紫隊(duì)這一概念的本質(zhì)是指利用了組織安全態(tài)勢(shì)中紅藍(lán)方之間協(xié)作的任何方法、流程或活動(dòng)。我所說(shuō)的“紅方”是指任何攻擊模擬或進(jìn)攻性安全活動(dòng)。”藍(lán)方”是指組織采取的任何防御措施。我認(rèn)為，當(dāng)進(jìn)攻和防守能力在紫隊(duì)演練中協(xié)調(diào)使用時(shí)，它代表了組織安全態(tài)勢(shì)中倒數(shù)第二個(gè)需要改進(jìn)的能力。這不是沒(méi)有挑戰(zhàn)就可以完成的，有許多紫隊(duì)的活動(dòng)更偏紅隊(duì)的性質(zhì)，有些則更偏藍(lán)隊(duì)。在本章中，我將討論開展紫隊(duì)活動(dòng)面臨的挑戰(zhàn)，并提供一些我認(rèn)為行之有效的不同類型紫隊(duì)活動(dòng)的示例。

　　挑戰(zhàn)

　　紫隊(duì)本身也會(huì)遇到許多與紅隊(duì)相同的困難，其中大多數(shù)都與人有關(guān)。要解決這些困難，單靠成功和專業(yè)的紅隊(duì)是很難做到的。除此之外，一個(gè)依靠攻防專業(yè)人員協(xié)同工作的協(xié)同作戰(zhàn)環(huán)境是極具挑戰(zhàn)性的。對(duì)于紅隊(duì)來(lái)說(shuō)，人的問(wèn)題所產(chǎn)生的挑戰(zhàn)可能只是使安全評(píng)估工作變得更困難或更無(wú)效，但人的問(wèn)題卻會(huì)完全破壞紫隊(duì)的演練活動(dòng)，并且往往會(huì)破壞工作關(guān)系，以至于紫隊(duì)永遠(yuǎn)無(wú)法參與其中。

　　人員問(wèn)題

　　在為客戶處理紅隊(duì)業(yè)務(wù)時(shí)，我遇到了幾個(gè)與人員關(guān)系有關(guān)的情況。在被客戶領(lǐng)導(dǎo)要求進(jìn)行更多類似紫隊(duì)的活動(dòng)數(shù)月后，紅隊(duì)聯(lián)系到了組織內(nèi)部負(fù)責(zé)防守的藍(lán)隊(duì)人員。這個(gè)計(jì)劃是給藍(lán)隊(duì)成員提供更多關(guān)于我們?cè)诮M織內(nèi)活動(dòng)的情報(bào)，以幫助他們發(fā)現(xiàn)和監(jiān)視我們的能力。不幸的是，他們利用這些信息不僅發(fā)現(xiàn)和監(jiān)視我們，而且還阻礙我們的紅隊(duì)活動(dòng)，向管理層吹噓他們是如何抓住我們的，并定期停止我們的安全評(píng)估活動(dòng)。這個(gè)消息傳到了負(fù)責(zé)紅隊(duì)的另一位技術(shù)經(jīng)理那里，他很惱火地說(shuō)我們被抓到了，被描繪成了無(wú)能的人，然后他和藍(lán)隊(duì)的同事發(fā)生了激烈的爭(zhēng)吵。在紫隊(duì)合作中，一兩個(gè)人無(wú)法保持專業(yè)性，這就破壞了團(tuán)隊(duì)合作和一些工作關(guān)系，并最終浪費(fèi)大量的時(shí)間和資源，除了讓一些人感到自我膨脹之外，幾乎沒(méi)有任何好處。

