紫隊這一概念的本質是指利用了組織安全態勢中紅藍方之間協作的任何方法、流程或活動。我所說的“紅方”是指任何攻擊模擬或進攻性安全活動。”藍方”是指組織采取的任何防御措施。我認為,當進攻和防守能力在紫隊演練中協調使用時,它代表了組織安全態勢中倒數第二個需要改進的能力。這不是沒有挑戰就可以完成的,有許多紫隊的活動更偏紅隊的性質,有些則更偏藍隊。在本章中,我將討論開展紫隊活動面臨的挑戰,并提供一些我認為行之有效的不同類型紫隊活動的示例。
挑戰
紫隊本身也會遇到許多與紅隊相同的困難,其中大多數都與人有關。要解決這些困難,單靠成功和專業的紅隊是很難做到的。除此之外,一個依靠攻防專業人員協同工作的協同作戰環境是極具挑戰性的。對于紅隊來說,人的問題所產生的挑戰可能只是使安全評估工作變得更困難或更無效,但人的問題卻會完全破壞紫隊的演練活動,并且往往會破壞工作關系,以至于紫隊永遠無法參與其中。
人員問題
在為客戶處理紅隊業務時,我遇到了幾個與人員關系有關的情況。在被客戶領導要求進行更多類似紫隊的活動數月后,紅隊聯系到了組織內部負責防守的藍隊人員。這個計劃是給藍隊成員提供更多關于我們在組織內活動的情報,以幫助他們發現和監視我們的能力。不幸的是,他們利用這些信息不僅發現和監視我們,而且還阻礙我們的紅隊活動,向管理層吹噓他們是如何抓住我們的,并定期停止我們的安全評估活動。這個消息傳到了負責紅隊的另一位技術經理那里,他很惱火地說我們被抓到了,被描繪成了無能的人,然后他和藍隊的同事發生了激烈的爭吵。在紫隊合作中,一兩個人無法保持專業性,這就破壞了團隊合作和一些工作關系,并最終浪費大量的時間和資源,除了讓一些人感到自我膨脹之外,幾乎沒有任何好處。
在另外一個不同的組織中,我進行了一次更有益但卻令人沮喪的紫隊演練,由于出現了不同的問題,導致最終與前一個例子的結果幾乎如出一轍。在這次演練中,紅隊的想法是測試藍隊使用的一些監控規則和警報,以確保組織的安全,并以半自動的方式執行事件響應。藍隊獲得了巨大的支持,在同意這項活動后,紅隊開始對監控能力執行半自動化評估。不幸的是,對藍隊來說,測試結果比預期的要糟糕得多,高層領導已經允許開展紫隊活動,并計劃聽取匯報。盡管紫隊演練工作中的藍隊已經同意并對活動感到興奮,但防守人員的意外失敗和隨之而來的演練匯報令他們極為尷尬。紫隊演練活動在提高管理層對提供更好的安全態勢的理解方面是非常有利的。然而,由于藍隊出人意料地表現不佳,他們在個人及專業方面都會感到尷尬,而現在組織能夠更加安全的事實幾乎讓他們不知所措。顯然,這是一個更加糟糕的例子,這說明了開展紫隊演練可能會出現的問題,盡管沒有人表現得不專業,也沒有任何事情與約定的計劃相悖,但人們仍然會對演練的結果產生分歧。
正如這些例子所說明的,紫隊中的人員問題無處不在,影響深遠。正如敵對的客戶和客戶員工的不專業行為破壞了紅隊一樣,他們也破壞了紫隊。如果紅隊或藍隊中的每個人在紫隊活動中都有自己的日程安排,這可能會使整個努力成為徒勞。更糟糕的是,即使所有相關人員行為得當,誤解或意外結果也會破壞紫隊演練活動的效益和持續性。盡管雙方都同意執行演練,但當紫隊的結果比較片面時,個別人可能會被忽略。人員斗爭不僅僅限于涉及的安全人員。管理層可以使用紫隊的結果導致額外的敵對努力。
例如,在前面的兩個例子中,如果一個藍隊的主管,向執行層領導要求升職加薪,但指出紅隊做的也很好,甚至遙遙領先,那么紅隊也可能得到額外的財政支持,這就很可能會出現極端困難的情況。
客戶需求
與成功的紅隊演練所面臨的技術和流程方面的挑戰類似,紫隊演練也很難充分滿足客戶需求。這本書的主題是關于開展專業的紅隊,從這個角度來看,藍隊通常都是甲方。拋開所有的觀點不談,紫隊中的客戶是一個組織,藍隊和紅隊作為提供商堆客戶來說是一種附屬的安全資產。根據我的經驗來看,這通常不是客戶對企業文化的看法,他們將紫隊視為紅隊產品的一部分并且比他們的藍隊更好。在與滲透測試人員的業務關系中尤其如此。除了執行成功的第三方攻擊性安全評估的重重障礙之外,你必須邀請客戶組織中潛在的敵對部分加入到你的供應商關系中。更糟糕的是,在這些情況下,紅隊并不能分配到客戶提供的有機藍隊資產。因此,紅隊所處的情況是,他們向客戶提供紫隊演練安全服務的成功取決于可能不會建立良好合作關系的藍隊資產,與紅隊資產不同,藍隊資產與客戶沒有業務關系,成功的積極性可能比較低。
