Day1 紫隊這條路：何謂紫隊培訓與紅藍隊差異

前言

各位好，我是飛飛，好久不見，又在一年一度的鐵人賽與各位相見，今年一樣也是有許多內容想分享與設計，但最終選擇：資安這條路：系統化養成紫隊提升企業防禦能力的主題。

目前在台灣尚未有法律、規範可以遵循紫隊相關的內容，因此本系列的內容將結合網路資源、個人經驗來整理、總結、設計紫隊相關的內容，若有引用相關網路資源的內容時，將於文章後附上引用來源。

若有相關經驗的讀者也歡迎於留言區分享相關的知識內容，一起讓台灣相關的資安資源更豐富。

主要目標受眾

1. 對資安有興趣，未來想進入資安產業工作
2. 企業想提升防禦策略，希望能按步就班的學習防禦策略
3. 企業想加強紫隊人員/部門培養

名詞解釋

為了避免新手對於名詞上的不足，因此整理一個區塊，先讓新手了解資訊安全中的定義，也希望能讓新手更好地理解文章內容，若有其他名詞不懂也歡迎於文章底下留言：

• 資安
  • 資訊安全（Information Security）
  • 保護資訊系統、資料不會受到駭客攻擊造成：
    • 資料被竄改(資料完整性損失)
    • 資料被沒有驗證的存取(資料機密性損失)
    • 資料無法存取(資料可用性損失)
• 紅隊
  • 以駭客思維，協助企業檢測系統、網路、網站找到弱點。
• 藍隊
  • 企業內部進行防禦的部門與人。
• 紫隊
  • 結合紅隊和藍隊，以確保兩者之間的溝通並提高企業的整體安全能力和狀態。
• 個資
  • 個人資料，指能夠識別個人身份的任何資訊。
• NIST
  • 美國國家標準與技術研究所（National Institute of Standards and Technology）
  • 一個研發新的和改善現有技術的聯邦機構。
• 弱點掃描
  • 識別系統弱點的過程，用自動化工具來找出系統的安全漏洞。
• 滲透測試
  • 多以人工測試，針對企業系統找到弱點。
• 社交工程
  • 攻擊者利用騙取受害者信任來取得或破壞敏感資訊。
• 釣魚攻擊
  • 攻擊者偽裝受害者會相信的內容(信件、網站)來竊取受害者個資。

什麼是紫隊與紅隊、藍隊有什麼不同

利用簡單的例子讓大家了解紅隊、藍隊和紫隊之間的不同。

每一個人的家，就好像古世紀的城堡，而城堡內部有珍藏的寶藏。

寶藏指你的個人資料（個資）、企業的商業機密（財務報表、客戶名單）、工廠的機器參數。

想像你的家是一間有寶藏的城堡，而這寶藏就代表你重要的個資、資料或者企業的商業機密。

目前有主要幾個角色：

1. 好心的小偷：主要目標是進入城堡偷你的寶藏，但會跟你說用了什麼方法進去城堡，怎麼偷走寶藏。
2. 守衛：主要目標保護寶藏不讓小偷偷走，同時需要知道小偷什麼時候進來，進來之後想辦法把小偷趕走，加強城堡讓小偷下次不能進來。
3. 城堡的策略家：目的是讓城堡更安全，會從了解小偷的方法，也知道守衛的防禦方式，協助雙方找到好的修復方法，因為有時候守衛的防禦方式，會讓進出城堡的村民不方便，因此要找到平衡的方式。

在資訊安全的領域中，很多研究人員與企業都希望從駭客攻擊手法學習並且了解駭客的攻擊思路，到衍生的模擬駭客的攻擊。

好心的小偷，也就是紅隊：針對企業，模擬駭客攻擊手法，並且找到弱點，並提供一份報告，告知企業弱點所在以及建議如何修復。

城堡的守衛，也就是藍隊：企業內部中的資訊部門與資安部門，針對紅隊的攻擊衍生的防禦措施，甚至是監控、監測攻擊來源。

城堡的策略家，也就是紫隊是一個結合了紅隊和藍隊能力的策略性組織或方法，甚至希望可以確保紅隊與藍隊之間的溝通橋樑，兩者結合之後，可以更好評估與提高企業的整體安全能力與狀態。

紫隊意識逐漸提升的原因：紅隊演練時，與企業的藍隊可能有衝突發生

實務中企業想要加強資訊安全，其實會面臨很大的目標衝突，舉例來說，企業請紅隊，而紅隊成員多半是委外請資安公司的團隊成員來協助企業確認可能存在的弱點。

而紅隊的目標：希望可以找到越多的漏洞越好。

而企業本身的藍隊，多半都是自身公司的資訊部門、資安部門，這些角色則是希望公司弱點越少越好，因此很容易站在紅隊的對立面。

基於紅隊提供的服務，如弱點掃描、滲透測試、紅隊演練、BAS、漏洞挖掘等服務內容，此時紅隊的建議修復方式、防禦方式，會讓藍隊因自身的防禦策略與營運考量中窒礙難行，因此需要有協調雙方的角色。

