[Day26] 公司資安團隊的組成：紅隊、藍隊、紫隊

15th鐵人賽 ids 入侵偵測系統紅隊藍隊紫隊

凱特

2023-10-11 23:54:05

530 瀏覽

分享至

我之前都只知道有紅隊藍隊，直到看到了這篇文——解決攻防團隊各司其職、目標衝突的現象，紅藍隊演練需要透過紫隊來居間協調，才知道原來還有紫隊！

因此想用這篇文整理一下紅隊、藍隊、紫隊不同之處，以及入侵偵測系統又是誰主要負責的。

本篇大綱
一、公司裡的資安團隊是如何組成的？
二、紅隊是什麼？
三、藍隊是什麼？
四、紫隊是什麼？

一、公司裡的資安團隊是如何組成的？

在公司中，資安團隊是確保網路和資訊系統安全的關鍵力量。
資安團隊的組成可以因組織的大小和需求而異，但通常包括以下角色：
- 資安經理（Security Manager）：資安團隊的領導者，負責策略制定、資源管理和團隊協調。
- 資安分析師（Security Analyst）：負責監控和分析網路流量、偵測威脅並回應安全事件。
- 入侵偵測系統/入侵防禦系統專家（IDS/IPS Specialist）：管理和設定入侵偵測和防禦系統，監控網路流量，並應對入侵。
- 資安工程師（Security Engineer）：負責設計、實施和維護安全解決方案，並協助解決安全問題。
- 安全意識培訓師（Security Awareness Trainer）：教育和培訓組織成員，提高他們的安全意識和知識。
- 數據保護專家（Data Protection Specialist）：負責保護敏感數據，包括數據加密和訪問控制。
- 恢復和應急專家（Recovery and Emergency Specialist）：規劃和執行故障恢復和應急計劃，以應對災難性事件。
關於紅隊、藍隊和紫隊的概念，它們通常不是資安團隊的角色，可以想成是一種安全操作模式：
- 紅隊（Red Team）：模擬攻擊者，嘗試測試和評估組織的安全防禦，以發現漏洞並提高安全性。
- 藍隊（Blue Team）：代表防禦方，負責監控網路和系統，偵測和應對潛在威脅，保護組織的資訊資產。
- 紫隊（Purple Team）：結合紅隊和藍隊的方法，通常是合作模式，用於共同評估和改進組織的安全性。
以下就來針對紅隊、藍隊、紫隊介紹一下～

延伸閱讀：資安攻防怎麼做？唐鳳：紅藍須並重結合成「紫隊」

二、紅隊是什麼？

紅隊主要任務是模擬攻擊者的行為，以測試組織的安全防禦能力。目標是發現和揭示組織在資安方面的漏洞和薄弱點，幫助提升系統的安全性。
紅隊的主要特點和活動：
1. 模擬攻擊行為：紅隊成員模擬攻擊者，使用類似的技術和策略來進行攻擊，以確定漏洞和潛在風險。
2. 測試安全措施：測試安全措施，包含：防火牆、入侵偵測系統、漏洞修復等，以確保這些措施能有效阻止攻擊。
3. 漏洞探測：會嘗試尋找系統和應用程式中的漏洞，並嘗試利用這些漏洞來進行入侵。
4. 警報和報告：會生成警報和報告，提供給藍隊來進行後續應對和改進。
5. 培訓和意識提高：培訓資安人員和提高內部用戶對資安風險的認識。

三、藍隊是什麼？

藍隊代表的是防禦方，負責保護網路和資訊系統，防止入侵和攻擊。他們會負責配置和使用入侵偵測系統（IDS）和入侵防禦系統（IPS），監控網路流量，偵測和應對潛在的安全事件。當紅隊發起攻擊時，藍隊的工作是迅速識別和應對這些攻擊。
藍隊成員通常是資安專業人員，例如：資訊安全分析師、系統管理員、網路工程師。
藍隊的主要職責和活動：
1. 資安監控：負責監控資訊系統和網路流量，以及資訊安全事件和異常活動。會使用安全資訊和事件管理（SIEM）系統、入侵偵測系統（IDS）和入侵防禦系統（IPS）等工具。
2. 漏洞管理：定期掃描系統和應用程式，以識別潛在的漏洞並採取措斷修復它們，以減少攻擊面。
3. 安全策略和措施：負責設計、實施和維護系統的安全策略和措施，包含：防火牆配置、身分驗證和授權機制、資訊加密等。
4. 事件反應：當資安事件或攻擊發生時，藍隊負責迅速應對，調查事件並加以解決、隔離受影響系統、數據恢復和修復、報告事件等。

四、紫隊是什麼？

紫隊是資安領域中的一個相對新興概念，目的是將紅隊和藍隊的方法和目標結合，提升整體資安運營的效能。主要任務是促進藍隊和紅隊之間的合作，確保資安防禦和威脅偵測的有效性。
紫隊的主要特點和活動：
1. 實時測試和訓練：在紫隊中，藍隊成員可以實時觀察和學習紅隊的攻擊行為，有助於提高其應對和應急反應的能力。
2. 攻擊和防禦演練：紫隊能進行攻擊和防禦演練，其中紅隊模擬攻擊，而藍隊試圖偵測和阻止攻擊。這有助於確保資安措施的有效性。
3. 即時反饋和改進：允許立即分享反饋，讓藍隊能夠立即採取措施改進其資安防禦。
4. 威脅情報共享：可以促進有關威脅情報的共享，讓團隊更好地了解當前的威脅環境。