　　在另外一個(gè)不同的組織中，我進(jìn)行了一次更有益但卻令人沮喪的紫隊(duì)演練，由于出現(xiàn)了不同的問(wèn)題，導(dǎo)致最終與前一個(gè)例子的結(jié)果幾乎如出一轍。在這次演練中，紅隊(duì)的想法是測(cè)試藍(lán)隊(duì)使用的一些監(jiān)控規(guī)則和警報(bào)，以確保組織的安全，并以半自動(dòng)的方式執(zhí)行事件響應(yīng)。藍(lán)隊(duì)獲得了巨大的支持，在同意這項(xiàng)活動(dòng)后，紅隊(duì)開始對(duì)監(jiān)控能力執(zhí)行半自動(dòng)化評(píng)估。不幸的是，對(duì)藍(lán)隊(duì)來(lái)說(shuō)，測(cè)試結(jié)果比預(yù)期的要糟糕得多，高層領(lǐng)導(dǎo)已經(jīng)允許開展紫隊(duì)活動(dòng)，并計(jì)劃聽取匯報(bào)。盡管紫隊(duì)演練工作中的藍(lán)隊(duì)已經(jīng)同意并對(duì)活動(dòng)感到興奮，但防守人員的意外失敗和隨之而來(lái)的演練匯報(bào)令他們極為尷尬。紫隊(duì)演練活動(dòng)在提高管理層對(duì)提供更好的安全態(tài)勢(shì)的理解方面是非常有利的。然而，由于藍(lán)隊(duì)出人意料地表現(xiàn)不佳，他們?cè)趥€(gè)人及專業(yè)方面都會(huì)感到尷尬，而現(xiàn)在組織能夠更加安全的事實(shí)幾乎讓他們不知所措。顯然，這是一個(gè)更加糟糕的例子，這說(shuō)明了開展紫隊(duì)演練可能會(huì)出現(xiàn)的問(wèn)題，盡管沒(méi)有人表現(xiàn)得不專業(yè)，也沒(méi)有任何事情與約定的計(jì)劃相悖，但人們?nèi)匀粫?huì)對(duì)演練的結(jié)果產(chǎn)生分歧。

　　正如這些例子所說(shuō)明的，紫隊(duì)中的人員問(wèn)題無(wú)處不在，影響深遠(yuǎn)。正如敵對(duì)的客戶和客戶員工的不專業(yè)行為破壞了紅隊(duì)一樣，他們也破壞了紫隊(duì)。如果紅隊(duì)或藍(lán)隊(duì)中的每個(gè)人在紫隊(duì)活動(dòng)中都有自己的日程安排，這可能會(huì)使整個(gè)努力成為徒勞。更糟糕的是，即使所有相關(guān)人員行為得當(dāng)，誤解或意外結(jié)果也會(huì)破壞紫隊(duì)演練活動(dòng)的效益和持續(xù)性。盡管雙方都同意執(zhí)行演練，但當(dāng)紫隊(duì)的結(jié)果比較片面時(shí)，個(gè)別人可能會(huì)被忽略。人員斗爭(zhēng)不僅僅限于涉及的安全人員。管理層可以使用紫隊(duì)的結(jié)果導(dǎo)致額外的敵對(duì)努力。

　　例如，在前面的兩個(gè)例子中，如果一個(gè)藍(lán)隊(duì)的主管，向執(zhí)行層領(lǐng)導(dǎo)要求升職加薪，但指出紅隊(duì)做的也很好，甚至遙遙領(lǐng)先，那么紅隊(duì)也可能得到額外的財(cái)政支持，這就很可能會(huì)出現(xiàn)極端困難的情況。

　　客戶需求

　　與成功的紅隊(duì)演練所面臨的技術(shù)和流程方面的挑戰(zhàn)類似，紫隊(duì)演練也很難充分滿足客戶需求。這本書的主題是關(guān)于開展專業(yè)的紅隊(duì)，從這個(gè)角度來(lái)看，藍(lán)隊(duì)通常都是甲方。拋開所有的觀點(diǎn)不談，紫隊(duì)中的客戶是一個(gè)組織，藍(lán)隊(duì)和紅隊(duì)作為提供商堆客戶來(lái)說(shuō)是一種附屬的安全資產(chǎn)。根據(jù)我的經(jīng)驗(yàn)來(lái)看，這通常不是客戶對(duì)企業(yè)文化的看法，他們將紫隊(duì)視為紅隊(duì)產(chǎn)品的一部分并且比他們的藍(lán)隊(duì)更好。在與滲透測(cè)試人員的業(yè)務(wù)關(guān)系中尤其如此。除了執(zhí)行成功的第三方攻擊性安全評(píng)估的重重障礙之外，你必須邀請(qǐng)客戶組織中潛在的敵對(duì)部分加入到你的供應(yīng)商關(guān)系中。更糟糕的是，在這些情況下，紅隊(duì)并不能分配到客戶提供的有機(jī)藍(lán)隊(duì)資產(chǎn)。因此，紅隊(duì)所處的情況是，他們向客戶提供紫隊(duì)演練安全服務(wù)的成功取決于可能不會(huì)建立良好合作關(guān)系的藍(lán)隊(duì)資產(chǎn)，與紅隊(duì)資產(chǎn)不同，藍(lán)隊(duì)資產(chǎn)與客戶沒(méi)有業(yè)務(wù)關(guān)系，成功的積極性可能比較低。

