本章为该系列的第20篇，也是整个【红蓝/演练】系列的最后一篇，前前后后历时9个月，20篇文章，3万5千字，算是对自己参与过的演练工作做个总结，也希望能对大家有帮助。

很多人问我写文章的时间哪里来的，其实这个系列大部分文章是我在地铁上完成的，有座就拿出电脑来写，没座就掏出手机来写，到今天终于完更了。

心即理，事上练，知行合一。在写这个系列的过程中让我明白一个道理，想要分享心得，只有不停学习和实践保证自己有输入，才能不断输出。此系列虽然告一段落，但前行的步伐不能停。

最后回顾了自己经历过的所有演练，突然有感而发，写下这篇文章，聊一聊我对防守方备战的看法，也以此结束【红蓝/演练】系列。

一、“战时”和“平时”思考

回顾曾经的一次红蓝对抗，过程中大家热火朝天，我每天只睡四五个小时，虽然很累，但是感觉自己的价值发挥出来了，能实实在在解决问题，也能从过程中有所成长，整个过程非常享受。结束后，节奏一下子慢下来了，没有一点过渡，一切回归平静，安全事件能关就关，也没人深究了，当时的我非常不适应，这是我第一次感受到“平时”和“战时”的区别。然而可怕的是，现在的自己已经越来越适应这种“平时”的状态，所以引发了我一系列思考。

红蓝/演练的思路是来自于军事领域，部队会组织演习进行练兵，但没演习的时候部队依旧进行体系化的训练，功夫都下在平时。

在安全运营体系建设方面，我一直有一个比较激进的观点，安全运营不应该区分“战时”和“平时”，对于企业来说“平时”就是“战时”。

我们做安全建设的目的到底是什么呢？是对抗真正的网络威胁，还是为了应对演练？真正的“敌人”不会告诉你什么时候开打，没有规则限制，没有紫队控制风险。演练算的上是开卷考试了，开卷考试我们自己给自己扒一层皮，闭卷考试因为看不到题就放松警惕，这逻辑我是想不通的。如果觉得看不见风险就等于没有，无异于掩耳盗铃、自欺欺人。所以我觉得“战时”和“平时”两个样，不是正确的防守理念。
“战时”“平时”一个样现在很多防守单位还做不到，可以一点点建设，慢慢达成。演练不是真实的战场，真正的战场就在平时。就怕大家习惯性地区分“战时”和“平时”，把本应该“平时”做好的事情自动归类到“战时”才做，不利于我们提升整体的安全水位。平日里每一项安全建设工作都需要重视，演练仅仅是其中一项。

二、人员能力

曾经一次红蓝对抗，当时征集了很多人参与值守，但是真正具备应急响应能力的人没几个，出了安全事件后大部分人是干瞪眼，最后把那一两个会应急的人累的要命，其他人无所事事参与个寂寞，这些人的价值最后就体现在报告里的一句话：“本次演习有xx人参与”，这次红蓝对抗给我留下了很深的印象。

当今的军事战场上，早就不用“人海战术”了，而网络安全战场上，还在采用堆人的策略，可见我们的安全工作还有很多需要提升的地方。

一个在甲方安全团队工作的朋友曾对我说，他身边的同事都不懂安全，这或许不是个例，不妨盘点一下自己的团队，做防病毒的有几个了解病毒的机制和原理的，做流量安全监控的有几个了解攻击流量特征的，整个安全团队里有几个能讲清楚OWASP Top 10的，团队工作效能有多少是放在写材料上，有多少是放在走流程上，有多少是放在设备运维上，最后又有多少留给提升人员的安全技能上……

当然业界也有很多优秀的安全团队，他们人员能力强，团队氛围好，开放愿意交流分享，值得我们多学习。
事上练，不要怕出问题，问题就是提升的机会，短期会疼，但长远来看一定是有好处的，找到病因强化自己的免疫力，总比依赖外部的药物要实际，企业的安全能力还是要内生出来才靠谱。

三、预算投入

1518年前，历届南赣巡抚剿匪都喜欢调动四省部队，集结数十万部队，场面壮观，声势逼人，每天耗费千金，但却寸功难立。王阳明认为这是搞形式主义，南赣地区千山万壑，根本就不适合大部队纵横驰骋，而且劳民伤财。王阳明不重形式，只重实质，带领一万余部队，一年零三个月，总共花费几千金，让四省多年疲于奔命而又劳而无功的南赣匪患彻底平定。

演练就是作战，怎样以最少的投入获得最大的收益，需要纳入我们的考虑范围。钱不少花，人不少码，一旦出现安全事件，那上百万的预算、上百个人天的服务，到底能发挥多大作用？不妨回顾一下历史上被攻破的防守单位，看看哪个是因为钱没花到位失陷的。

曾经参与一个演练保障任务，这个客户很不幸，期间被攻击队成功攻破，但当时在现场参与值守的20来号人，居然没有一个人能帮上忙，这件事给我很大触动，也让我开始思考演练中预算投入的意义。

如果演练周期拉长，持续几个月，甚至全年无休，防守方怎么搞？这投入能承受的了吗？不知道大家有没有评估过演练投入的ROI，如果可以，真的建议搞一次0预算的演练准备，看看结果和花钱比会差在哪，这些差距是否可以通过预算以外的方式弥补。

那些说演练就是劳民伤财的人，是没想清楚预算投入的价值，大家都买人力，我们也跟风买，具体能为我们解决什么问题自己都没想明白，盲目投入当然是劳民伤财。
不是说不能花钱，钱一定要花的值，每一次投入都形成积累，逐步提升自身的能力，慢慢降低对预算和外部人力的依赖，为后面不再投入打下基础。

四、最后

没有安全问题很多时候只是因为没人攻击我们，演练给我们敲响了警钟，让我们从不自知的状态中走出来，给我们一个认识自己的机会，是骡子是马，拉出来溜溜就知道了。
演练不是排位赛，它是一次安全有效性验证，是通过寻找薄弱点全面提升整体水位的机会。对于防守方来说，备战攻防演练已经成为每年的KPI，希望未来的我们能把演练准备从工作清单里永远删除，因为我们时刻在备战，无需将演练准备作为专项任务，我们也不会因为不演练就放松警惕。
尝试清除“战时”状态、抛弃“人海战术”、提高预算价值产出，理想很美好，一点点努力实现吧。

原创 十九线菜鸟学安全