为什么优秀的安全团队都在引入紫队

紫队策略是将红队的进攻战术与蓝队的防御措施相结合，形成统一的网络安全方法。沟通与合作是这一战略的基础，重点是不断发现和缩小安全缺口及短板，确保网络安全防御体系足够强大且能够响应不断变化的威胁。

在下文中，我们将深入探讨紫队的内部运作方式和它在加强网络安全防御方面不可或缺的作用，以及如何战略性地实施这种方法从而领先攻击者一步。

▌什么是紫队？

紫队是网络安全领域的战略思维，结合了红队和蓝队专业人员的技能，以查找并修复可能允许攻击者危害组织IT基础设施的任何潜在攻击路径。

这种组合策略可以通过持续的反馈、知识转移和复杂的网络攻击模拟的循环来加强组织的安全态势。紫队策略旨在发现任何潜在攻击路径，并提出可行的检测和缓解建议。

通常来说，紫队可以是一个专门的独立团队，比如在大型企业安全部门中，理想的综合性紫队通常包含我们通常说的红队和蓝队人员，包括渗透测试人员、安全分析师、事件响应人员、威胁情报人员和数据安全管理人员等。

但我们也可以说，紫队是一种利用红队和蓝队优势的策略。无论是否建立独立团队，紫队的目的都是帮助组织持续识别和解决安全短板，从而针对现实世界的网络威胁创建更强大、更有效的防御。

▌紫队在网络安全方面的目的是什么？

紫队的目的是利用红队与蓝队的综合专业知识来加强组织的安全态势，增强检测和响应能力，并主动识别和减轻风险。

1. 增强检测和响应能力 

通过进行联合攻防演练和攻击模拟，紫队帮助蓝队提高检测和响应现实世界网络威胁的能力。红队提供真实的攻击场景，使蓝队能够识别并解决其检测和响应过程中的任何弱点或差距。

2. 评估安全措施

紫队可以评估组织现有安全产品及措施的有效性，例如下一代防火墙（NGFW）、入侵检测和防御系统（IDS/IPS），以及端点保护解决方案，例如端点检测和响应（EDR）、扩展检测和响应（XDR）以及安全信息和事件管理（SIEM）。 

通过合作，模拟攻击的红队可以尝试绕过这些防御手段，而专注于防御的蓝队则可以监视和分析他们的活动。这种合作有助于识别潜在的防御弱点和其他需要加强安全防御的领域。

3. 识别漏洞并确定其优先级

紫队的演习可以发现组织的漏洞和可被对手利用以实现其目标的潜在攻击路径。红队识别弱点并利用它们，而蓝队评估漏洞的影响和严重性并制定可行的补救策略。这种协作方法有助于根据组织面临的现实风险确定修复工作的优先级。

4. 加强沟通与协作

紫队促进红队和蓝队之间更好的沟通和协作。通过合作，这些团队可以共享知识、技术和最佳实践。这种合作有助于弥合进攻和防御观点之间的差距，从而更全面地了解组织的安全态势。

5. 持续提升能力

紫队方法促进了持续优化改进的良性循环。通过定期协作和联合演习，组织可以完善其安全措施、事件响应流程、强健运营平台关联分析规则和整体网络安全策略。从紫队演习中吸取的经验教训可用于更新策略、实施新技术和有效培训人员。

总体而言，紫队的目的是通过促进红队和蓝队之间的协作和知识共享来提高组织的网络安全防御能力。 

▌组织进行紫队演习有什么好处？

通过持续进行紫队演习，组织可以显著增强其安全态势。通过结合进攻和防守团队的专业知识，增强威胁响应，促进知识共享，并确保最有效地利用安全资源。

1. 网络威胁管理的综合方法

紫队是一种集成的威胁管理方法。通过结合红队的进攻战术和蓝队的防守策略，紫队练习可以做到：

• 识别对手可能采取的攻击路径来危害组织的系统和网络

• 协作开发缓解解决方案，从而形成更强大的网络安全策略

构建、攻击和防御三角模型（Daniel Miessler ）

2. 改善事件响应

通过红队和蓝队的协作，紫队可以改善事件响应。他们可以模拟攻击，评估组织的响应，然后根据实际结果微调该响应。这不仅可以缩短威胁的平均检测时间（MTTD）和平均响应时间（MTTR），而且可以提供更有效的缓解建议。

3. 知识共享与转移

紫队营造了一个学习环境，可以自由分享有关攻击和防御策略的知识。这种持续的交流可以带来不断的改进，从而提高组织的整体网络安全成熟度。

4. 缩小红队和蓝队之间的错位

紫队充当红队和蓝队之间的桥梁，促进沟通与合作。这种一致性消除了任何潜在的信息孤岛，确保所有团队都致力于实现保护组织安全的共同目标。

5. 提高投资回报率

通过协调一致的努力，紫队可以帮助组织最大限度地提高网络安全工具和人员的投资回报。通过识别盲点和加强防御来确保资源得到有效利用。

6. 适应不断变化的威胁

网络威胁不断演变，静态防御远远不够。紫队演习提供了主动防御机制，不断测试、学习和适应威胁环境中的新战术、技术和程序（TTPs）。

▌红队、蓝队和紫队

紫队是一种需要红队和蓝队之间合作的心态，将双方的防守和进攻专业知识结合起来，以制定更有效的安全策略。这种组合使组织能够以超越红队或蓝队单独实现的速度和效率来识别和响应威胁。