　　這就是為什么優(yōu)秀的紫隊(duì)在很大程度上往往在那些大型企業(yè)或那些具有成熟安全態(tài)勢(shì)的公司里才能成功推行的原因。這類組織也可能同時(shí)擁有有機(jī)紅隊(duì)和有機(jī)藍(lán)隊(duì)資產(chǎn)。紫隊(duì)在一個(gè)長(zhǎng)期的周期性評(píng)估計(jì)劃中效果往往最好，這在更大的組織中也更普遍。但這并不意味著資源窗口較短的小組織不能實(shí)現(xiàn)紫隊(duì)演練的好處，只不過(guò)需要適當(dāng)?shù)恼{(diào)整，不能最終得到一個(gè)純粹負(fù)面的結(jié)果?？蛻舻男枨笸?qū)動(dòng)著紫隊(duì)工作該如何開展，供應(yīng)商需要確保紫隊(duì)演練的期望與組織的安全態(tài)勢(shì)保持一致。如果客戶組織幾乎不具備安全監(jiān)控能力，那么紅隊(duì)將會(huì)以不同的方式與藍(lán)隊(duì)進(jìn)行合作，這比在安全監(jiān)控能力比較成熟并需要對(duì)安全監(jiān)控的某一部分進(jìn)行協(xié)作評(píng)估的情況要更好。與常規(guī)的紅隊(duì)評(píng)估相比，紫隊(duì)對(duì)演練活動(dòng)的準(zhǔn)備工作更加敏感，應(yīng)該特別注意與客戶組織的溝通，以確保紫隊(duì)是成功的且長(zhǎng)期的。

　　紫隊(duì)的類型

　　紅隊(duì)和藍(lán)隊(duì)可以通過(guò)多種方式進(jìn)行協(xié)作，以提高組織的安全性。如前所述，紫隊(duì)是一種讓紅隊(duì)和藍(lán)隊(duì)資產(chǎn)一起產(chǎn)生凝聚力的工作。我所說(shuō)的典型的紫隊(duì)演練有兩類：一類是某一方不知情，不管是攻擊者（紅隊(duì)）還是客戶（藍(lán)隊(duì)），另一類是雙方都對(duì)對(duì)方的活動(dòng)有一定程度的認(rèn)知。此外，還有“紫隊(duì)”的“后紅隊(duì)評(píng)估”活動(dòng)，在該活動(dòng)中，各方共同致力于補(bǔ)救工作。接下來(lái)，我還將討論一些我在我個(gè)人參與過(guò)的紫隊(duì)演練活動(dòng)中總結(jié)出的方法，我發(fā)現(xiàn)這些方法對(duì)組織安全的影響非常大。

　　互惠意識(shí)

　　紫隊(duì)演練最典型的例子可能就是紅藍(lán)雙方對(duì)彼此在演練中的活動(dòng)和角色至少會(huì)有一些（通常幾乎相等）的理解。使用這種紫隊(duì)演練形式的好處是，它往往是最不具對(duì)抗性的，因?yàn)殡p方都沒(méi)有保持太多彼此之間的聯(lián)系。紅隊(duì)成員知道藍(lán)隊(duì)會(huì)發(fā)現(xiàn)他們以及發(fā)現(xiàn)到什么程度，藍(lán)隊(duì)成員知道紅隊(duì)計(jì)劃的活動(dòng)和目標(biāo)。這種方法的一個(gè)缺點(diǎn)是它不適合紅隊(duì)進(jìn)行最真實(shí)的攻擊模擬。在大多數(shù)情況下，這是執(zhí)行這類活動(dòng)的可接受的一部分。

　　作為一個(gè)專業(yè)的紅隊(duì)成員，在這種情況下，你對(duì)藍(lán)隊(duì)可能負(fù)有一些責(zé)任。除了做好操作記錄外，紅隊(duì)評(píng)估人員還應(yīng)在漏洞利用開始前通知藍(lán)隊(duì)?；旧?，紅隊(duì)成員應(yīng)向藍(lán)隊(duì)提供操作說(shuō)明中記錄的相同細(xì)節(jié)，如果可能的話，還應(yīng)該實(shí)時(shí)提供。這意味著讓藍(lán)隊(duì)知道攻擊的來(lái)源、攻擊目標(biāo)、發(fā)起攻擊的大概時(shí)間和準(zhǔn)確時(shí)間，以及發(fā)起的攻擊類型。這種戰(zhàn)術(shù)使藍(lán)隊(duì)能夠?qū)崟r(shí)改進(jìn)并分析他們的監(jiān)控和防御能力。如果該漏洞未通過(guò)監(jiān)控工具發(fā)出警報(bào)，或未被防火墻或防病毒軟件成功阻止，則藍(lán)隊(duì)將立即知道，并能夠在紫隊(duì)繼續(xù)演練時(shí)采取適當(dāng)?shù)木徑獯胧Ｍ瑯?，藍(lán)隊(duì)成員應(yīng)該讓紅隊(duì)知道其活動(dòng)何時(shí)會(huì)在網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)上被發(fā)現(xiàn)，以幫助紅隊(duì)成員改進(jìn)和磨練他們的作戰(zhàn)計(jì)劃。在紫隊(duì)中，當(dāng)紅隊(duì)和藍(lán)隊(duì)都對(duì)彼此的活動(dòng)具備互惠意識(shí)時(shí)，那么這兩個(gè)團(tuán)隊(duì)都會(huì)隨著評(píng)估的進(jìn)行而提高。

