紫隊(duì)這一概念的本質(zhì)是指利用了組織安全態(tài)勢(shì)中紅藍(lán)方之間協(xié)作的任何方法,、流程或活動(dòng)。我所說(shuō)的“紅方”是指任何攻擊模擬或進(jìn)攻性安全活動(dòng),?！彼{(lán)方”是指組織采取的任何防御措施。我認(rèn)為,，當(dāng)進(jìn)攻和防守能力在紫隊(duì)演練中協(xié)調(diào)使用時(shí),，它代表了組織安全態(tài)勢(shì)中倒數(shù)第二個(gè)需要改進(jìn)的能力,。這不是沒(méi)有挑戰(zhàn)就可以完成的，有許多紫隊(duì)的活動(dòng)更偏紅隊(duì)的性質(zhì),，有些則更偏藍(lán)隊(duì),。在本章中，我將討論開(kāi)展紫隊(duì)活動(dòng)面臨的挑戰(zhàn),，并提供一些我認(rèn)為行之有效的不同類型紫隊(duì)活動(dòng)的示例,。

　　挑戰(zhàn)

　　紫隊(duì)本身也會(huì)遇到許多與紅隊(duì)相同的困難，其中大多數(shù)都與人有關(guān),。要解決這些困難,，單靠成功和專業(yè)的紅隊(duì)是很難做到的。除此之外,，一個(gè)依靠攻防專業(yè)人員協(xié)同工作的協(xié)同作戰(zhàn)環(huán)境是極具挑戰(zhàn)性的,。對(duì)于紅隊(duì)來(lái)說(shuō)，人的問(wèn)題所產(chǎn)生的挑戰(zhàn)可能只是使安全評(píng)估工作變得更困難或更無(wú)效,，但人的問(wèn)題卻會(huì)完全破壞紫隊(duì)的演練活動(dòng),，并且往往會(huì)破壞工作關(guān)系，以至于紫隊(duì)永遠(yuǎn)無(wú)法參與其中,。

　　人員問(wèn)題

　　在為客戶處理紅隊(duì)業(yè)務(wù)時(shí),，我遇到了幾個(gè)與人員關(guān)系有關(guān)的情況。在被客戶領(lǐng)導(dǎo)要求進(jìn)行更多類似紫隊(duì)的活動(dòng)數(shù)月后,，紅隊(duì)聯(lián)系到了組織內(nèi)部負(fù)責(zé)防守的藍(lán)隊(duì)人員,。這個(gè)計(jì)劃是給藍(lán)隊(duì)成員提供更多關(guān)于我們?cè)诮M織內(nèi)活動(dòng)的情報(bào)，以幫助他們發(fā)現(xiàn)和監(jiān)視我們的能力,。不幸的是，他們利用這些信息不僅發(fā)現(xiàn)和監(jiān)視我們,，而且還阻礙我們的紅隊(duì)活動(dòng),，向管理層吹噓他們是如何抓住我們的，并定期停止我們的安全評(píng)估活動(dòng),。這個(gè)消息傳到了負(fù)責(zé)紅隊(duì)的另一位技術(shù)經(jīng)理那里,，他很惱火地說(shuō)我們被抓到了，被描繪成了無(wú)能的人,，然后他和藍(lán)隊(duì)的同事發(fā)生了激烈的爭(zhēng)吵,。在紫隊(duì)合作中，一兩個(gè)人無(wú)法保持專業(yè)性,，這就破壞了團(tuán)隊(duì)合作和一些工作關(guān)系,，并最終浪費(fèi)大量的時(shí)間和資源，除了讓一些人感到自我膨脹之外,，幾乎沒(méi)有任何好處,。

