大家好 我们提醒您,不久前我们出版了两本关于
黑客和
恶意软件分析的经典书籍。 还有一本关于
Kali Linux发行版的极好的书。 尽管如此,我们仍然认为计算机安全性主题并未完全涵盖在我们的范围内,并且想问问您关于Yuri Diogenes和Erdal Ozkaj在检查企业信息安全时关于红队和蓝队的相互作用的
书的看法。
根据削减,我们提供了一篇文章,描述了红色和蓝色团队的工作差异,并让我们了解了紫罗兰色团队的职责。
顺便说一下,我们建议
在今天的作者
博客上发布程序员和非程序员的文章-有趣!
在信息安全领域,红色,蓝色和紫色团队的定义有些混乱。 下面我将提出自己的观点,并告诉我与这些定义相关的现象。
定义
红色团队是一个第三方组织,负责验证有效性:
- 公司制定了安全计划。 为此,以最现实的方式再现了可能进攻的敌人的行动和技巧。 这种做法类似于渗透测试,但并不相同。 红色工作团队追求一个或多个目标。
- 蓝队是由安全专家组成的内部公司团队,可以保护公司免受真正的攻击者和红队的攻击。 蓝队应该与大多数组织中的标准计算机安全专家区分开来,因为大多数全职安全专家没有配置为在持续不断的监视攻击的基础上工作-也就是说,在这种模式下,真正的蓝队应该采取行动并与情况相关。
- 紫色团队是理想的冗余团队,其任务是确保和最大化红色和蓝色团队的效率。 这是通过将防御和蓝队技术与红队在单一背景下发现的威胁和漏洞进行调查相结合来完成的,从而确保双方都能从中受益最大。 如果采用正确的方法,则1 + 1等于3,但是应该如此,因为这是红色和蓝色团队互动的含义。
红色团队的目标是找到改善蓝色团队工作的方法,因此在红色和蓝色团队之间建立良好互动的组织中,不需要紫色团队。
紫色命令的误用:类推如果他们告诉我有关紫罗兰色命令的错误使用,我将给您提供一些我通常会使用的明显类比:即迫使红军与蓝军互动。
1.不下订单的服务员:在一家餐厅,不可能强迫服务员从厨房拿菜并分发给客人。 解决方案:我们聘请了“厨房-餐厅协调员”,他们专业地将订单交付到餐桌。 当询问经理:为什么要为此工作雇用额外的雇员而不分配给服务员-经理回答:
服务员说这不是他们的工作。
2.在厨房里放碗的精英厨师:请专家到餐厅来看看:如果这样的高级才华横溢的厨师在餐厅工作,为什么餐厅会蒙受损失。 显然,由于客人被迫等待很长时间才能订购的菜肴,有时这些菜肴根本无法带来。 进入厨房后,控制器会在烤箱附近找到一整盘上等的盘子。 他问厨师为什么不把这些菜发送给订购的客人,而厨师回答:
“与这些愚蠢的服务员和愚蠢的客人相比,我对食物的了解要好得多。 你知道我学到了多少菜吗? 即使我允许他们吃饭,他们也不会理解他们,我也不会感觉到。 所以我把盘子放在这里。
太好了:我们有拒绝在桌子上供应菜品的服务生,还有不允许将菜品带出厨房的厨师。
这是红色团队,拒绝与蓝色互动。
如果您遇到这样的问题,那么您需要动态地解决红蓝团队的互动问题,而不是雇用其他人,而是将红蓝团队的部分工作委托给他们。
概念与哲学
红色和蓝色团队彼此之间完美和谐地完美协作-拍手时就像两只手掌一样。
就像突击与防御的阴与阳一样,红与蓝团队在战术和行为角度上是完全对立的,但是正是由于这些差异,他们才形成了一个健康有效的整体。
红军进攻,蓝军防守,但他们的主要目标是改善组织中的安全指标。
当红队和蓝队一起工作时,会出现一些常见的问题:
- 红军认为自己太酷了,无法与蓝军共享信息
- 红色团队被拖入组织,在其中被中和,限制和士气低落,其结果是有效性急剧下降
- 红色和蓝色团队无法按事物顺序持续进行互动,因此,竞争对手实例中的经验教训实际上是在丢失。
