為什麼紫隊需要技術準備

紫隊演練會結合紅隊攻擊與藍隊防禦的模擬演練，目標是確認企業的安全防禦措施是足夠的，事前準備也需要投入技術成本，包含所使用的攻擊與防禦的工具，以及對應工具的設定與內容。

這篇文章會介紹紫隊演練的時候，針對技術應該要準備哪一些內容。

準備前提

1. 針對需要準備的內容，很多時候會在第一次進行紫隊演練的時候，需要有較長的準備期 ==> 寫給 PM / 專案規劃者需要注意的事情
2. PM / 專案規劃者 / 演練協調者 如果有規劃內容，必須要追蹤進度，定期進行回報

事前注意

1. 演練環境要盡可能的模擬真實企業環境，包含系統設定、應用程式、資料(如果怕敏感資料可以塞假資料)
2. 工具選擇：不管是攻擊還是防禦，都是需要驗證且也要確保沒有後門。
3. 跨部門：演練涉及到多個部門，例如IT部門、資安部門、業務部門等。確保所有相關部門都瞭解演練的目的和方法，並提前做好準備，是成功進行演練的關鍵。
4. 資料保護：演練的目的是模擬真實攻擊，但必須確保在演練過程中，真實的資料和資源(伺服器/業務範圍)不會受到傷害與影響。這可能需要提前做好資料備份和環境隔離。
5. 持續溝通：紫隊需要有人負責溝通與協調，確保所有參與者都清楚地知道自己的角色和責任。
6. 後期評估：在演練結束後，應該對結果進行詳細的分析和評估，找出需要改進的地方，並制定相應的計劃。

需要準備哪一些內容

目標系統

目標系統在紫隊演練中佔有核心地位，它直接決定了演練的範圍和深度。

1. 演練目標的伺服器、網站、系統
   • 代表企業的核心資產和業務，它們是駭客最想攻擊的目標
   • 目標的安全性直接影響到企業的業務運作和客戶的信任
2. 通常會先以業務核心重點先進行規劃
   • 確保紫隊演練最初的焦點是在企業最重要的資產上，這些資產如果遭受攻擊，可能會導致重大損失
   • 例如
     • 電商公司可能首先關注其交易系統的安全性
     • 工廠/半導體公司可能關注其研發資料的保護
3. 可先跟主管確認目標系統，基於規劃書裡面所批准的目標
   • 確保所有相關的決策者都理解和同意演練的範圍和目標
   • 避免在演練過程中出現意外的中斷或其他問題

相似於真實環境的機器、備用機器

1. 確保在演練過程中不會影響到真實的業務運作
2. 確保它們真實地反映了真實環境的設定、軟體設定、資料

這些系統可能會以相似機器、備用機器來測試，但如果有把備份還原機制做好，也可以成為演練目標(但是需要非常注意內部系統的敏感資料)。

這些系統需要能「真實」呈現企業內部的環境，因為這樣的演練才是比較精準的，不然如果不真實的話，會造成浪費演練時間，無法預防駭客入企業內部。

▲ 請注意
不要只有演練核心重點的機器，因為很多時候駭客是透過其他測試機器，或是你沒有注意到的機器進入企業內部。

因此短期可以先放在業務核心系統，但是未來長期要將所有資產都進行測試，以及反覆測試都是需要的。

端點的作業系統

端點作業系統在紫隊演練中是極為關鍵的部分，端點是使用者(員工)直接互動的地方，也是最容易受到攻擊的目標，因為一旦端點被入侵，駭客可以利用這一點進一步深入到企業的內部網路。

企業內部有許多員工、工程師、管理人員會使用端點，這些端點可能會有 Windows、Linux、MacOS，甚至還有 Ubuntu、CentOS 還會有「不同版本」的內容，選擇演練目標可以注重「真實」與「多元性」。由於企業中各種不同的作業系統版本和用途，紫隊的演練應模擬所有可能的情境。

• 不同版本的同一作業系統可能有不同的安全問題
• 開發團隊可能使用Linux，而行政人員則可能使用 Windows
• 還會有伺服器版本的問題，並且伺服器會因為不能馬上更新導致有已知漏洞