　　在另外一個(gè)不同的組織中,，我進(jìn)行了一次更有益但卻令人沮喪的紫隊(duì)演練，由于出現(xiàn)了不同的問(wèn)題,，導(dǎo)致最終與前一個(gè)例子的結(jié)果幾乎如出一轍,。在這次演練中，紅隊(duì)的想法是測(cè)試藍(lán)隊(duì)使用的一些監(jiān)控規(guī)則和警報(bào),，以確保組織的安全,，并以半自動(dòng)的方式執(zhí)行事件響應(yīng)。藍(lán)隊(duì)獲得了巨大的支持,，在同意這項(xiàng)活動(dòng)后,，紅隊(duì)開(kāi)始對(duì)監(jiān)控能力執(zhí)行半自動(dòng)化評(píng)估。不幸的是,，對(duì)藍(lán)隊(duì)來(lái)說(shuō),，測(cè)試結(jié)果比預(yù)期的要糟糕得多，高層領(lǐng)導(dǎo)已經(jīng)允許開(kāi)展紫隊(duì)活動(dòng),，并計(jì)劃聽(tīng)取匯報(bào),。盡管紫隊(duì)演練工作中的藍(lán)隊(duì)已經(jīng)同意并對(duì)活動(dòng)感到興奮，但防守人員的意外失敗和隨之而來(lái)的演練匯報(bào)令他們極為尷尬,。紫隊(duì)演練活動(dòng)在提高管理層對(duì)提供更好的安全態(tài)勢(shì)的理解方面是非常有利的,。然而，由于藍(lán)隊(duì)出人意料地表現(xiàn)不佳,，他們?cè)趥€(gè)人及專業(yè)方面都會(huì)感到尷尬,，而現(xiàn)在組織能夠更加安全的事實(shí)幾乎讓他們不知所措。顯然,，這是一個(gè)更加糟糕的例子,，這說(shuō)明了開(kāi)展紫隊(duì)演練可能會(huì)出現(xiàn)的問(wèn)題，盡管沒(méi)有人表現(xiàn)得不專業(yè),，也沒(méi)有任何事情與約定的計(jì)劃相悖,，但人們?nèi)匀粫?huì)對(duì)演練的結(jié)果產(chǎn)生分歧。

　　正如這些例子所說(shuō)明的,，紫隊(duì)中的人員問(wèn)題無(wú)處不在,，影響深遠(yuǎn)。正如敵對(duì)的客戶和客戶員工的不專業(yè)行為破壞了紅隊(duì)一樣,，他們也破壞了紫隊(duì),。如果紅隊(duì)或藍(lán)隊(duì)中的每個(gè)人在紫隊(duì)活動(dòng)中都有自己的日程安排，這可能會(huì)使整個(gè)努力成為徒勞,。更糟糕的是,，即使所有相關(guān)人員行為得當(dāng)，誤解或意外結(jié)果也會(huì)破壞紫隊(duì)演練活動(dòng)的效益和持續(xù)性。盡管雙方都同意執(zhí)行演練,，但當(dāng)紫隊(duì)的結(jié)果比較片面時(shí),，個(gè)別人可能會(huì)被忽略。人員斗爭(zhēng)不僅僅限于涉及的安全人員,。管理層可以使用紫隊(duì)的結(jié)果導(dǎo)致額外的敵對(duì)努力,。

　　例如，在前面的兩個(gè)例子中,，如果一個(gè)藍(lán)隊(duì)的主管,，向執(zhí)行層領(lǐng)導(dǎo)要求升職加薪，但指出紅隊(duì)做的也很好,，甚至遙遙領(lǐng)先,，那么紅隊(duì)也可能得到額外的財(cái)政支持，這就很可能會(huì)出現(xiàn)極端困難的情況,。

　　客戶需求

　　與成功的紅隊(duì)演練所面臨的技術(shù)和流程方面的挑戰(zhàn)類似,，紫隊(duì)演練也很難充分滿足客戶需求。這本書(shū)的主題是關(guān)于開(kāi)展專業(yè)的紅隊(duì),，從這個(gè)角度來(lái)看,，藍(lán)隊(duì)通常都是甲方。拋開(kāi)所有的觀點(diǎn)不談,，紫隊(duì)中的客戶是一個(gè)組織,，藍(lán)隊(duì)和紅隊(duì)作為提供商堆客戶來(lái)說(shuō)是一種附屬的安全資產(chǎn)。根據(jù)我的經(jīng)驗(yàn)來(lái)看,，這通常不是客戶對(duì)企業(yè)文化的看法,，他們將紫隊(duì)視為紅隊(duì)產(chǎn)品的一部分并且比他們的藍(lán)隊(duì)更好。在與滲透測(cè)試人員的業(yè)務(wù)關(guān)系中尤其如此,。除了執(zhí)行成功的第三方攻擊性安全評(píng)估的重重障礙之外,，你必須邀請(qǐng)客戶組織中潛在的敵對(duì)部分加入到你的供應(yīng)商關(guān)系中。更糟糕的是,，在這些情況下,，紅隊(duì)并不能分配到客戶提供的有機(jī)藍(lán)隊(duì)資產(chǎn)。因此,，紅隊(duì)所處的情況是，他們向客戶提供紫隊(duì)演練安全服務(wù)的成功取決于可能不會(huì)建立良好合作關(guān)系的藍(lán)隊(duì)資產(chǎn),，與紅隊(duì)資產(chǎn)不同,，藍(lán)隊(duì)資產(chǎn)與客戶沒(méi)有業(yè)務(wù)關(guān)系，成功的積極性可能比較低,。

