和处置动作放在同一条时间线上,避免结论只停留在“打进来了”。
复盘对象
从红队过程和蓝队日志两侧同时还原,不把任意一方的叙述直接当成事实。
- 入口与暴露面:公网入口、弱配置、权限边界
- 检测覆盖:告警命中、漏报阶段、人工响应延迟
- 闭环材料:路径图、证据索引、整改优先级
交付节奏
从线索整理到复测清单
- Phase 01证据汇总收集演练记录、告警、流量、主机和账号日志。
- Phase 02路径复原还原攻击链路,标记检测点、阻断点和遗漏点。
- Phase 03复测计划形成整改优先级、责任边界和验证方法。
想让演练结果真正进入整改流程?
可以把一次演练记录作为样本,我们先帮你梳理可复核攻击路径和复测清单。