前言

在上篇我們介紹 PTEF 框架中的紫隊、紅隊、藍隊的定義，此篇將提供 PTEF 框架中所定義的紫隊演練的角色具體職責，並且針對筆者的經驗進行解析與補充

紫隊角色之贊助者與演練協調者

你可能會思考紫隊演練中，只有紫隊、紅隊、藍隊的人來規劃與參與嗎？

其實並不是只有上述三種分類，以框架的角度還有以下的內容：

Sponsors 贊助者

• 可以想像成支持演練、批准演練的人
  • 多以高階管理階層為主
• 職責
  1. 批准資源，確保參加演練的人所需的資源(金錢/時間/技術)
     • 演練目標
     • 使用預算
     • 演練範圍
     • 在計畫與演練過程中可能還有其他額外工作
  2. 管理層演練會採用的步驟
     • 從團隊選擇演練參與者
     • 演練過程中的日常義務協助分配給他人
     • 目的是專注演練目標

Exercise Coordinator 演練協調者

• 演練的領導者，確保演練開始到結束都順利
  • 演練的核心角色
• 職責
  1. 主要聯絡人
     • 外部與內部窗口
     • 進行溝通與協調
  2. 確保資訊來源
     • 確保網路威脅情報（Cyber Threat Intelligence）的來源
  3. 完成演練規劃
     • 確保演練執行前完成所有計畫步驟
  4. 紀錄與追蹤
     • 執行過程中，記錄會議紀錄、筆記、行動項目、回饋
  5. 整理與評估
     • 整理檔案
     • 整理經驗教訓文件 "Lessons Learned document"

先解析如果在業界需要引入這兩個角色對應的部門與角色，也提供給讀者可能會有的困難與挑戰：

Sponsors 贊助者的困難與挑戰

• 部門與角色
  • 高階管理層：有權決策與核准預算及資源的人
    • 資訊部門的部門經理
    • CTO (資訊長)
    • 公司總經理/CEO
• 可能的困難
  • 資源不足／分配不均
    • 台灣的許多企業在資訊安全預算上可能相對較為保守，尤其是中小企業取得足夠資源和預算可能會是一項挑戰
    • 解決方案
      • 設定清楚的ROI (Return on Investment)展示紫隊演練如何有助於減少資安風險和可能的未來成本
      • 透過案例研究或過去的資安事件，說明資安投資的重要性
  • 認識的必要性
    • 高階管理層可能不完全理解紫隊演練的重要性，可能需要更多的教育和說明
    • 解決方案
      • 舉辦工作坊或教育訓練，針對高階管理層，讓他們了解資訊安全的重要性和紫隊演練的好處
  • 人力分配
    • 缺乏人才/專家稀缺/內部能量不足
    • 解決方案
      • 與外部資安專家或顧問合作
      • 外包服務
      • 企業內部進行資安培訓，培養自家專家

Exercise Coordinator 演練協調者的困難與挑戰

• 部門與角色
  • 找熟悉公司的IT架構、政策和流程的人
    • 資訊安全部門資深人員
    • IT部門資深人員
    • 資訊安全主管
    • 資汛安全專案經理
• 可能的困難
  • 協調溝通
    • 跨部門合作的大型演練中，協調不同部門合作方式
    • 解決方案
      • 專案管理追蹤進度
      • 進度會議確保大家的進度
  • 知識和技能
    • 需要持續進修以維持最新的資訊安全知識和技能
    • 解決方案
      • 教育訓練與專業培訓
      • 舉辦對應的資安研討會與工作坊
  • 演練壓力
    • 確保所有事情按計畫進行，並處理可能出現的問題或突發事件
    • 解決方案
      • 風險評估與模擬測試
      • 針對預測的問題提前計畫
  • 報告回饋
    • 後續的經驗教訓報告可能會受到各方的質疑或批評
    • 協調者需要有足夠的溝通和協商技巧
    • 解決方案
      • 建立評估指標與標準
      • 收集資料數據進行分析

紫隊中的其他角色職責

網路威脅情報 (Cyber Threat Intelligence) 職責

• 職責
  • 在演練計劃階段早期提供可行的網路威脅情報
    • 基於研究提供可行的 TTPs
      1. 識別有機會、意圖和能力攻擊企業的攻擊者
      2. 消化並提取攻擊者的策略、技術和流程 (TTPs)
  • 作為觀察者參與紫隊演練，持續了解企業內部可能會有的情報
• 行為
  • 持續監控外部資源，包括開放情報，收集和分析相關的威脅情報
  • 定期與內部資安團隊溝通，確保所有的情報都是最新的
• 困難/挑戰
  • 資料過多：面對龐大的數據和情報，難以迅速識別出真正威脅的資料
  • 時效性：如何在短時間內提供最新、最準確的威脅情報
• 解決方案
  • 使用情報分析工具，嘗試進行自動化分析
  • 定期培訓和工作坊，提升團隊的分析能力
  • 委外找網路威脅情報的服務廠商進行合作

