第一阶段一般由总负责的安全厂商牵头完成:方案制定、用户沟通、设备调研梳理、整体的安全设备防护情况，资产清单收集等工作，便于后续的安全保障工作的划分，这一块工作基本上不需要外聘人员的参与。

  第二阶段风险自查及修复阶段，这样一个时间段一般一些外聘的安服人员，蓝队人员开始进场，主要工作包括:互联网资产扫描、漏洞扫描、渗透测试、安全基线/配置核查、安全设备策略检查、日志审计情况检查、防护设备完善、之前的一些安全事件的复核、安全整改加固这类具体的工作。

  第三阶段为攻防预演习阶段，此阶段就是甲方这边组织的一个小型的攻防演练活动，调研也调研了，检测也检测了，加固也加固了，该修复的也修复了，内部会做一个预测试，由内部人员或者合作厂商这边充当红队人员对现有网络发起攻击，看看目前的工作是不是到位，如果没做好的地方，会进行二次修复。

  将用户与安全设备厂商、业务系统开发商、运维厂商等人员进行分组、分工，明确职责，开展相关工作；

  并且使用HW的防守成果模板撰写成果并上报，一般是看人员的数量，有的会身兼数职。

  最后一个阶段基本是厂商项目经理的事情了，外聘的一些工程师这样一个时间段一般就解放了。

  看到这里，大家基本能对流程有一个大体的了解，所以说安全厂商一般是全程参与的，由于整一个完整的过程时间相对来说比较紧，任务量比较大，造成了人手匮乏的局面，所以有一部分外聘的兄弟就会被安排在第2-4阶段。你们可以通过这个过程的具体事情去掌握自己所需要的一些核心技能点。

  第二阶段 基本就是Web安全方面的点点滴滴，这就考验平时大家的动手能力和项目经验了，搞SRC搞的多的同学基本一看就明白了。

  第四阶段 基本是各种跟甲方合作的安全厂商的一些设备的监测，日志分析和IP封堵等，你们可以针对性的熟悉一下安全设备的监测，因为日志分析和IP封堵基本没太有技术上的含金量的，懂Web安全和渗透测试基本一看就会了，当然部分厂商会对自己的合作伙伴进行短期的产品培训的

  关于面试方面，基本上考核的就是一些技能点，最重要的是心理素质，项目经验和技能点。当然也有一些中间商让大家把简历做的漂亮一些，把各种CNVD，SRC挖洞经验都写进去，可以说意义不大。面试官基本几句话就能问出你的级别了。所以说对于刚入行不久的兄弟，大家还是要抱着一种学习的心态，因为这种面试不太考验你的格局和学习能力，因为项目时间太短了，所以你们可以对部分技能点进行深入的学习，最重要的是提高个人的项目经验，做的多了感觉就有了，多经历几个项目，感觉就有了。

  最后说一下，护网是一个对安全产业非常有助推作用的一件事，包括对于安全从业人员，大家做了这么多年的安全服务，应该是深有体会的，所以说对于部分人员说的过于，我是不认可的。我觉得后面对行业人员协同以及厂商协同来做一些事，不管对于客户还是行业都是特别有帮助的，取之互联网，用之互联网，包容，学习，希望我们大家一如既往的做多安全行业！

  网传的HW指的就是护网，从2020年起，就被广大师傅们传成HVV。护网是当前国家、重要机关单位和企业组织用来检验网络安全防御能力的重要手段之一，是当下检验对关键信息系统基础设施网络安全保护工作的重要组成部分。

  预演阶段也叫准备阶段，对于甲方来说，这个准备时间可能是1~3个月不等，甚至更长，每家企业的准备时间都不一样。对于兼职外援来说，这一段时间通常为期10天较多，具体看甲方需求。

  Tips - 资产梳理的工作大致上可以分为业务系统资产、设备资产、外包或第三方服务资产，通常这项工作都是由甲方运维人员主要负责，而兼职外援常常要协助甲方运维人员一起进行梳理。

  Tips - 实际上，预演阶段的工作内容都说不准，毕竟部分企业预演阶段的时候就慢慢的开始模拟红蓝对抗了，所以会在蓝队当中挑选人员组织成红队进行模拟演练，这样的一种情况下，就会模拟正式阶段按分组进行工作，就无需进行资产梳理、基线扫描、系统加固、渗透测试等工作。

  Tips - 监控组人需要懂得使用各种厂商的安全设备，如360天眼、知道创宇云图等，还要懂得分析流量，毕竟不是一发现监控平台上存在告警就立马汇报的，一些很明显是误报的告警是无需汇报的，在反馈给研判组之前，其监控组人员本身要对此告警进行一次分析，分析后无法确定，再汇报至工作群当中，由研判组进行研判。

  上图为参考，每个工作单位的汇报模板都有一定差别，主要根据现场指挥中心的要求去汇报

  研判组：负责实时研究判断监控组反馈的高危告警是否为误报Tips - 研判组人需要实时响应监控组反馈的高危告警事件，判断高危告警事件是否属于安全设备的误报行为，无论是不是属于误报行为都要将针对此告警事件的结果回馈给监控组以及指挥中心。若判断为误报行为，则无需升级事态，向工作群回馈即可。若判断为攻击者行为，则需要分析具体攻击事件情况并反馈至指挥中心。

  处置组：负责应急处置研判组反馈的真实攻击告警事件Tips - 研判组反馈后，如果为攻击事件，则处置组以及溯源组的人需要等待指挥中心的安排，随时准备应急处置。通常处置组人员要多和甲方企业的相关运维人员做沟通，因为有部分企业只允许自己的运维人员上机操作，所以如果处置组人没办法上机操作的时候，就没办法处置，只能将当前事件情况和处置方法反馈给甲方企业的相关运维人员。

