運作目的

紫隊的運作目的是透過促進紅隊（攻擊方模擬）和藍隊（防禦與應對）的緊密合作，以增強一企業的資安防護能力。這種合作確保一企業能夠快速應對新的威脅、提高偵測能力，並持續優化應對策略。

名詞解釋

1. Purple Team（紫隊）：紫隊是一個結合紅隊和藍隊技能的團隊，其目的是在一個協作的環境中增強企業的資訊安全。
2. CTI（Cyber Threat Intelligence，網路威脅情報）：針對網路威脅的資訊和分析，幫助企業了解和應對安全風險。
3. Red Team（紅隊）：一個模擬真實攻擊者的團隊，進行攻擊演練，以檢測和改進企業的防禦能力。
4. Blue Team（藍隊）：負責防禦和應對紅隊或真實攻擊者的團隊。

紫隊的運作流程 Operationalized Purple Team

1. New Adversary Behavior/TTP
2. Analyze & Organize
3. Red Team Emulation
4. Blue Team Result
5. Detection Engineering

New Adversary Behavior/TTP

新的攻擊者行為/TTP (Tactics, Techniques, and Procedures，戰術、技術和流程)

當任何團隊發現新的攻擊行為或手法時，都可以提供給紫隊。
比如：CTI發現了駭客集團使用新的釣魚郵件技巧。

分成

1. TTPs 的來源
2. 識別手法與追蹤技巧
3. 舉例

TTP 的資訊來源

任何人都可以提供和分享新的攻擊者行為、戰術、技術或流程( TTPs )的詳細資料。

1. 網路威脅情報(CTI)團隊：可能從供應商或內部團隊那裡獲得新的情報，例如在野外發現的新攻擊者行為、最近的資安事件或外部安全研究員的資訊。
2. 內部紅隊：在環境中或進行研究時，可能識別出新的TTP。
3. 內部藍隊：可以發現以前未見過或未追蹤的新行為。

識別手法與追蹤技巧

1. 原則
   • 無論是誰識別出新的行為，都應該將其通知給紫隊
   • 一旦識別新手法就可以安排進行紫隊演練
   • 建議使用 Ticket 追蹤系統(JIRA、PlexTrac、VECTR、試算表 google sheet、Excel)
2. 表格舉例

3. 表格說明
   1. 編號：攻擊或手法的唯一識別號，用於管理。
   2. 名稱：該攻擊或手法的簡短名稱。
   3. 來源：是哪個團隊或部門首先識別或報告此攻擊或手法。
   4. 說明：對該攻擊或手法的詳細描述，提供細節。
   5. 對應 ATT&CK：相應的M IT RE ATT&CK識別碼，用於參考和比較。
   6. 日期：該攻擊或手法被識別或新增到追蹤系統的日期。
   7. 狀態：追蹤該攻擊或手法的進度，例如"待分析"、"已模擬"等。
   8. 紫隊分配：分配各自的研究 Team 編號。
   9. 紫隊回饋：紫隊對該攻擊或手法的回饋或結果，例如"檢測成功"、"尚未開始"等。

舉例

假設一個企業的CTI團隊從一家供應商處得知了一種新的釣魚攻擊技術。他們可以透過 JIRA 建立一個任務，描述這個新的TTP，並將其分配給小型紫隊的成員。這些成員可能包括來自紅隊的攻擊模擬專家和藍隊的防禦專家。他們合作，首先由紅隊模擬這種攻擊，然後由藍隊評估偵測和反應，最終提出改善建議。

Analyze & Organize 分析 & 整理

確保企業對新的敵對行為有深入了解，並制定有效的對策來應對這些威脅

1. 提取 TTPs ：從收到的情報中提取出 TTPs ，特別是在實際流程。
2. 對應到 M IT RE ATT&CK：將這些 TTPs 對應到M IT RE ATT&CK知識庫中，有助於團隊用共同的語言進行討論，並使合作更加容易。
3. 與已測試的 TTPs 進行相關性分析：了解這些新 TTPs 與企業中已經測試過的 TTPs 之間的相關性。
   • Excel、Google Sheets 追蹤
4. 小組討論：如果從未被測試過的新測試案例，應該與團隊進行小組討論，了解大家的期望和看法。