　　這就是為什么優(yōu)秀的紫隊(duì)在很大程度上往往在那些大型企業(yè)或那些具有成熟安全態(tài)勢(shì)的公司里才能成功推行的原因,。這類組織也可能同時(shí)擁有有機(jī)紅隊(duì)和有機(jī)藍(lán)隊(duì)資產(chǎn)。紫隊(duì)在一個(gè)長(zhǎng)期的周期性評(píng)估計(jì)劃中效果往往最好,，這在更大的組織中也更普遍,。但這并不意味著資源窗口較短的小組織不能實(shí)現(xiàn)紫隊(duì)演練的好處,，只不過(guò)需要適當(dāng)?shù)恼{(diào)整，不能最終得到一個(gè)純粹負(fù)面的結(jié)果,?？蛻舻男枨笸?qū)動(dòng)著紫隊(duì)工作該如何開(kāi)展，供應(yīng)商需要確保紫隊(duì)演練的期望與組織的安全態(tài)勢(shì)保持一致,。如果客戶組織幾乎不具備安全監(jiān)控能力,，那么紅隊(duì)將會(huì)以不同的方式與藍(lán)隊(duì)進(jìn)行合作，這比在安全監(jiān)控能力比較成熟并需要對(duì)安全監(jiān)控的某一部分進(jìn)行協(xié)作評(píng)估的情況要更好,。與常規(guī)的紅隊(duì)評(píng)估相比,，紫隊(duì)對(duì)演練活動(dòng)的準(zhǔn)備工作更加敏感，應(yīng)該特別注意與客戶組織的溝通,，以確保紫隊(duì)是成功的且長(zhǎng)期的,。

　　紫隊(duì)的類型

　　紅隊(duì)和藍(lán)隊(duì)可以通過(guò)多種方式進(jìn)行協(xié)作，以提高組織的安全性,。如前所述,，紫隊(duì)是一種讓紅隊(duì)和藍(lán)隊(duì)資產(chǎn)一起產(chǎn)生凝聚力的工作。我所說(shuō)的典型的紫隊(duì)演練有兩類：一類是某一方不知情,，不管是攻擊者（紅隊(duì)）還是客戶（藍(lán)隊(duì)）,，另一類是雙方都對(duì)對(duì)方的活動(dòng)有一定程度的認(rèn)知。此外,，還有“紫隊(duì)”的“后紅隊(duì)評(píng)估”活動(dòng),，在該活動(dòng)中，各方共同致力于補(bǔ)救工作,。接下來(lái),，我還將討論一些我在我個(gè)人參與過(guò)的紫隊(duì)演練活動(dòng)中總結(jié)出的方法，我發(fā)現(xiàn)這些方法對(duì)組織安全的影響非常大,。

　　互惠意識(shí)

　　紫隊(duì)演練最典型的例子可能就是紅藍(lán)雙方對(duì)彼此在演練中的活動(dòng)和角色至少會(huì)有一些（通常幾乎相等）的理解,。使用這種紫隊(duì)演練形式的好處是，它往往是最不具對(duì)抗性的,，因?yàn)殡p方都沒(méi)有保持太多彼此之間的聯(lián)系,。紅隊(duì)成員知道藍(lán)隊(duì)會(huì)發(fā)現(xiàn)他們以及發(fā)現(xiàn)到什么程度，藍(lán)隊(duì)成員知道紅隊(duì)計(jì)劃的活動(dòng)和目標(biāo),。這種方法的一個(gè)缺點(diǎn)是它不適合紅隊(duì)進(jìn)行最真實(shí)的攻擊模擬,。在大多數(shù)情況下，這是執(zhí)行這類活動(dòng)的可接受的一部分,。

　　作為一個(gè)專業(yè)的紅隊(duì)成員,，在這種情況下，你對(duì)藍(lán)隊(duì)可能負(fù)有一些責(zé)任。除了做好操作記錄外,，紅隊(duì)評(píng)估人員還應(yīng)在漏洞利用開(kāi)始前通知藍(lán)隊(duì),。基本上,，紅隊(duì)成員應(yīng)向藍(lán)隊(duì)提供操作說(shuō)明中記錄的相同細(xì)節(jié),，如果可能的話，還應(yīng)該實(shí)時(shí)提供,。這意味著讓藍(lán)隊(duì)知道攻擊的來(lái)源,、攻擊目標(biāo)、發(fā)起攻擊的大概時(shí)間和準(zhǔn)確時(shí)間,，以及發(fā)起的攻擊類型,。這種戰(zhàn)術(shù)使藍(lán)隊(duì)能夠?qū)崟r(shí)改進(jìn)并分析他們的監(jiān)控和防御能力。如果該漏洞未通過(guò)監(jiān)控工具發(fā)出警報(bào),，或未被防火墻或防病毒軟件成功阻止,，則藍(lán)隊(duì)將立即知道，并能夠在紫隊(duì)繼續(xù)演練時(shí)采取適當(dāng)?shù)木徑獯胧?。同樣,，藍(lán)隊(duì)成員應(yīng)該讓紅隊(duì)知道其活動(dòng)何時(shí)會(huì)在網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)上被發(fā)現(xiàn)，以幫助紅隊(duì)成員改進(jìn)和磨練他們的作戰(zhàn)計(jì)劃,。在紫隊(duì)中,，當(dāng)紅隊(duì)和藍(lán)隊(duì)都對(duì)彼此的活動(dòng)具備互惠意識(shí)時(shí)，那么這兩個(gè)團(tuán)隊(duì)都會(huì)隨著評(píng)估的進(jìn)行而提高,。

