“紫隊”的崛起:網絡攻防不僅僅是紅藍
作者:星期一, 六月 17, 20190

在網絡攻防演習中,除了攻防雙方的紅藍兩隊之外,作為 “下一代滲透測試” 的紫隊 (Purple Teaming) 相比于傳統的紅藍對抗,代表著更具協作性的方法。

1992年,電影《通天神盜》(Sneakers) 將 “紅隊” 一詞引入了流行文化。劇中,演員 Robert Redford、Sydney Poitier、Dan Aykroyd、David Strathairn 以及 River Phoenix 成立了一支安全專家團隊,他們受雇于國家安全局執行一項滲透測試服務,來測試該機構的系統安全性。

“紅隊” 一詞在當時可謂是具有革命性的一個概念——因為那時候 “滲透測試” 的概念尚未出現,一支 “友好的” 安全團隊試圖突破公司防御系統的想法也并不常見。如今,滲透測試已經發展成為任何網絡安全系統必不可少的組成部分,內部和外部紅隊在此過程中也發揮著至關重要的作用。

但 “紅隊” 并不是孤立存在的,組織經常也會使用 “藍隊”,即負責防御真實和模擬攻擊的內部安全團隊。如果這時候你對 “紅隊” 和 “藍隊” 在安全測試中是否以及如何密切地進行合作產生了好奇心,那么你就應該能夠理解 “紫隊” 在網絡安全領域崛起的原因了。

“紫隊” 與眾不同的原因何在?

多年來,組織一直在進行滲透測試:紅隊獨立發起攻擊來利用網絡并提供反饋;藍隊通常只知道評估正在進行中,并且負責保護網絡,就好像實際的攻擊活動正在進行中一樣。本質上來看,紅隊和藍隊是對抗性的,這就造成了沖突。如果紅隊獲勝,意味著安全漏洞;如果藍隊獲勝,意味著攻擊被遏制。但是,就組織進行滲透測試的目的而言,其關鍵并不在于輸贏,而在于學習了解,通過 “以組織的最佳利益為出發點” 讓組織變得更好。

最近兩年,這種紅隊找漏洞發起模擬攻擊,藍隊檢測并響應攻擊的傳統網絡安全演練逐漸進化,形成了 “紫隊” 演練模式。“紫隊” 與標準紅隊之間最重要的區別就是,其攻擊和防御方法都是預先確定的。與傳統紅/藍對抗的模式不同,紫隊模式是協作而迭代的。通過更透明而持續的過程,紫隊模式將紅藍兩隊擰到一起,幫助防御者更高效地緩解來自現實世界高度復雜的攻擊。攻方(即紅隊)通告守方(即藍隊)預定的攻擊計劃,執行攻擊,闡明所利用的安全漏洞,然后重放攻擊,以便守方能立即改善其控制措施。

如此一來,安全團隊便可以不再局限于識別漏洞并根據其初始假設進行工作。相反地,他們可以實時測試控件并模擬入侵者可能會在實際攻擊中使用的方法類型,將測試從被動轉變為主動。

總而言之,紫隊模式旨在讓公司企業可以在整個演練過程中持續提升安全態勢,獲得即時效益和長期價值。團隊可以應用最激進的攻擊環境,并采用更復雜的 “假設” 方案,通過這些方案來更全面地理解安全控制和流程,并在攻擊發生之前完成修復,而不再是存粹的 “對抗性” 關系。

欺騙技術如何為滲透測試增添價值

紅隊和紫隊之所以如此有價值的部分原因在于,它們提供了對攻擊者可能使用的具體策略和方法的可見性。組織可以通過將欺騙技術整合到測試程序中來增強這種可見性。如此一來獲得的好處包括:

1)通過誘使攻擊者與誘餌進行交互來今早地發現他們;

2)將完整的妥協指標 (IOC) 以及戰術、技術和程序 (TTP) 收集到橫向移動活動中,從而大幅增強對攻擊者如何以及何時繞過安全控制的可見性,豐富了通過演練產生的信息。

網絡欺騙可以在不干擾日常操作的情況下在網絡上部署陷阱和誘餌。基本的部署活動一般可以在一天內輕松完成,為藍隊提供一個與運營環境相融合的附加檢測機制。同時,這也為紅隊繞過防御控制提供了更多機會,迫使團隊成員更加謹慎行事,使模擬的攻擊場景變得更為真實。此外,它也為組織網絡環境的彈性及其響應事件的流程提供了更真實的測試。

紫隊的興起改變了許多組織進行滲透測試的方法,為老式的紅/藍對抗方法提供了更加協作的方式。網絡安全環境中不斷增加的欺騙技術部署,進一步增強了紅隊和藍隊的能力,允許他們采用更真實的方法進行滲透測試演練。

相關閱讀

紅藍對抗:怎樣組織有效模擬演習

提升事件響應準備度的3種新興技術

 

 


相關文章

寫一條評論

 

 

0條評論