這就是為什么優秀的紫隊在很大程度上往往在那些大型企業或那些具有成熟安全態勢的公司里才能成功推行的原因。這類組織也可能同時擁有有機紅隊和有機藍隊資產。紫隊在一個長期的周期性評估計劃中效果往往最好,這在更大的組織中也更普遍。但這并不意味著資源窗口較短的小組織不能實現紫隊演練的好處,只不過需要適當的調整,不能最終得到一個純粹負面的結果。客戶的需求往往驅動著紫隊工作該如何開展,供應商需要確保紫隊演練的期望與組織的安全態勢保持一致。如果客戶組織幾乎不具備安全監控能力,那么紅隊將會以不同的方式與藍隊進行合作,這比在安全監控能力比較成熟并需要對安全監控的某一部分進行協作評估的情況要更好。與常規的紅隊評估相比,紫隊對演練活動的準備工作更加敏感,應該特別注意與客戶組織的溝通,以確保紫隊是成功的且長期的。
紫隊的類型
紅隊和藍隊可以通過多種方式進行協作,以提高組織的安全性。如前所述,紫隊是一種讓紅隊和藍隊資產一起產生凝聚力的工作。我所說的典型的紫隊演練有兩類:一類是某一方不知情,不管是攻擊者(紅隊)還是客戶(藍隊),另一類是雙方都對對方的活動有一定程度的認知。此外,還有“紫隊”的“后紅隊評估”活動,在該活動中,各方共同致力于補救工作。接下來,我還將討論一些我在我個人參與過的紫隊演練活動中總結出的方法,我發現這些方法對組織安全的影響非常大。
互惠意識
紫隊演練最典型的例子可能就是紅藍雙方對彼此在演練中的活動和角色至少會有一些(通常幾乎相等)的理解。使用這種紫隊演練形式的好處是,它往往是最不具對抗性的,因為雙方都沒有保持太多彼此之間的聯系。紅隊成員知道藍隊會發現他們以及發現到什么程度,藍隊成員知道紅隊計劃的活動和目標。這種方法的一個缺點是它不適合紅隊進行最真實的攻擊模擬。在大多數情況下,這是執行這類活動的可接受的一部分。
作為一個專業的紅隊成員,在這種情況下,你對藍隊可能負有一些責任。除了做好操作記錄外,紅隊評估人員還應在漏洞利用開始前通知藍隊。基本上,紅隊成員應向藍隊提供操作說明中記錄的相同細節,如果可能的話,還應該實時提供。這意味著讓藍隊知道攻擊的來源、攻擊目標、發起攻擊的大概時間和準確時間,以及發起的攻擊類型。這種戰術使藍隊能夠實時改進并分析他們的監控和防御能力。如果該漏洞未通過監控工具發出警報,或未被防火墻或防病毒軟件成功阻止,則藍隊將立即知道,并能夠在紫隊繼續演練時采取適當的緩解措施。同樣,藍隊成員應該讓紅隊知道其活動何時會在網絡和基于主機的入侵檢測系統上被發現,以幫助紅隊成員改進和磨練他們的作戰計劃。在紫隊中,當紅隊和藍隊都對彼此的活動具備互惠意識時,那么這兩個團隊都會隨著評估的進行而提高。
不知情的防守者
另一種常見的紫隊評估是客戶的防守藍隊幾乎不知道紅隊的活動。在這些演練中,藍隊只得到了紅隊行動的模糊指示,并試圖通過努力搜尋、發現或阻止紅隊的行動來提高和磨練自己的能力。提供給藍隊的信息可能簡單到只是紅隊活動的開始日期和結束日期,也可能具體到他們會計劃針對組織的哪一部分資產進行集中評估或發起模擬攻擊的一些目標。紅隊知道了傳遞給藍隊的確切信息,并盡一切努力阻止被發現。這種演練方式的好處是可以讓紅隊提供真實的攻擊模擬,并增加攻擊執行的復雜度。缺點是這種方式有更大的潛力導致藍隊和紅隊之間的敵對環境,因為它本質上是讓兩支隊伍互相對抗,彼此競爭。
不知情的攻擊者
一個不太可能使用的紫隊范例是不知情的攻擊者。在這種情況下,模擬攻擊的紅隊評估人員對藍隊的能力或活動幾乎一無所知。紅隊也不知道藍隊正在收到有關紅隊行動的信息。這種情況使得組織的防御機構能夠實時、詳細地監測順其自然而進行的紅隊評估。這種紫隊演練基本上可以讓紅隊在整個演練過程中暢通無阻;最后,藍隊提供了關于紅隊進展情況的類似復盤性質的報告,以及從頭到尾監控紅隊攻擊模擬活動中獲得的知識。
藍隊也可以給紅隊制造點“麻煩”,看看紅隊隊員們的反應如何。這些挑戰可以是將遠程訪問工具使用的幾個監聽的網站拉入黑名單,或者是保護紅隊用來橫向移動的帳戶,或者是清理紅隊植入的某些跳板服務器。因為紅隊不知道它正在被實時跟蹤,所以紅隊成員對安全事件的反應就好像這些情況是正常評估的一部分。一個專業的紫隊評估的藍隊收集到的信息對于學習攻擊者的心態和良好道德黑客的自然反應是非常寶貴的。當作為更大的有機演練行動的一部分進行時,它允許紅隊從防守的角度受益,因為它有一個面向紅隊的最終報告。這種紫隊顯然不太可能出現在簡單的滲透測試人員與客戶的關系當中,但絕對是在有機的安全演練中磨練紅藍技能的創造性方法。