表格舉例：相關性分析

為了追蹤 TTPs 與已測試的相關性，我們可以在表格中增加一些欄位，用於記錄和比較新的 TTPs 與先前已測試的 TTPs 。

• 相關測試TTP編號: 這個欄位用於列出與當前TTP相似或相關的已測試 TTPs 的編號。

• 相關性評分: 是一個主觀的評分，用於表示新的TTP與已測試的 TTPs 之間的相似程度。例如，"高"表示新的TTP與某些已測試的 TTPs 非常相似，"中"表示有一些相似性，而"低"表示相似性不高。

Excel / Google Sheets追蹤

1. 顏色標記: 你可以使用不同的顏色來標記相關性評分，例如，使用紅色來表示"高"、黃色來表示"中"和綠色來表示"低"。

2. 篩選和排序: 在Excel或Google Sheets中，你可以使用篩選和排序功能來查看相關性評分為"高"的 TTPs ，或者查看某個特定日期之後識別的 TTPs 。

3. 連結: 對於每個TTP，你可以在"說明"欄位中插入一個連結，該連結指向該TTP的詳細描述或相關檔案。

4. 備註欄: 可以增加一個"備註"欄位，用於記錄詳細的相關性分析結果或其他重要資訊。

引導小組討論的問句方法與範例

當面臨一個從未被測試過的新測試案例時，進行有效的小組討論是重要的，以下是一些問句方法和範例引導和促進討論，讓團隊成員能夠分享他們的觀點和期望：

1. 開放式問題：旨在鼓勵團隊成員分享他們的觀點。

   • 範例: "你們對這個新測試案例/手法的第一印象是什麼？"

2. 假設問題：讓團隊思考特定情境或結果。

   • 範例: "如果這個測試成功，你認為會發生什麼？"

3. 關聯問題：連接不同的意見或看法。

   • 範例: "根據[A]的意見，你認為[B]的建議如何？"

4. 尋求澄清的問題：當意見不清楚或模糊時使用。

   • 範例: "你可以進一步解釋你的觀點嗎？"

5. 尋找可能性的問題：鼓勵團隊思考各種不同的策略或解決方案。

   • 範例: "如果我們從另一個角度來看這個問題，可能會有哪些不同的解決方案？"

6. 隨後的問題：基於先前的回答繼續深入討論。

   • 範例: "你提到[X]，你可以分享更多關於這一點的思考嗎？"

7. 結束的問題：確認團隊是否達到共識或理解。

   • 範例: "我們是否都同意按照這個方向進行？"

紅隊模擬 Red Team Emulation

模擬 TTPs (Tactics, Techniques, and Procedures) 是為了讓紅隊更加了解新的威脅情境在目標環境中是否有效，並確保防禦方的藍隊能夠準確地偵測和回應這些威脅。

紅隊會嘗試模擬新的或已知的攻擊行為，看看這些行為在特定的目標環境中是否有效。

紅隊開始模擬 TTPs 之前，首先需要設定攻擊的基礎設施。為了能夠更有效地進行紫隊模擬，可能需要建立專用的紫隊基礎設施，這包括目標系統、帳號和所有標準的安全工具。