所以紫隊的角色誕生，藉由協調與安排，除了有效將紅隊與藍隊的價值提高，更多的是希望企業的安全能有效提升。

如何建立紫隊或如何培養紫隊成員

前期撰寫方向

由上述內容中知道紫隊介於紅隊與藍隊之間，因此本篇文章旨向入門讓成員既有紅隊攻擊知識也具備藍隊的相關技能，具備「知道攻擊，做到有效防禦，最後加強管理」的能力。

將在每一次的攻擊流程撰寫對應的防禦方式，也提供可能的管理方法。

後期撰寫方向

安排 RSA Conference 2023 中由 Jorge Orchilles 所提出的 Purple Team Exercise Framework (PTEF) V3

• 如何建立與安排紫隊相關演練規劃
• 紫隊演練包含整個企業人員、流程、技術
• 介紹提到的演練報告與撰寫

簡易知識地圖

以下評估相對應能力的簡易知識地圖，讓讀者可以更了解學習方向與目標。指標與內容也會針對 Workforce Framework for Cybersecurity (NICE Framework) https://niccs.cisa.gov/workforce-development/nice-framework 所提出的
Abilities、Knowledge、Skills、Tasks 進行對應。

NICE Framework

• NIST 美國資訊安全與通訊整合中心開發與維護
• 提供資安相關人員的教育訓練與專業發展
• 元素
  • 能力 Abilities
    • 該職位完成工作的核心能力
  • 知識 Knowledge
    • 該職位具備的理論與知識
  • 技能 Skills
    • 該職位需要具體掌握的技能
      • 技術能力
      • 軟實力
  • 任務 Tasks
    • 常見該職位需要執行的工作

基礎技能培訓

在學習紅藍隊之前可以先有基礎知識與技能，可以讓自己在學習過程中少卡關。

• 網路基礎
  • 網路概論
  • 了解網路常見的協定(K0001、K0221)
  • 會使用常見的網路故障排除工具(K0111)
    • ping
    • tracert
    • netstat
  • 能解釋網路故障排出工具的內容(A0159)
  • 網路封包工具使用(K0301)
    • Wireshark
    • tcpdump
• 系統基礎
  • 了解不同的作業系統操作與指令(K0318)
    • Windows
    • Linux 與其子系列
    • macOS
• 程式碼基礎
  • 能寫程式碼和腳本

紅隊相關培訓

• 熟知攻擊手法
  • 如社交工程、釣魚攻擊、密碼破解
  • 其他攻擊手法
• 熟悉常見紅隊服務
  • 弱點掃描
  • 滲透測試
  • 紅隊演練
  • BAS（Breach and Attack Simulation） 入侵與攻擊突破模擬 服務
  • 漏洞挖掘
• 了解攻擊流程
  • 系統安全測試的方法(K0290、K0342)
  • 識別漏洞(S0167)
  • 網站常見漏洞(K0624)
• 漏洞利用工具
  • 掌握 Metasploit, Nmap, Burp Suite 等紅隊工具

藍隊訓練

建立藍隊思維，跳脫單純以「能用就好」的情境，於設計、開發、佈署、設定中，都加入安全的考量。

• 防禦原理與分析
  • 流量收集(K0143)
  • 入侵偵測原理(S0025)
• 防禦設備
  • 防火牆/次世代防火牆
  • 入侵偵測系統(IDS)/入侵檢測系統(IPS)(K0324)
  • 其他設備
• 防禦策略
  • 日誌監控
  • 網路分隔
  • 開發安全
  • 其他策略

演練與真實情境模擬

不論是針對紅隊、藍隊和紫隊的演練，都可以透過規劃、演練、從經驗中學習的流程，加強。

• 規劃：確定演練的目的、範圍和策略
• 演練：執行攻擊和防禦策略
• 學習：回顧演練，分析結果，學習和改進

關於演練劇本的設計，多半都是希望能仰賴真實情境，加強攻擊思路、防禦策略以及紫隊透過雙方的合作，找到修復弱點與有效達成雙方共好的防護的方法。

持續學習

由於資安手法不斷更新，因此需要持續學習和更新知識。

• 新資安情資
• 新攻擊手法
• 新防禦策略

相關紫隊網路資源整理

• EnterprisePurpleTeaming
  • Purple Team Resources for Enterprise Purple Teaming: An Exploratory Qualitative Study by Xena Olsen.
• RSA Conference 2023 中由 Jorge Orchilles 所提出的 Purple Team Exercise Framework (PTEF) V3
• 遊走紅隊與藍隊：Purple man 我的超人

參考資料

• 【臺灣資安大會直擊】解決攻防團隊各司其職、目標衝突的現象，紅藍隊演練需要透過紫隊來居間協調