在这2年相当热门的红队演练(Red Team)中,找出企业弱点的攻击方红队,与执行防守工作的蓝队之间,由于工作指标的方向完全不同,导致两个团队可能因此站在彼此对立面,而产生会有误解或是不满,影响红队演练的效果。因此,通过紫队(Purple Team)来居间协调、仲裁,成为近期的新兴热门话题。奥义智能安全研究员姜尚德,他在2020 Cybersec台湾安全大会里,便特别以自己公司创建紫队的经验,来介绍紫队在红队演练的重要性。
为何企业会需要“紫队”?姜尚德说,在红队演练的工作任务中,因为红蓝两队之间属性的缘故,导致他们的绩效指标可能完全相反,以红队来说,他们主要的指标是尽可能找出企业的安全问题,但对于蓝队而言,他们则是要避免公司暴露越少的安全问题。这样的情况,往往会导致蓝队会认为红队总是在找他们的麻烦,老是专门挑那种他们难以处理的漏洞下手;对于红队而言,则可能会觉得蓝队采取被动、老派的作风,多一事不如少一事,甚至是觉得有些问题很严重,蓝队却总是不愿意处理,但事实上蓝队可能遇到了没有办法解决的情况。这种红蓝队彼此之间认知上的鸿沟,势必会造成红队演练执行上的障碍,对此,企业需要设立紫队来改善这种现况。
姜尚德说,在没有紫队的情况下,他曾经听闻过有些蓝队会对于红队发现的漏洞,告诉对方漏洞的问题就是存在某些情况,而无法处理,要求红队不要把漏洞写入报告之中。这种两队之间私了的情况,显然会让红队演练失去原本的用意。
整体来说,成立紫队主要是消弭红队演练之间的鸿沟,让蓝队与红队能站在同一阵线。随之而来的好处,包含可以降低企业侦测与回应攻击的时间(MTTD和MTTR),并且增加企业安全监控的成熟度等。
不过,有了紫队就不需要红蓝队了吗?答案显然不是如此。针对黑客能够滥用的攻击弱点,企业想要降低攻击面的做法之中,从早期通过弱点管理,来掌握还没修补的CVE漏洞,到针对特定范围进行渗透测试(Penetration Testing),再来是诉求整体系统的红队演练等,姜尚德指出,这几项工作没有互相取代的关系,例如有了红队演练,企业还是要做弱点管理。同样地,紫队也不是直接把红队和蓝队整合,因此无法取代红队演练的工作。
那么,究竟企业要如何成立紫队呢?姜尚德提出了两种准备工作的面向,其中一种与人有关,包含了挑选紫队成员及设立裁判;另一层面则是界定范围与目标。
他说,召集紫队成员的方式,通常是来自于红队与蓝队的成员,因此挑出合适的人员参与,是成立紫队相当重要的工作。因为,蓝队的成员往往负责不同面相的工作,像是管理防火墙、IPS、端点计算机防护等,熟悉的领域会有所不同,紫队便可能需要精通各领域的人投入;而红队参与的人员也需要了解公司网络环境,因此也不能派出菜鸟来担任紫队工作。不过,紫队的成员不一定是专职,很可能是原本红队和蓝队的人兼任。
在成员之外,还有要负责决策的“裁判”,由于要决定弱点的处理方向,或是必须优先处理的工作项目,这个裁判通常会是由安全部门的高端主管、首席信息官(CIO),或者是首席安全官(CSO)来担任。姜尚德举例,红队通过PowerShell发动攻击,蓝队表示他们不能封锁PowerShell而置碍难行,此时裁判就要进行判断,决定是否暂缓处理,或者要求蓝队采取替代方案来因应,而非任由蓝队说做不到就完全放着不给处理,造成偏袒的情况。
有了上述的成员,接下来紫队就是要界定红队演练的范围与目标。像是企业打算要在红队演练纳入社交工程,就要假设会有员工不慎点开钓鱼邮件,因此,在演练的过程里,企业的入侵防御系统(IPS)、端点侦测与回应系统(EDR),以及安全事件管理系统(SIEM)等,就可能是企业需要纳入测试的目标。
其中,企业首先要找出攻击面,包含那些地方是可能会被攻击,以及针对曾经遭遇过的攻击事件里所出现的手法,企业是否仍有尚未缓解的部分?姜尚德说,企业可以参考如ATT&CK一类的安全框架,来汇集整理现在企业出现的攻击面。
而对于攻击事件的处理方向,姜尚德认为企业必须留意,不能停留在头痛医头、脚痛医脚的层面,而是要找出事件背后的真正威胁。他举出近期的目标式勒索攻击事件为例,企业就不是只有着重于防堵勒索软件,应该要了解背后黑客如何渗透到内部环境,姜尚德说,以此前提设计的红队演练,才会真正达到防范此种攻击的效果。
再者,则是红队演练完成后,两队参与紫队的成员也应该要即时探讨结果,这样才能红蓝两队在技术上很快进入状况,进而反馈到蓝队的侦测与防守上。