紅隊 (Red Team) 職責

• 職責
  • 在計劃階段完成多項職責，並在演練執行期間保持活躍
  • 了解 TTPs，確保在演練期間可靠且持續地模仿
  • 不一定完全使用真實駭客相同工具和手法
    • 只需要足夠地模擬攻擊行為即可
• 行為
  • 模擬真實的攻擊行為，並根據情報進行調整
  • 與藍隊密切合作，確保演練效果最大化
• 困難/挑戰
  • 如何確保模擬的攻擊行為與真實世界的威脅保持一致
  • 如何避免對正常業務造成干擾
    • 如執行演練過程中其他任務分配給他人
• 解決方案
  • 定期更新攻擊工具和技術，保持與真實世界的同步
  • 與藍隊、資訊部門緊密合作，確保所有的演練都在控制之下

藍隊 (Blue Team) 職責

• 說明
  • 藍隊是防禦者的總稱
    • 包括但不限於
      • 資安維運中心 (SOC)
      • 威脅狩獵團隊 (Hunt Team)
      • 數位鑑識和事件回應 (DFIR)
      • 資安託管服務提供廠商 (MSSP)
  • 企業在團隊佈局和職責之間的有所不同
    • 根據業務需求、預算和資源來確定如何組合資安團隊以及如何分配職責
• 行為
  • 持續監控網路流量，識別任何可疑或異常行為
  • 與紅隊合作，確保能夠迅速回應模擬攻擊
• 困難/挑戰
  • 如何快速回應和修復紅隊的攻擊
  • 如何不影響正常業務的情況下進行防禦
• 解決方案
  • 定期培訓和模擬練習，提高回應速度
  • 建立和維護一套完整的資安政策和流程

資安維運中心 (SOC) 職責

• 職責
  • SOC經理應計劃參加並讓SOC分析師參與演練
  • 在計劃階段預期SOC只需少量時間，但在演練執行期間應出席
  • SOC管理應相應計劃，從演練參與者那裡移除日常職責
• 行為
  • 24/7 監控網路流量和日誌，識別和響應任何可疑行為
  • 進行定期的威脅情報共享和交流
• 困難/挑戰
  • 如何確保所有的警報都得到迅速響應
  • 如何維護和更新SOC的工具和技術
• 解決方案
  • 引入自動化工具，減少人工判斷錯誤
  • 定期培訓和技術交流，確保技術人員的技術知識始終保持最新

威脅狩獵團隊 (Hunt Team) 職責

• 職責
  • 在計劃階段預期威脅狩獵團隊只需少量時間
    • 在演練執行期間預期需要積極參與
  • 威脅狩獵團隊經理在計劃階段應分享他們最新的策略，以確保選擇理想的TTPs進行演練
  • 主動尋找未被識別的威脅和隱藏的攻擊行為
  • 分析異常行為，定位潛在的安全威脅
• 行為
  • 使用進階搜尋和分析工具掃瞄網路和系統，尋找不尋常的行為或跡象
  • 進行深度分析來確定是否有任何惡意活動
• 困難/挑戰
  • 需要持續更新知識和工具，以識別新的攻擊模式
  • 可能遇到大量的誤報
• 解決方案
  • 定期參與專業培訓和工作坊
  • 使用AI和機器學習工具來提高分析效率和精確度

數位鑑識 & 事件回應 (DFIR) 職責

• 職責
  • DFIR 分析師也應參與紫隊演練
  • 在計劃階段預期 DFIR 團隊只需少量時間
    • 在演練執行期間預期需要積極參與
• 行為
  • 收集和分析數位證據
  • 提供詳細的事件回應報告
    • 在事件發生時，迅速回應並採取必要的行動以最小化損害
  • 保持現有的數位鑑識工具和技術的知識更新
  • 參與結案/回饋會議，分享所學和如何在未來避免類似的威脅或攻擊
• 困難/挑戰
  • 快速準確地定位和分析攻擊的源頭
  • 維護鑑識工具和技能的時效性
• 解決方案
  • 培養專業的鑑識人員並購買新的鑑識工具
  • 定期與國內外的鑑識廠商交流和合作

資安託管服務提供廠商 (MSSP) 職責

• 職責
  • 與企業合作，確保資訊安全策略和措施得到執行
  • 在計劃階段提供外部的觀點和建議
  • 在演練執行期間提供必要的技術支援和專業知識
• 行為
  • 24/7 監控客戶的安全事件和警報
  • 提供定期的安全報告和建議
• 困難/挑戰
  • 滿足不同客戶的特定安全需求
  • 快速回應大量的安全事件和警報
• 解決方案
  • 提供客製化的資安解決方案
  • 建立專業的資安維運中心 (SOC)，確保快速和專業的事件回應

整理紫隊演練角色與職責

參考資料

• Purple Team Exercise Framework (PTEF)