- 显然,信息安全经理不会将红色和蓝色团队视为同一项目的参与者,因此它们之间不会交换信息,度量结果和实践。
遭受一个或多个这些不幸的组织在逻辑上认为他们需要Violet团队来解决问题。 但是,“紫罗兰色”应被理解为一种功能或概念,而不应理解为一个独立的团队,并且不断地工作。 这个概念是双方在实现共同目标的道路上的合作与互利。
当外部观察者分析您的主要团队(红色和蓝色)之间的互动是如何建立的并提出建议进行修改时
,紫罗兰色团队可能会
参与到工作中。 当有人实时观看两个团队时,可能会出现涉及Violet团队的练习。 或与Violet团队开会,当两个团队聚在一起时,讨论实践中的故事,并讨论各种攻击和防御方法。
底线是:您需要强迫蓝色和红色团队制定与优化组织中的工作相关的共同目标,而不要在此系统中添加不必要的实体。
紫色团队可以比作家庭顾问。 有一个可以在配偶之间建立联系的人是很好的,但在任何情况下都不允许丈夫和妻子仅通过中介进行交流。
总结
- 红队模仿入侵者的策略,以发现在保护其工作所在组织方面存在的差距。
- 蓝色团队保护自己免受攻击者攻击,并致力于组织中使用的防护设备的不断优化。
- 通常,在公司中安排红蓝团队的工作时,就会在他们之间建立定期的知识交流,这将使他们俩不断受益。
- 紫罗兰色的团队经常被用来刺激两组之间的持续融合,而蓝和红团队的关键问题并没有解决:它们之间的信息交流很困难。
- 可以将紫罗兰色团队概念化为合作或互动点的形式,而不是崇高而理想的冗余对象。
- 在组织中,红色团队的唯一目标是提高蓝色团队的效率,因此,紫色团队的价值自然应该来自他们的互动,而不是有目的的。
注意事项
- 所有这些规定都适用于任何安全操作,但是在本文中,我着重强调了信息安全。
- 老虎队是一个让人联想到红队的现象,但并不完全相同。 在1964年的一篇文章中,“老虎”的定义是“一群不受约束且不受限制的安全专业人员,他们是根据自己的经验,精力和想象力选出来的,他们的任务是稳定地监视航天器各个子系统故障的所有可能情况。” 今天,“红色团队”一词已被用作同义词。
- Red团队与要测试的组织保持一定距离很重要,这是打开它必要的审查并允许您从模仿的攻击者的角度查看问题的原因。 在自己的安全部门框架内,组成内部红队的组织通常(极少数例外)通常会逐渐剥夺红队的权力,权威和自由,因为它失去了作为真正的攻击者的能力。 随着时间的流逝(大约在几个月内发生),红色团队开始工作时才是真正的精英,高效地工作,变成了束手无策,停滞不前,最终无能为力的团队。
- 紫罗兰色团队不仅充当调解人,不仅帮助组织建立不成熟的程序,还使管理人员习惯于攻击者的行为,起初这些攻击者可能会吓simply许多组织的专家。
- 内部公司红队的效率逐渐下降的另一个方面是,红队的代表通常对尝试雇用他们的公司的文化适应性很差。 换句话说,在一家可以负担一支真正的红队的公司中,通常会形成一种无法与精英红队成员相处的文化。 内部公司红队的成员常常因此而精疲力尽。
- 从技术上讲,可以通过内部公司红队实现效率; 根本不可能保护这个团队并且可以依靠高层管理人员的支持。 所有这些通常会导致破坏,沮丧和倦怠。
- 公司内部的红队陷入的一个普遍陷阱是权限和行动范围的缩小,直至完全无效。 此时此刻,管理层吸引了顾问,他们得到了全力支持,并向公司法院提出了许多有趣的发现。 然后,当局惊呼:“哇! 他们真棒! 伙计们,您为什么不能这样做?” 通常,在进行这样的交谈之后,人们会去领英。
- 红队还没有准备好进行合作的其他类比:只能踢球但不能传球的职业足球运动员; 试图用一只手鼓掌的专业黑客,不写报告的专业审核员,不联系学生的专业老师。 我想你了解我。