前言

本系列的前段內容，我們一路熟悉資安相關的名詞，並且從攻擊、防禦、管理對應的細節進行展開介紹之後，在此篇我們以 Purple Team Exercise Framework (PTEF) 展開紫隊演練相關的內容進行介紹。

Purple Team Exercise Framework (PTEF)

一個提供紫隊演練與紫隊計畫的框架，主要分成以下四個組成，下面的文章也會進行詳細的介紹：

1. 紫隊演練 (Purple Team Exercise)
   臨時性的演練，通過不同的網路安全團隊進行，以測試、衡量並優化人員、流程和技術

2. 紫隊操作 (Operationalized Purple Team)
   當有新的威脅情報或TTPs（Tactics, Techniques, and Procedures，策略、技術和流程）發布時，虛擬團隊會聚集起來

3. 專門的紫隊 (Dedicated Purple Team)
   一個專門的團隊，持續地測試和驗證對網路攻擊的抵抗能力

4. 紫隊計劃 (Purple Team Program)
   不同網路安全技能組合的持續合作，旨在測試、衡量並提高對網路安全威脅和攻擊的抵抗力

紫隊 (Purple Team)

在這個 PTEF 框架底下的紫隊、紅隊、藍隊的定義：

紫隊是各種資訊安全技能的合作

1. 網路威脅情報 (Cyber Threat Intelligence)
   進行研究並提供攻擊者的行為、策略、技術，以及流程 (TTPs)

2. 紅隊 (Red Team)
   負責模仿攻擊行為和 TTPs 的攻擊團隊

3. 藍隊 (Blue Team)
   防禦者的總稱，其中包括：資安維運 (SOC)、威脅狩獵團隊 (Hunt Team)、數位鑑識和事件回應 (DFIR) 以及/或資安託管服務廠商 (MSSP)

針對藍隊的四個名詞簡單介紹：

1. 資安維運中心 (SOC, Security Operations Center)

   • SOC 是一個專為監控、偵測、應對和減少安全威脅而設的中心
   • 有大量產品和資安專家，以 24/7 的模式運作，確保企業的IT基礎設施持續得到保護
   • 主要職責：即時監控安全事件、分析安全警告、進行威脅情報分析、快速回應安全事件等

2. 威脅狩獵團隊 (Hunt Team)

   • 威脅狩獵團隊是一組專門在企業環境中主動尋找未知威脅的資訊安全專家
   • 不同於傳統的威脅偵測，狩獵團隊是主動地去"狩獵"潛在的威脅
   • 主要職責：進行主動的資料和系統分析，發現未被傳統工具偵測到的惡意行為

3. 數位鑑識和事件回應 (DFIR, Digital Forensics and Incident Response)

   • DFIR 是在資訊安全事件發生後，進行數位證據的收集、分析、恢復和解釋的過程
   • 事件回應專注於對事件的快速回應，包括限制損害、恢復正常運作和進行事後分析
   • 主要職責：證據收集、事件分析、威脅追踪、恢復流程以及制定預防措施等

4. 資安託管服務提供廠商 (MSSP, Managed Security Service Provider)

   • MSSP 是提供資訊安全服務的外部廠商，它們為客戶管理部分或所有的安全過程，例如威脅監控、威脅偵測、事件管理和回應等
   • 主要職責：提供持續的安全監控、管理安全設備和系統、提供資安諮詢和支援等

紫隊演練 (Purple Team Exercise)

