红队、蓝队和紫队组合：安全保障的协作方法_网络安全紫队

声明：本文非原创文章，为译文。如有争议，请以原文为准。原文地址传送门

网络安全是一项团队运动

红队、蓝队和紫队演习是创新的安全策略，可模拟现实生活中的网络攻击，以定位弱点，提高信息安全性，并最大限度地提高防御效率。

这种团队努力为组织的安全状况提供了现实的对抗性评估。 利用具有特定目标、提高风险意识、提高技能和持续改进心态的专业团队的专业知识。

随着越来越多的设备在互联网上上线，安全性已成为所有组织（无论大小）的挑战。 在过去的几年里，组织不得不适应局家工作的场景，并迅速采用从未经过测试的威胁模型。 对如此动态的威胁形势建立网络安全响应似乎令人生畏。

一种实用的网络安全方法需要在负责保护基础设施的不同团队之间进行协调。 在安全行业中有两个角色明确的重要团队。 我们有防守方、蓝队、进攻方或红队。

红队、蓝队的区别

蓝队

• 防御真正的攻击者和红队
• 主动保护组织免受网络攻击
• 保持对安全态势的持续警惕
• 根据红队和 SOC 的见解调整安全态势
• 不断改进检测和响应

蓝队的作用是保护组织免受野外威胁并提高组织的防御能力。蓝队及时检测威胁并根据其安全策略做出响应。除了检测和补救之外，他们还必须跟上新的威胁情报，并优先考虑针对此类威胁的缓解措施。因此，蓝队更关注使他们能够有效执行工作的工具，例如SOAR（安全编排、自动化和响应）和SIEM（安全信息和事件管理）工具。

红队

• 必须像黑客一样思考
• 测试组织安全计划的有效性。
• 模仿对手可能使用的工具、技术和流程。
• 长时间进行测试以发现漏洞。
• 提供对测试结果的完整审核。

红队的作用是以授权的方式识别组织中的差距。他们执行定期渗透测试以确定系统的安全性以及系统中存在哪些漏洞或错误配置。他们试图避开蓝队开发的检测并指出漏洞，以便防御者可以修复它们。使用的一些工具是 C2 框架 ，例如Metasploit，社会工程框架，如Social Engineering Toolkit(SET) 和资产发现工具，例如Amass，Shodan，ETC。

使用紫队构建闭环网络

不要犯错，蓝队和红队的作用是防止组织中的违规行为并改善组织的安全状况。

因此，双方必须协同努力，有效应对新的安全挑战。

• 两个团队必须携手确保对每项评估及其附带的分析进行全面审计。
• 红队将提供所有已执行评估的详细日志，蓝队将认真地解决测试期间发现的问题所需的所有纠正检测和缓解措施

这就是紫队的用武之地。
三支队伍的区别

红队+蓝队=紫队

了解蓝队和红队的观点对于理解紫队演习如何改善安全态势至关重要。不幸的是，即使它们服务于一个目的，但在没有积极监督的情况下，它们不可避免地会发生冲突。

从蓝队的角度来看，最少的警报表明安全控制在最佳状态下运行，有效地防止了威胁。同样，当大量警报开始出现时，也意味着实施的检测措施正在发挥作用。因此，蓝队没有动力帮助红队，因为红队的失败等同于蓝队的成功。

从红队的立场来看，一份包含多个发现的报告是一项出色的工作。绕过控制的数量衡量红队成员的成功。但是，同样，它导致帮助蓝队的动机为零，因为当蓝队失败时，它越等于红队的成功。

紫色团队的存在是为了准备红色和蓝色团队并促进情报共享。

紫队是一种方法，而不是组织内部的团队。紫色团队旨在使红色和蓝色团队在持续反馈和知识转移模型中工作，以最大限度地提高组织的网络能力。

红队的目的是改进蓝队，但如果两队之间没有持续的互动，这可能会失败。 需要共享信息、管理和指标，以便蓝队可以优先考虑他们的目标。通过成为攻击的一部分，蓝队了解攻击者的方法，使他们更有效地利用现有软件来预防威胁。同样，了解防御和思维方式可以让红队更有创造力，并找到组织特有的利用漏洞。

紫队：改善安全状况的关键步骤

紫队方法可以显着改善您的网络安全实践和文化。单一平台允许红队和蓝队以更好的方式协作。此外，它还允许团队之间有效地交换知识。例如，蓝队可以看到红队使用的方法，然后有效地提高他们的能力并将其标记为重新评估。

紫队理念是该组织在网络安全方面采用的关键步骤。它为网络安全投资提供了更好的投资回报率，并导致组织的安全状况更好。