以下是网络安全中红色、蓝队和紫队的角队和职责的比较：

▌紫队运行机制

紫队评估和缓解周期是一个迭代过程，旨在持续改进和优化组织的整体网络安全。该周期涉及红队和蓝队的整合和协作，以确保强有力和全面的安全措施。

紫队运行周期

1. 验证您的安全防御有效性

紫队的运行从红队的攻击行为开始，模拟和真实执行各类攻击手法，将可能被利用来破坏组织系统和网络的潜在攻击路径暴露出来，从而发现组织防御中的弱点并评估现有安全措施的效果。

2. 防御能力的量化和可视化

攻击行为将组织的安全防御短板暴露出来之后，将会以量化和可视化的方式呈现给各层级的人员，此时紫队需要落实蓝队的相应动作，评估哪些问题需要立即关注并确定优先级。

3. 提供缓解和优化建议

紫队策略是将红队的攻击路径以及所使用的技战术等攻击者视角的信息，有效传递给蓝队的角色，也就是提出针对性的缓解和应对建议，这一过程的关键点就在于红队与蓝队的信息高度共享。

一旦完成风险评估和缓解流程等蓝队行为，组织可以重新运行红队攻击行为，验证更新后的防御。 

验证和缓解的持续循环使红队和蓝队能够在不断变化的威胁形势中保持领先地位。紫队策略通过促进这一循环，帮助组织建立和维持最佳的防御。

▌紫队的挑战是什么？

紫队挑战包括管理有限的时间和资源、优先考虑不同的对手策略和安全漏洞，以及定制缓解和检测策略以适应特定的安全措施。

1. 时间和资源有限

红队模拟成千上万种对手战术、技术和程序（TTP）的过程既耗时又耗费资源。此外，快速变化的网络威胁形势需要威胁情报（TI）、红蓝团队做出快速响应。这些限制使得组织难以管理基于持续改进的流程并在红队、蓝队和IT团队之间保持高水平的协调。

2. 优先考虑短板和对手TTP

对于大多数组织的安全团队来说，实现对手TTP或MITRE ATT&CK技术的全面覆盖时间过长挑战很大。因此，红队和蓝队需要优先考虑TTP和防御策略中的弱点，从而使预防和检测这些TTP的任务进一步精准化。

3. 制定可行的缓解和检测策略

虽然网络上有许多资源提供通用缓解和检测建议，但这些建议通常无法直接落地。这需要团队调整和定制这些策略，也增加了额外的复杂性。

▌安全验证如何实现紫队价值

塞讯验证探索了高级网络安全实践和自动化测试的交叉点，通过还原真实APT攻击场景、持续验证各种安全防御产品和措施来最大化实现紫队在帮助组织保持弹性和适应不断变化的威胁环境方面的作用。

1. 威胁情报

塞讯安全实验室一直在追踪各类威胁组织、勒索团伙使用的新型攻击手段，并通过塞讯安全度量验证平台向我们的用户提供多维度可验证的基于攻击手法的威胁情报，用户通过对这部分威胁情报的分析，识别组织所在行业和位置的相关威胁。 

此外，平台内还会对追踪到的新型威胁提供可落地的缓解建议，使团队能够快速响应。

2. 验证范围覆盖各类安全措施

塞讯验证还原真实的攻击场景和手段，这些手段针对的是整体的防御体系、措施等等，因此可以覆盖多种多样的安全产品和解决方案，包括但不限于：

• 下一代防火墙（NGFW）

• Web 应用程序防火墙（WAF）

• 全网络流量分析（NTA）

• 入侵检测和预防系统（IPS 和 IDS）

• 端点检测和响应（EDR）解决方案

• 电子邮件网关解决方案

• 防病毒和反恶意软件解决方案

• 扩展检测和响应（XDR）技术

• 容器化安全解决方案

• 数据丢失防护（DLP）解决方案

• 应用程序自主免疫系统（RASP）

• 安全信息和事件管理（SIEM）系统

通过安全验证落实紫队策略

作为紫队策略，安全验证可以根据组织需求周期性持续运行，帮助组织保持适应性和弹性，从而使组织的安全态势与不断变化的威胁形势保持同步。

3. 通过安全验证发现防御短板

通过持续的周期性和对比性验证，促进安全防御手段的差距分析。通过汇总月度、季度或年度的验证结果，组织可以识别并报告经过实际验证的防御短板，从而清晰地了解组织的安全态势。