　　不知情的防守者

　　另一種常見(jiàn)的紫隊(duì)評(píng)估是客戶的防守藍(lán)隊(duì)幾乎不知道紅隊(duì)的活動(dòng)。在這些演練中，藍(lán)隊(duì)只得到了紅隊(duì)行動(dòng)的模糊指示，并試圖通過(guò)努力搜尋、發(fā)現(xiàn)或阻止紅隊(duì)的行動(dòng)來(lái)提高和磨練自己的能力。提供給藍(lán)隊(duì)的信息可能簡(jiǎn)單到只是紅隊(duì)活動(dòng)的開始日期和結(jié)束日期，也可能具體到他們會(huì)計(jì)劃針對(duì)組織的哪一部分資產(chǎn)進(jìn)行集中評(píng)估或發(fā)起模擬攻擊的一些目標(biāo)。紅隊(duì)知道了傳遞給藍(lán)隊(duì)的確切信息，并盡一切努力阻止被發(fā)現(xiàn)。這種演練方式的好處是可以讓紅隊(duì)提供真實(shí)的攻擊模擬，并增加攻擊執(zhí)行的復(fù)雜度。缺點(diǎn)是這種方式有更大的潛力導(dǎo)致藍(lán)隊(duì)和紅隊(duì)之間的敵對(duì)環(huán)境，因?yàn)樗举|(zhì)上是讓兩支隊(duì)伍互相對(duì)抗，彼此競(jìng)爭(zhēng)。

　　不知情的攻擊者

　　一個(gè)不太可能使用的紫隊(duì)范例是不知情的攻擊者。在這種情況下，模擬攻擊的紅隊(duì)評(píng)估人員對(duì)藍(lán)隊(duì)的能力或活動(dòng)幾乎一無(wú)所知。紅隊(duì)也不知道藍(lán)隊(duì)正在收到有關(guān)紅隊(duì)行動(dòng)的信息。這種情況使得組織的防御機(jī)構(gòu)能夠?qū)崟r(shí)、詳細(xì)地監(jiān)測(cè)順其自然而進(jìn)行的紅隊(duì)評(píng)估。這種紫隊(duì)演練基本上可以讓紅隊(duì)在整個(gè)演練過(guò)程中暢通無(wú)阻；最后，藍(lán)隊(duì)提供了關(guān)于紅隊(duì)進(jìn)展情況的類似復(fù)盤性質(zhì)的報(bào)告，以及從頭到尾監(jiān)控紅隊(duì)攻擊模擬活動(dòng)中獲得的知識(shí)。

　　藍(lán)隊(duì)也可以給紅隊(duì)制造點(diǎn)“麻煩”，看看紅隊(duì)隊(duì)員們的反應(yīng)如何。這些挑戰(zhàn)可以是將遠(yuǎn)程訪問(wèn)工具使用的幾個(gè)監(jiān)聽的網(wǎng)站拉入黑名單，或者是保護(hù)紅隊(duì)用來(lái)橫向移動(dòng)的帳戶，或者是清理紅隊(duì)植入的某些跳板服務(wù)器。因?yàn)榧t隊(duì)不知道它正在被實(shí)時(shí)跟蹤，所以紅隊(duì)成員對(duì)安全事件的反應(yīng)就好像這些情況是正常評(píng)估的一部分。一個(gè)專業(yè)的紫隊(duì)評(píng)估的藍(lán)隊(duì)收集到的信息對(duì)于學(xué)習(xí)攻擊者的心態(tài)和良好道德黑客的自然反應(yīng)是非常寶貴的。當(dāng)作為更大的有機(jī)演練行動(dòng)的一部分進(jìn)行時(shí)，它允許紅隊(duì)從防守的角度受益，因?yàn)樗幸粋€(gè)面向紅隊(duì)的最終報(bào)告。這種紫隊(duì)顯然不太可能出現(xiàn)在簡(jiǎn)單的滲透測(cè)試人員與客戶的關(guān)系當(dāng)中，但絕對(duì)是在有機(jī)的安全演練中磨練紅藍(lán)技能的創(chuàng)造性方法。