　　不知情的防守者

　　另一種常見(jiàn)的紫隊(duì)評(píng)估是客戶的防守藍(lán)隊(duì)幾乎不知道紅隊(duì)的活動(dòng),。在這些演練中，藍(lán)隊(duì)只得到了紅隊(duì)行動(dòng)的模糊指示,，并試圖通過(guò)努力搜尋,、發(fā)現(xiàn)或阻止紅隊(duì)的行動(dòng)來(lái)提高和磨練自己的能力。提供給藍(lán)隊(duì)的信息可能簡(jiǎn)單到只是紅隊(duì)活動(dòng)的開(kāi)始日期和結(jié)束日期,，也可能具體到他們會(huì)計(jì)劃針對(duì)組織的哪一部分資產(chǎn)進(jìn)行集中評(píng)估或發(fā)起模擬攻擊的一些目標(biāo),。紅隊(duì)知道了傳遞給藍(lán)隊(duì)的確切信息，并盡一切努力阻止被發(fā)現(xiàn),。這種演練方式的好處是可以讓紅隊(duì)提供真實(shí)的攻擊模擬,，并增加攻擊執(zhí)行的復(fù)雜度。缺點(diǎn)是這種方式有更大的潛力導(dǎo)致藍(lán)隊(duì)和紅隊(duì)之間的敵對(duì)環(huán)境,，因?yàn)樗举|(zhì)上是讓兩支隊(duì)伍互相對(duì)抗,，彼此競(jìng)爭(zhēng)。

　　不知情的攻擊者

　　一個(gè)不太可能使用的紫隊(duì)范例是不知情的攻擊者,。在這種情況下，模擬攻擊的紅隊(duì)評(píng)估人員對(duì)藍(lán)隊(duì)的能力或活動(dòng)幾乎一無(wú)所知。紅隊(duì)也不知道藍(lán)隊(duì)正在收到有關(guān)紅隊(duì)行動(dòng)的信息,。這種情況使得組織的防御機(jī)構(gòu)能夠?qū)崟r(shí),、詳細(xì)地監(jiān)測(cè)順其自然而進(jìn)行的紅隊(duì)評(píng)估。這種紫隊(duì)演練基本上可以讓紅隊(duì)在整個(gè)演練過(guò)程中暢通無(wú)阻,；最后,，藍(lán)隊(duì)提供了關(guān)于紅隊(duì)進(jìn)展情況的類似復(fù)盤(pán)性質(zhì)的報(bào)告，以及從頭到尾監(jiān)控紅隊(duì)攻擊模擬活動(dòng)中獲得的知識(shí),。

　　藍(lán)隊(duì)也可以給紅隊(duì)制造點(diǎn)“麻煩”,，看看紅隊(duì)隊(duì)員們的反應(yīng)如何。這些挑戰(zhàn)可以是將遠(yuǎn)程訪問(wèn)工具使用的幾個(gè)監(jiān)聽(tīng)的網(wǎng)站拉入黑名單,，或者是保護(hù)紅隊(duì)用來(lái)橫向移動(dòng)的帳戶,，或者是清理紅隊(duì)植入的某些跳板服務(wù)器。因?yàn)榧t隊(duì)不知道它正在被實(shí)時(shí)跟蹤,，所以紅隊(duì)成員對(duì)安全事件的反應(yīng)就好像這些情況是正常評(píng)估的一部分,。一個(gè)專業(yè)的紫隊(duì)評(píng)估的藍(lán)隊(duì)收集到的信息對(duì)于學(xué)習(xí)攻擊者的心態(tài)和良好道德黑客的自然反應(yīng)是非常寶貴的。當(dāng)作為更大的有機(jī)演練行動(dòng)的一部分進(jìn)行時(shí),，它允許紅隊(duì)從防守的角度受益,，因?yàn)樗幸粋€(gè)面向紅隊(duì)的最終報(bào)告。這種紫隊(duì)顯然不太可能出現(xiàn)在簡(jiǎn)單的滲透測(cè)試人員與客戶的關(guān)系當(dāng)中,，但絕對(duì)是在有機(jī)的安全演練中磨練紅藍(lán)技能的創(chuàng)造性方法,。