• 定義
  • 紫隊演練是全面性的資安評估
  • 參與者會一起進行攻擊、偵測與回應
  • 參與者會實際操作演練內容
  • 並且討論每一個攻擊技術與對應的防禦方式與期望防禦方法
• 目的
  • 識別和修補企業的漏洞
  • 能在一段時間內測試、衡量和改進人員、流程和技術
• 作法/流程/角色
  1. 演練協調者 (Exercise Coordinator)
     • 整個演練的策劃者和協調者
     • 介紹參與人員和演練流程，包括攻擊者的行為和策略、技術、流程 (TTPs)
  2. 沙盤推演 (TableTop)
     • 所有參與者進行 TTP 的沙盤推演
     • 確定預防和偵測控制措施以及可能的結果
  3. 紅隊 (Red Team)
     • 模仿攻擊者行為，使用各種工具和技術進行攻擊
     • 同時分享他們的螢幕，讓其他參與者可以看到他們的操作
  4. 藍隊 (Blue Team)
     • 遵循流程，識別模擬的攻擊行為的警報或遙測
  5. 偵測工程 (Detection Engineering)
     • 確保確保遙測（例如日誌和其他監控數據）和警報得到作用
     • 如果系統未能檢測到攻擊，則可能需要進行調整，從而建立偵測系統
  6. 所有參與者 (All)
     • 在演練結束後，所有參與者共同討論和評估結果
     • 學習和瞭解特定的攻擊技術（TTPs）以及如何有效地回應它們
     • 一旦一組TTPs的演練完成，可以開始下一組 TTPs 的演練

紫隊操作 (Operationalized Purple Team)

• 定義
  • 紫隊操作將紫隊的策略與日常操作進行整合
  • 企業內部各種與資安相關的角色組成團隊一起工作
  • 發現新的 TTPs 時，進行分析、討論和模仿，以持續建立和改進偵測和回應
• 目的
  • 為了持續加強企業的安全防禦能力和回應效率
  • 確保隨著新威脅的出現，企業可以迅速適應和應對
• 作法/流程/角色
  • 新的攻擊行為/TTP (New Adversary Behavior/TTP)
    • 來自任何人、來源：CTI 外部情資、紅隊模擬、藍隊發現
  • 分析與整理 (Analyze & Organize)
    • 提取 TTPs：從行為解析策略、技術、流程
    • 確認這些行為是否已經在企業環境中被測試過
    • 查看這些行為是否已被現有的防禦工具或策略覆蓋
  • 紅隊模仿 (Red Team Emulation)
    • 確認這些 TTPs 在企業環境中是否還能被攻擊成功
  • 藍隊結果 (Blue Team Result)藍隊會根據紅隊的模擬結果進行分析
    • 確定是否有相應的警報被觸發？
    • 查看是否有相關的遙測數據？
    • 判斷是否可以利用現有的數據進行威脅狩獵？
  • 偵測工程 (Detection Engineering)
    • 建立偵測：基於上述分析和模擬的結果，建立新的偵測策略或規則
    • 部署：部署這些新的偵測策略或規則到生產環境中
    • 調整：根據實際的操作情況進行調整，以減少誤報並提高偵測準確性
    • 培訓 SOC 團隊：了解新的偵測策略與如何回應
    • BAS 導入：這些新的 TTPs 加入到 Breach and Attack Simulation (BAS) 工具中，進行持續的測試和驗證

專門的紫隊 (Dedicated Purple Team)

• 定義
  • 直接聘人來當紫隊
  • 直接在企業內部進行協調、定期做紫隊演練
• 目的
  • 確保紫隊活動能夠更有效、更組織化地進行
  • 透過專門人員提高企業安全
• 作法
  • 專門的紫隊演練協調者 (Dedicated Purple Team Exercise Coordinators)
    • 負責籌畫和協調紫隊演練，確保所有參與人員都清楚自己的角色，並確保演練順利進行
  • 紫隊操作的參與管理 (Engagement Management of Operationalized Purple Teams)
    • 負責管理日常的紫隊操作
      • 包括協調紅隊和藍隊的活動
      • 確保新的威脅情報得到適當的分析和回應
  • 入侵及攻擊模擬演練的主要利益相關人 (Main Stakeholders Operating Breach and Attack Simulation Solutions)
    • 負責執行 BAS 解決方案的人
    • 以測試和提高組織的網路防禦能力