4. 安全验证可实现的问题发现与缓解优化

安全验证可以显著改善组织的预防性和检测性安全防御手段中的不足之处：

1）修复安全运维中的疏漏

在安全验证过程中，塞讯安全度量验证平台协助用户发现各类很难在日常安全运维过程中出现的问题，这些问题包括：

• 各类安全设备是否在正常的工作——负载情况、特征库更新、日志发送位置、时间准确；
• 关键资产是否被正常的保护——终端解决方案的覆盖度、终端解决方案工作情况、主机行为审计情况；

• 安全信息和事件管理（SIEM）或安全运营中心（SOC）是否正常接收日志——日志时间准确性、日志存储位置、日志处理延时、日志丢失。

2）改善预防性安全措施的不足

当前绝大部分的安全产品都是基于签名库方式进行工作，安全验证可帮助发现这些产品签名库的短板，包括签名库的持续更新情况以及签名库的完整性情况。塞讯安全度量验证平台可提供所有验证样例的签名特征值，使运营团队根据组织的独特要求及其使用的安全产品自定义检测规则。

3）缓解告警疲劳并提高报警精准度

当前用户环境中的安全信息和事件管理（SIEM）、安全运营中心（SOC）或扩展检测和响应（XDR）平台中都存在着海量的告警，安全运营团队每天的工作就沉浸在处理无限循环的海量告警，这样最终会造成运营团的告警疲劳。那么如何才能从这海量的日志中提取出更加精准、有效、需要处理的报警成为了运营团队头疼的问题，塞讯安全度量验证平台通过其独有的威胁组织、勒索团伙的攻击情报，形成可直接验证的攻击剧本，这些攻击剧基于攻击阶段进行编排，在验证过程中将会触发各类安全产品的报警。用户可以基于这些安全报警在运营平台上创建出针对这些威胁组织或攻击手法的报警用例可提高平台报警的精准度。

4）通过缓解建议进行补救

最后，塞讯安全度量验证平台提供了威胁库中所有威胁的攻击手法及具体可落地的缓解建议。这些攻击手法及缓解建议支持蓝队全面的实施补救措施。它包括特定于某安全产品的规则和与供应商无关的规则，每一项规则都会定期进行误报测试。塞讯安全度量验证平台通过提供特定的 SIEM 和 EDR 检测规则以及与供应商无关的 SIGMA 规则，进一步增强了此功能。

总体而言，安全验证将紫队流程的许多方面都自动化了，使其更加高效、一致和全面。这种持续、自动化的方法可以帮助组织改善其安全状况，更快地识别和弥补安全漏洞，并更有效地响应现实世界的威胁。

▌常见问题 Q & A

组织应该多久进行一次紫队演习？

组织应考虑持续进行紫队演习，以保持最新的安全态势并有效应对不断变化的威胁。安全验证可以持续评估安全措施的有效性，识别安全漏洞，并根据所执行的攻击手段提供可行的缓解建议，从而实现主动和自适应的网络安全方法。

紫队如何改进对未发现的成功对手活动的检测？

紫队策略促进红队与蓝队之间的协作，这样可以进行全面的安全分析，确保即使是未发现的成功对手活动也能被检测到。这种合作方法弥合了沟通差距，从而提高了对安全威胁的理解和检测。

紫队需要哪些技能？

紫队的基本技能包括对进攻性和防御性网络安全策略的深入理解。其中包括渗透测试、入侵检测、漏洞评估、威胁情报、事件响应和安全分析。为了确保红队和蓝队之间的有效协作，还需要强大的沟通技巧。

较小的组织可以从实施紫队战略中受益吗？

即使规模较小的组织也可以从紫队中受益匪浅。它可以帮助他们了解自己的安全状况、识别弱点并设计有效的缓解策略。此外，它使这些组织能够针对不断变化的网络威胁形势保持最新的防御策略。

紫队如何有助于组织的整体安全态势？

紫队通过结合红队和蓝队的优势来增强组织的整体安全态势。它确保对安全防御体系进行全面评估，识别弱点并提供可行的缓解策略。通过促进协作，它使组织的防御能够适应现实世界的威胁并对其做出响应。

用持续验证   建长久安全

塞讯验证是国内网络安全度量验证平台开创者，率先提出利用真实自动化APT攻击场景来持续验证安全防御有效性概念, 旨在用安全验证技术来帮助客户实现365天持续评估自身安全防御体系效果，已在金融、高科技、关键信息基础设施等重点行业多家标杆客户中获得商业化落地验证。

核心团队均来自于全球知名网络安全公司和APT研究机构，拥有业界突出的安全研究与APT组织追踪能力。两大研发团队分别位于上海和杭州，致力于为客户打造最优秀的安全验证产品。我们在北京、上海、深圳、杭州均设有分支机构，服务可覆盖全国各个角落。

关注【塞讯安全验证】，了解塞讯安全度量验证平台以及更多安全资讯

关注【塞讯业务观测验证】，了解最前沿的业务观测与IT运营相关技术、观点及趋势