首次研究和測試可能在實驗室環境中進行，但紅隊應該嘗試在真實環境中模擬攻擊。被指派的紅隊成員應該與其他紫隊成員分享和展示如何模擬 TTPs 。

假設有一家公司的內部網路，紅隊決定模擬一個魚叉式的釣魚攻擊(TTP)來看看員工是否會點擊詐騙連結。

首先，紅隊在他們的模擬環境中設定了一個偽造的郵件伺服器和一個偽造的登入頁面。

他們發送了一封偽裝成公司 IT 部門的郵件給一小部分員工，要求他們點擊連結並登入。

在實驗室環境中測試成功後，紅隊再在真實環境中進行模擬，看看員工的反應。模擬結束後，紅隊與紫隊的其他成員分享他們的方法和結果，以便未來能更好地偵測和防止這種攻擊。

藍隊結果 Blue Team Result

確認藍隊是否能夠偵測和回應已經被紅隊模擬的攻擊情境。這將幫助企業了解其安全偵測和響應能力的實際狀況。

藍隊的結果提供了紅隊模擬攻擊後的偵測情報。
包括

1. 是否有產生警報
2. 是否有相關的遙測資料與數據
3. 所需的資料來源是否都被收集
4. 如何處理這些資料與數據來進行查詢
5. 威脅狩獵團隊是否能夠針對這些行為進行狩獵

藍隊將從其監控和偵測工具中獲取以下資訊：

• 檢查是否有產生與紅隊模擬相關的警報
• 收集和分析與模擬行為相關的遙測資料與數據
• 確保所有必要的資料來源都被正確地收集
• 處理資料與數據，以便進行相關查詢
• 評估威脅狩獵團隊是否具有追蹤這些行為的能力

假設紅隊模擬了一個魚叉式的釣魚攻擊。在模擬結束後，藍隊開始檢查其偵測系統：

• 他們首先確認是否有產生任何釣魚攻擊相關的警報。例如，郵件安全系統是否偵測到有害的連結或附件。
• 他們再檢查是否有遙測資料與數據，例如員工是否試圖存取該連結，或者是否有任何不尋常的網路流量。
• 藍隊確定所需的所有資料來源，如郵件伺服器日誌或網路流量，都已被收集。
• 藍隊使用特定的查詢，如檢查特定的 UR L或檔案 hash，來處理和分析這些資料與數據。
• 最後，威脅狩獵團隊確定他們是否有足夠的資料與數據和工具來追蹤這種行為，例如，他們可能會使用沙盒來分析嫌疑郵件中的附件。

偵測工程 Detection Engineering

基於以上結果，建立新的偵測方法，然後調整、訓練 SOC 員工、加入 BAS 中。

舉例：如果發現企業的郵件系統沒有警報釣魚郵件，則可能需要建立新的偵測規則，然後訓練SOC員工識別這類攻擊，並定期進行測試。

目的是優化和強化企業的偵測能力，以確保對新的和已知的攻擊策略、技術和流程( TTPs )有足夠的視野和警報。

偵測工程是一個持續的過程，其中檢測規則、模型或其他偵測機制被設計、部署和調整，以最大限度地增加其準確性和涵蓋範圍，同時減少假警報。

• 作法
  • 建立偵測
    • 根據紫隊的發現和紅隊的模擬結果，設計新的偵測規則或模型。
  • 部署
    • 將新的偵測規則或模型部署到真實環境。
  • 調整
    • 根據其在真實環境中的表現進行調整。這可能涉及到微調規則的參數，以減少假警報。
  • 自動模擬
    • 紅隊可能會尋找如何自動化 TTP 的模擬，以確保持續和一致的測試，而不是手動重複相同的任務。
  • 再次執行 TTPs
    • 一旦已建立新的偵測，應再次模擬 TTPs ，以訓練藍隊和其他紫隊成員，並確保偵測有效。
  • 加入到 BAS
    • 確保每當有新的TTP出現時，都將其新增到 BAS 或自動化解決方案中。
    • 只有在發生真正的攻擊或偵測不再工作時，才會產生與新TTP相關的警報。

舉例

假設紅隊模擬了一個新的電子郵件釣魚攻擊策略。藍隊沒有立即偵測到這種行為，因此需要新的偵測。

• 偵測工程師新增了一個新的規則，用於偵測該特定釣魚電子郵件的特徵。
• 這個新規則被部署到企業的郵件安全工具中。
• 在接下來的幾天，這個規則產生了一些警報，但其中一些是假的。因此，工程師微調了規則，使其更精確。
• 紅隊使用自動化工具，定期模擬這種攻擊，以確保偵測仍然有效。
• 一旦規則被認為是準確和可靠的，它就被加入到企業的 BAS 流程中，以進一步驗證其效果。