端點會是企業內部最容易被攻擊的目標，主要每天在接觸業務(每個員工的日常行為)，可能會下載惡意檔案、瀏覽釣魚網站、執行惡意勒索病毒等，這些都有機會造成威脅，以及導致端點被感染，因此端點需要特別加入在演練規劃當中。

主要目的是確保了各種可能的攻擊向量都被涵蓋，從而提供了全面的保護。包括了不只是作業系統的弱點，還有應用程式、網路設定、使用的協定等其他可能的漏洞。

持續的更新和修補，作業系統應該經常更新和修補，以確保所有已知的脆弱性都得到修正。演練中應該考慮這一點，模擬在不同的修補程度下的攻擊。

資安工具

資安工具在紫隊演練中是無法或缺的。它們提供了進行測試、偵測和回應所需的必要功能。選擇和使用正確的工具可以確保演練過程的順利進行且結果有效。

不管是紅隊還是藍隊的資安工具，包含攻擊(檢測)、防禦、回應、預防都算是資安工具的細節。考慮使用如 Metasploit、Cobalt Strike 等攻擊工具，以及 Wireshark、Suricata、Elastic Stack 等防禦和偵測工具。

很多攻擊工具可能會被其他駭客埋後門，這也是一種資安相關的威脅，因此如果需要進行紅隊演練等相關內容，也需要特別注意。

而藍隊相關的工具，舉凡防火牆、IDS、IPS、防毒軟體，甚至還會有次世代防火牆、EDR、XDR、MDR 都是企業可以選擇的防禦軟體，主要要選擇「企業真的用的到」、「真的會用」、「真的看得懂」、「真的可以用來偵測威脅」的工具。

針對工具的更新，可以確保能夠偵測和利用最新的漏洞。定期檢查更新和修補，並定期進行工具的健康檢查和性能調整。

建議中小企業可以先從開源資安工具著手，在慢慢補齊相對應的資安防禦工具，以免花費過大。

1. 選擇適合的工具：根據企業的需求和預算，選擇合適的工具。對於初創企業或中小企業，開源工具是一個很好的起點，例如Wireshark、Snort、Bro等。模擬不應只限於網路攻擊，還應該包括如社交工程和物理入侵等多種攻擊向量。
2. 工具的驗證與測試：在使用任何攻擊工具之前，確保從可靠的源頭下載，並在隔離的環境中測試，以確定它們沒有被植入後門或其他惡意代碼。
3. 持續的培訓與學習：確保資哀團隊瞭解所使用的所有工具的功能和限制，並定期參加培訓和工作坊，學習最新的技能和知識。

在演練期間，及時監控工具的輸出並進行分析，這可以提供有關系統漏洞和攻擊模式的資訊。完成演練後，整理和分析結果，制定改進計劃。

目標系統的帳號/憑證

紫隊演練的過程當中，會有不同的伺服器、端點、網路服務、存取目標，不同的帳號可能會有不同的權限，每一個權限所造成的威脅都不同。

一個被忽視或管理不善的帳號可以成為駭客的進入點，甚至可能是他們深入企業網路的跳板。

比如管理員的權限如果一旦被取得就會造成重大威脅。

也許有時候只是小小員工的帳號被取得，駭客還是有機會可以拿到更高的權限，因此演練的過程當中可基於演練的目的，要讓演練人員拿到「真實使用」、「測試使用」的帳號，但最大的前提就是不要影響真實業務內容。

1. 制定帳號管理政策：建立並維護一個帳號清單，其中列出了所有的系統帳號、權限級別和對應的負責人。
2. 使用最小權限原則：確保每個帳號只有完成其工作所需的最小權限，以減少由於帳號被竊取所帶來的風險。
3. 帳號審查：定期審查帳號和權限，確保沒有不必要或過時的帳號仍然使用中。監控帳號的活動，特別是具有高權限的帳號。確保所有登錄和活動都被記錄，並且可以追溯時間與用途。
4. 多因素驗證：在重要且關鍵系統和資料實施多因素認證，以增加對帳號的保護。
5. 緊急備案：如果在演練中發現帳號被不當使用，應該有一個緊急響應計劃，迅速採取行動，如重設密碼或隔離系統。