設定紫隊目標

• 目標的重要性
  • 紫隊演練是一系列的模擬活動，透過測試、衡量和改進人員、流程和技術，來提高企業的資訊安全
  • 不同團隊（藍隊、CTI、紅隊），互相學習與訓練職能
  • 透過在攻擊造成影響之前偵測和回應，提高對當前威脅的抵抗能力
• 如何設定目標
  • 具體的目標將根據企業的資安成熟度和目前目的來進行計劃過程
  • 設定目標確保企業的資訊安全策略和實踐持續地得到強化和改進
• 目標範例
  • 培養資安團隊內的協作文化 (Foster a collaborative culture within the security organization)
    • 鼓勵資安團隊間的合作和交流，以增強整體的安全防禦
  • 對目標企業測試攻擊鏈 (Test attack chains against a target organization)
    • 模擬真實的攻擊情境，評估企業的資安防禦反應與能力
  • 訓練企業的防禦者 (Train the organization's defenders - Blue Team)
    • 提供實際的模擬環境，讓藍隊可以練習和提高他們的技能
  • 測試之前在企業中未被測試的TTPs (Test TTPs that have not been tested before in the organization)
    • 探索先前未被測試過的攻擊和威脅方法，確保企業的安全措施能因應各種可能的攻擊情境
  • 測試資安團隊之間的流程 (Test the processes between security teams)
    • 確認各資安團隊間的合作與溝通流程是否有效
  • 為零知識紅隊參與做準備 (Preparation for a zero-knowledge Red Team Engagement)
    • 在完全不透露任何前置資訊的情況下，讓紅隊評估企業的資安狀況
  • 零知識紅隊參與後的紅隊揭示或重播 (Red Team reveal or replay after a zero-knowledge Red Team Engagement)
    • 模擬攻擊結束後，由紅隊分享其發現和方法，供其他團隊學習和改進

🥝 zero-knowledge Red Team Engagement 零知識紅隊參與

紅隊模擬攻擊的一種方式，其中紅隊在執行攻擊時不會預先知道目標系統的任何內部資訊，這種方式更接近真實的攻擊情境，因為真實的攻擊者通常在攻擊之前並不會知道目標系統的詳細情況

紅隊將從最基本的資訊開始，例如只知道企業的域名，然後嘗試找到進入系統的方式這種模擬攻擊方式有助於評估組織的安全防護措施對於初步的偵查和入侵嘗試的反應能力

🥝 full-knowledge Red Team Engagement 全知識紅隊參與

全知識紅隊參與是另外一種紅隊模擬攻擊的方式，給予紅隊更多的事前資訊，例如網路結構、系統設定或其他內部資訊，目的是測試特定的安全控制措施或者更深入地探索特定的系統和應用程式的弱點

紫隊方法論

• 框架與方法的重要性
  • 當企業採用一致性的框架和方法論進行資安評估時，他們不僅能確保所有的安全措施和策略都受到適當的考慮，還能為外部利益相關者，如供應商和客戶，提供清晰、可理解的評估結果
  • 增加透明度，促使利益相關者(客戶、供應商)對企業的資安防護的態度和能力更有信心
• 怎麼做之四步驟
  • 規劃 (Planning)
    • 設定目標、範疇、時程，並確定參與者
    • 確保所有相關方明確了解他們的角色以及演練的期望結果
  • 網路威脅情報 (Cyber Threat Intelligence)
    • 收集、分析和應用有關當前和潛在威脅的資訊
    • 蒐集最新的網路威脅情報(公開、私人來源)
    • 評估該資料的可靠性和相關性
    • 確定可能的攻擊向量
  • 演練執行 (Exercise Execution)
    • 實際進行模擬攻擊、偵測和回應活動
    • 目的是模擬真實的攻擊情境，並確定組織的資安措施是否有效
  • 學到的教訓 (Lessons Learned)
    • 在演練後回顧，分享發現，提出建議和改進措施
    • 目的是確定哪些策略和工具是有效的，以及哪些地方需要改進
    • 提供一個讓企業根據實際的演練結果進行改進的機會

