从甲方角度浅析网络安全紫队

　　上一篇介绍《网络安全攻防中的色彩》，其中简单介绍了“紫队”。很显然，随着网络安全因素和企业应对能力的不断发展，企业内设的红队和蓝队存在着融合为紫队的发展方向。这也是任何一个网络安全管理者比如CSO，CISO等等都会想到的情况。

笔者：国际认证信息系统审计师、软考系统分析师

　　但相信对于大多数甲方管理者来说，究竟紫队和红、蓝队的具体区分，以及组建紫队的意义在哪里？

要了解紫队，首先要了解清楚，在网络安全领域，什么是红蓝团队。

　　“红队”和“蓝队”一词起源于军事术语，他们被分为两队；红队负责进攻，蓝队负责防守。尽管他们都是为了企业组织也就是甲方的安全而一起工作，但红蓝队伍在本质上是不同的。

　　网络安全的红队，是具有攻击能力的安全专业人员团队。他们的工作是通过模拟对组织安全的真实攻击来发现组织安全中的弱点和漏洞。

　　蓝队由网络安全专业人员构成，建立的目的是为了保护甲方的网络安全免受攻击。蓝队的日常工作包括执行漏洞扫描，创建安全补丁，分析系统并实施安全措施。

什么是紫队？

　　简单说，紫队是红蓝队的合并。紫队是进攻性和防御性的网络安全专业人员的结合，两种技术人员联合在一起，作为一个单一的单位来履行职责。

　　大多数企业组织的安全部门都是由红色和蓝色的团队组成的。尽管这些团体有相同的目标：加强业务的安全性。但他们独立地工作，朝着不同的、更小的目标前进，以实现对于企业组织整体有益的网络安全防护目标。

　　红队的任务是寻找企业组织信息系统中的漏洞和弱点，且在过程中避开蓝队的巡查检测，直到实现目标。而蓝队的目标则和红队相左，他们确保网络安全措施接近完美，弥补漏洞，消灭弱点，使红队铩羽而归。

　　但把企业内部人员区分开红蓝队的做法，事实上是存在一些缺陷的：两队人员分别训练，分别形成工作方法，分别产生工作报告，直到两份报告同时摆到管理者的桌面，才能充分说明两边工作的有效性。

　　最关键的：双方尤其是红队发现的问题要直到双方报告合并的这一刻才开始得到处理。这明显与当前网络安全态势瞬息变化的特点不符合。

紫队应如何开展工作？

　　紫队要同时执行本属于红队和蓝队的任务，这意味着紫队的工作内容包括进行渗透测试、漏洞发掘、对手仿真、威胁情报收集、取证分析、响应网络威胁和入侵、各种日志和操作记录的审计、运行安全操作中心（SOC）、实现安全自动化、对恶意软件进行逆向工程等等。

　　由于紫队同时由攻防两种人员构成，因此紫队的工作方式也和红蓝队分开的做法不同。

　　更符合紫队特征的工作方式，是专门针对某一特定的安全环节开展工作。比如怀疑身份验证系统存在问题，攻击人员和防御人员一起对该系统进行研究，通过想法的碰撞和实践去找出弱点，并同步进行修补。

　　如果实施得当，这种做法明显比盲目攻击和被动防御要高效得多。

紫队还有什么优势？

　　实际紫队的优势都是建立在这种模式如何调和两种不同工作职责人员的相互针对性，并发展出更好协作关系上。

所以首要优势就是人员的沟通和联动。

　　大型企业组织常常存在“部门墙”问题，尤其是当网络安全是由两个不同的部门团队来分别控制时，“部门墙”就难保不会出现。而合并红蓝队组建为紫队，人员之间的沟通和协作会相对变得容易，各种不必要的来回沟通和理解偏差会因为定位的一致而减少，尤其是对于项目化的工作机制来说，效率必然提升。

其次是提高了企业的网络安全防御体系有效性。

　　基于网络安全攻防两种知识体系的混合工作，攻防人员对专业知识的相互分享和融合，双方对彼此工作内容的理解程度和相互支持程度会得到提升。而网络安全的最大因素始终在于人，因此，网络安全防御体系的有效性也就得到了提高。

再次是更好地实现时间管理。

　　时间是网络安全领域的关键资源，尤其是各种0DAY漏洞的在野利用情况，使得时间因素往往决定了企业组织的安全防御体系有效与否。紫队整合红蓝两队，实现攻防人员有机协作、更快地检测和修补漏洞，可以极大地提高企业组织对网络风险的应对速度。

结论：

　　有效组织和管理的紫队模式，可以从根本上提高企业组织的网络安全风险管理和事件应对能力。紫队既是企业组织对红、蓝队综合管理能力提高后的产物，也是改善企业组织的网络安全态势的必然发展方向。

本页网址二维码：