1.2.2　蓝队演变趋势

防守能力不断提升的同时，攻击能力也在与时俱进。目前，蓝队的工作已经变得非常体系化、职业化和工具化。

1）体系化。从漏洞准备、工具准备到情报搜集、内网渗透等，蓝队的每个人都有明确的分工，还要具备团队作战能力，已经很少再有一个人干全套的情况了。

2）职业化。蓝队人员都来自专职实战演练团队，有明确分工和职责，具备协同配合的职业操守，平时会开展专业训练。

3）工具化。工具专业化程度持续提升，除了使用常用渗透工具，对基于开源代码的定制工具的应用也增多，自动化攻击也被大规模应用，如采用多IP出口的自动化攻击平台进行作业。

从实战对抗的手法来看，现如今的蓝队还呈现出社工化、强对抗和迂回攻击的特点。

1）社工化。利用人的弱点实施社会工程学攻击，是黑产团伙和高级威胁组织的常用手段，如今也被大量引入实战攻防演练当中。

除了钓鱼、水坑等传统社工攻击手法外，蓝队还会经常通过在线客服、私信好友等多种交互方式进行社工攻击，以高效地获取业务信息。社工手段的多变性往往会让防守方防不胜防。

2）强对抗。利用0day漏洞、Nday漏洞、免杀技术等方式与防守方进行高强度的技术对抗，也是近一两年来蓝队在实战攻防演练中表现出的明显特点。蓝队人员大多出自安全机构，受过专业训练，因而往往会比民间黑客更加了解安全软件的防护机制和安全系统的运行原理，其使用的对抗技术也往往更具针对性。

3）迂回攻击。对于防护严密、有效监控的目标系统，正面攻击往往难以奏效。这就迫使蓝队越来越多地采用迂回的攻击方式，将战线拉长：从目标系统的同级单位和下级单位下手，从供应链及业务合作方下手，在防护相对薄弱的关联机构中寻找突破点，迂回地攻破目标系统。