攻擊的基礎建設

紅隊建立，用來模擬真實攻擊者的行為與策略的環境，此時會有更多資安攻擊與檢測的工具於此使用包含使用 SCYTHE 建立 C2伺服器、payload 產生器、Domain 相關的攻擊與紅隊技術等。

可以參考：https://howto.thec2matrix.com/c2/scythe

1. C2伺服器

   • 使用 SCYTHE，可以快速部署和管理多個C2伺服器，並在整個演練過程中保持與目標系統的通訊內容
   • 可以參考：https://howto.thec2matrix.com/c2/scythe

2. Payload 產生器(攻擊程式的程式碼)

   • 有效的 payload 產生器可以確保成功滲透目標系統
   • 使用 Metasploit或Cobalt Strike 的工具，可以根據目標系統的特點自訂 payload。

3. 域名和網路基礎建設

   • 購買或租用域名，看起來像合法的網站或服務
   • 確保網路流量模擬真實的使用者行為，避免引起目標的警覺

4. 紅隊技術

   • 除了常見的攻擊技術，紅隊應該掌握一些進階攻擊策略和技巧，如横向移動、權限提升、進階滲透等手法

5. 隱蔽性和反檢測

   • 確保攻擊行為能夠在不引起目標注意的情況下進行，這可能需要使用加密、流量篡改、隱蔽技術等手段來避免被偵測

6. 持續的研究和學習

   • 紅隊成員應該不斷地學習新的攻擊技術和策略，以保持與最新的威脅內容

7. 清理和回報

   • 演練結束後，紅隊應該確保所有部署的工具和payload都被清理乾淨，並提供詳細的報告，說明其在演練過程中發現的漏洞和建議

外部的基礎架構

企業外部所使用的系統與服務，包含

1. 委外資訊/業務系統
2. 雲端系統

演練的目的多半於外部模擬攻擊，因為外部服務是攻擊者的第一道防線，一旦被突破，企業內部網路會受到威脅。

如何執行

1. 風險評估：首先，對所有外部系統進行風險評估，確定它們可能的脆弱點。例如，對外部資訊系統、業務系統以及雲端系統的安全性進行檢查。
2. 選擇模擬工具：根據你的目標選擇相應的紅隊工具，例如Metasploit、Nmap、Burp Suite等，來模擬外部攻擊。
3. 模擬攻擊：利用工具模擬常見的外部攻擊，如：釣魚攻擊、SQL注入、跨站腳本攻擊等，測試企業的外部系統是否能夠抵禦此類攻擊。
4. 測試雲端安全：對於使用雲端服務的企業，應該特別關注雲端安全。模擬如何突破雲端保護機制，並試著獲取儲存在雲端的敏感資料。
5. 佈署防護機制：建立適當的防護機制，如 WAF (Web Application Firewall)、DDoS保護等，以保護外部系統。
6. 監控和報告：在整個模擬攻擊期間，使用適當的工具和技術持續監控，並確保將所有發現的漏洞和脆弱點詳細記錄在報告中。
7. 後期檢討：模擬攻擊結束後，與紫隊、紅隊和藍隊成員一同檢討，找出系統中的脆弱點，並制定相應的改進計劃。

內部的基礎架構

企業內部的系統和資源，專門用於模擬和測試已位於企業內部的攻擊者或內部威脅的行為。

對於許多企業來說，內部威脅（例如內部人員的惡意行為或沒有更新的系統或不小心點到惡意網址）可能與外部攻擊者一樣危險，因此，模擬和測試這些內部威脅是非常重要的。

1. 在企業的私有雲或資料中心中佈署專用的測試環境。
2. 建立和佈署內部的命令和控制（C2）伺服器，用於模擬攻擊。
3. 設計內部威脅的模擬工具和軟體，模擬資料竊取、權限提升和內部散播惡意程式的行為。

參考資料

• https://github.com/scythe-io/purple-team-exercise-framework