  Tips - 反制组和溯源组都能够得分，基本上蓝队的得分都由这两组负责，关于蓝队得分规则，下文会提及到。关于蓝队怎么样做反制，后面会对此进行总结。

  除了上面的5个分组，还有一个领队，专门负责安排每个组的工作并统筹每个组的工作内容，当然具体负责的事项肯定不止这些，还有各种与甲方企业项目负责人、领导之间的沟通汇报，预演阶段的各项工作安排，复盘阶段的工作汇总、文档撰写等等，我有幸担任过一次领队，那工作量真的挺大的，经常睡梦正浓的时候被电话惊醒 ，基本上一有问题第一时间就会找上你，吐槽一万字省略

  通常蓝队指挥中心由甲方企业管理层组织并任命专人负责领导，主要负责组织和统筹整个演习活动中蓝队防守方的人员培训教育、统一调度工作、建立沟通机制，以及对演习活动中各类突发事件进行决策。

  1. 溯源攻击者线. 反控攻击方服务器（通常只能反控到攻击方用于钓鱼的跳板机）

  4. 发现webshell、木马、账号异常（较少，难度较大，攻击方进入内网后会隐匿好自己，避免触发告警，这需要监控人员对全流量日志分析的足够仔细）

  关于应急响应，很多人以为一上来就是各种查系统日志、查WEB日志、分析流量信息。然而，这样的做法是错误的。通常应急响应的都是安全监控平台上出现的高危告警事件，借助平台上的流量监控功能，可以有效确定攻击事件的时间和攻击事件的类型，再不者也可以缩小攻击时间范围。当我们确定了攻击事件的时间/时间段以及攻击事件的类型，那么再开始做系统分析，这样才可以最高效的进行应急响应工作。

  应急响应包括应急处置和应急溯源，所以在HW中，当研判组研判此告警事件为成功攻击告警事件时，处置组和溯源组是要同时应急响应起来的。这里要对应急处置特别说明一下，应急处置分临时处置和完全处置。举个例子，假如告警事件为Webshell上传成功，那么完全处置当然是将Webshell进行删除并将漏洞入口封堵起来（即漏洞修复），但是完全处置花费的时间比较久，所以就需要做临时处置的处理。

  在HW阶段，上班时间通常为7*8（三班倒）或者7*12（两班倒），周末不停歇，持续进行15天。当然如果是两班倒，真的够呛。

  首先想说一下hvv这件事对行业本身、对于国家的网络空域防护是很好且很重要的事情，但是对于防守企业，有极大几率会出现加班情况或者在实操过程中会觉得只有封堵IP的这种无技术上的含金量工作，导致了部分甲方人员进入了疲于应付的状态。hvv这一活动的加入，肯定会出现阵痛的短暂效应，不过长久来看，是很必须的。

  很多甲方在hvv过程中怕出现一些明显的异常问题，怕担责任，其实整个事件就为了发现更多的问题，如果未曾发现安全问题，没有提升甲方整个安全合作生态方的协同作战能力，如果没有提升自身的应急能力和更好的应急优化流程，那将是非常可惜的。对公司来说就是一次练兵。

  大家都知道，如果是在真实的攻击行动中，就算是一个web网站，为了一步步贴近目标，一般也要半月，甚至APT要潜伏5到10年才能拿到自己想要的数据。所以如果攻击方的时间仅有两周或者三周，且目标比较多的情况下，只能自动化、工具化。对于防守和预检测而言要有体系，有节奏。

  可分为安全硬件、安全软件、安全服务三类。当然，现在其实很多硬件和产品也都趋向于服务化了。

  HVV中，很多厂商的销售会首先跟客户那边沟通，规划大体的一个hvv防守用人需求出来，只不过有的厂商怕耽误事不敢提前预定外包的人，有的厂商会提前预定人。

  HVV中，很多厂商希望自己的产品能力能够获得展示，还是想通过hvv的时候想办法提供部分产品切入甲方的，平时采购需求较少。

  目前出现的HVV服务分包商解决的到底是哪一些问题，分包商利用的是信息不对称或者是认知不对称的问题，也就是说，厂商没那么大的精力去维系蓝队人员，也没那么多信息流去搞定蓝队人员，所以就出现了分包商来弄这其中的事情。分包商弄这个事情是为了盈利，也有的是为了打造自己的IP，为进一步搞定别的方面的事情做铺垫，比如说HVV他们能够少赚一点，可能在接下来的培训等事情上增加收益。hvv盈利点无非在于

  ，无非就是从这些角度去操作。现在的厂商都不傻，后面的考核应该会逐渐严格。

  如果是纯外包公司，甲方给的项目费用至少是人员成本的1.5-2倍才有利润的操作空间，不懂的可以看一下下面这个

  如果是短期外包，就像hvv这种，因为从厂商那边谈的价格基本都是按人天的价格计算，分包商只能赚中间的差价。假如说厂商给到的人员价格一天是1800，给厂商供给30个人或者50个人的大体利润率如下。这里面没有包含生源成本，还有时间、培训成本等，所以说这个钱还是不太好赚的。

  2.微信群公告投放 《意向统计表》进行接收意向人员报名信息；并投放《普遍的问题解答FAQ》及《公开课培训计划》

  3.根据意向统计表里面的报名信息，对中高等级人员接收一次个人简历，并拉入项目人员群，安排面试

  5.课程培训、面试培训，增加面试通过率，最后分发可能出现的面试题，并让人准备面试。