其他框架

• 了解其他框架的重要性與目的
  • 不同的框架可以協助企業利用「不同角度」評估資安風險
  • 每一個框架都有特定的目標與方法
  • 不同的企業根據需求、規模大小，也有可能比較適合的框架
• 用來協助企業進行評估的框架：非強制性的法規需求
  1. Cyber Kill Chain - Lockheed Martin - 了解駭客入侵的步驟
  2. Unified Cyber Kill Chain - university paper created by Paul Pols 結合不同產業的 Kill Chain
  3. MITRE ATT&CK - 目前產業的標準，描述駭客集團的 TTPs
• 法規框架和方法論：針對高度受管制的產業，例如金融機構
  • G-7 Fundamental Elements for Threat-Led Penetration Testing
    • 這是由七國集團（G-7）提供的指導，主要目的是為了執行基於威脅的滲透測試
    • 此框架為組織提供了如何根據實際威脅進行滲透測試的指導
  • CBEST Intelligence Led Testing - Bank of England
    • 這是英國中央銀行制定的法規
    • 針對在英國營運的金融機構，提供了如何進行基於情報的測試的指引
  • Threat Intelligence-Based Ethical Red Teaming - TIBER-EU
    • 此框架可以被歐洲聯盟內的任何國家使用
    • 提供跨國家法域以及紅隊參與的相互認識
    • 主要目的是使用威脅情報進行道德性的紅隊模擬攻擊
  • Red Team: Adversarial Attack Simulation Exercises - Association of Banks of Singapore (ABS)
    • 由新加坡銀行協會提供的指導
    • 主要針對模擬對手攻擊的演練，讓金融機構能夠評估其資安防禦能力
  • Intelligence-led Cyber Attack Simulation Testing (iCAST) - Hong Kong Monetary Authority (HKMA)
    • 由香港金融管理局提供的框架
    • 主要是基於情報進行的網路攻擊模擬測試，幫助機構評估和提高其資訊安全
  • Financial Entities Ethical Red-Teaming - Saudi Arabian Monetary Authority (SAMA)
    • 這是由沙特阿拉伯金融機構制定的指導
    • 目的是執行金融實體的道德性紅隊測試，以確保其資訊系統的安全性
  • Cyber Operational Resilience Intelligence-led Exercises (CORIE) - Australia
    • 由澳大利亞政府提供的框架
    • 主要針對網路營運韌性的情報引導的演練，協助組織提高其對網路攻擊的防禦能力
  • A Framework for the Regulatory Use of Penetration Testing and Red Teaming in the Financial Services Industry - Global Financial Markets Association (GFMA)
    • 這是全球金融市場協會提供的框架
    • 主要用於金融服務業中滲透測試和紅隊測試的法規使用
    • 確保金融機構的資安策略和措施能夠達到全球標準
• 如何確認框架的有效性
  • 使用情境測試：選擇一個或多個真實情境，根據框架的指引進行測試，看是否可以有效地檢測和回應威脅
  • 外部評估：請第三方專家或機構評估框架的適用性和有效性
  • 持續監控和回顧：定期回顧框架的效果和結果，並根據新的威脅和挑戰進行調整
  • 與業界標準比較：將框架與同業或產業認可的標準進行比較，看是否有遺漏或可以改進的地方

小結

透過了解 PTEF 框架，得知紫隊的不同功能，包括紫隊演練、紫隊操作、專門的紫隊和紫隊計劃。不同於紫隊演練，紫隊操作強調將策略與日常操作相結合，強化企業安全防禦能力。而專門紫隊人員則聚焦於直接在企業內部進行協調和定期做紫隊演練。為了達到這些目的，也需要設定清晰的紫隊目標。

參考資料

• Purple Team Exercise Framework (PTEF)