前言

複習紫隊框架中的三個角色：

1. 紫隊演練協調員 (Purple Team Exercise Coordinators)

   • 負責協調和企業紫隊的演練活動
   • 可能涉及確定演練的範圍、確保各個團隊成員理解他們的角色和責任，以及確保演練的流暢進行

2. 紫隊營運管理 (Engagement Management of Operationalized Purple Teams)

   • 確保紫隊的持續營運和活動與企業的業務目標一致
   • 這可能包括與其他部門合作、設定和評估關鍵性能指標(KPIs)、以及確保紫隊的資源得到有效利用

3. BAS 解決方案的主控者 (Main Stakeholders Operating Breach and Attack Simulation Solutions)

   • 負責操作和管理 BAS 工具或平台
   • BAS 解決方案可以幫助企業模擬真實的攻擊情景，以評估其安全性能和準備情況

經驗教訓

紫隊演練中最終最重要的內容：「經驗教訓」(Lessons Learned)，這一環節不僅是對演練的回顧，更是對未來的籌劃

1. 為什麼經驗教訓重要：

   • 持續學習：經驗教訓幫助團隊瞭解他們的強項和弱點，以及在哪裡可以改進
   • 提升效率：透過分析和討論，團隊可以找出工作中的瓶頸，並尋找更好的策略或工具來解決問題
   • 強化合作：回顧過程促進了團隊成員間的交流，增加了彼此的信任
   • 預防重複錯誤：明確知道哪裡出了問題，可以避免未來重複相同的錯誤

2. 做什麼：

   • 紀錄：詳細記錄演練中的所有活動、策略、決策和結果
     • 誰紀錄：紫隊演練協調員
   • 評估：對演練的成功和失敗部分進行評估
   • 回饋：收集參與者的意見和建議
   • 整理：製作一份經驗教訓報告，摘要整個演練的學習要點

3. 怎麼做：

   • 明確角色：指定一名或多名演習協調員來主持經驗教訓的回顧會議
   • 即時回饋：在演練的最後一天就發出回饋請求，確保參加者的印象還新鮮
   • 深入討論：鼓勵團隊成員坦誠交流，分享他們在演練中的體驗
   • 報告製作：使用模板或工具幫助團隊制定一份結構化的經驗教訓報告
   • 持續改進：根據經驗教訓的結果，制定改進計劃，並在下一次的演練中進行驗證

「經驗教訓」不僅僅是回顧，它更是為未來制定方針的基石，幫助團隊持續成長和進步

經驗教訓報告模板

• 來源 Defensive Origins Github
  • https://github.com/DefensiveOrigins/AtomicPurpleTeam/tree/master/Playbook

基礎資訊

1. PB#### - [紫隊生命週期名稱]
   • 紫隊生命週期項目編號
   • 紫隊生命週期名稱
2. 紫隊生命週期專案經理
   • 負責該紫隊生命週期的專案經理的資訊
     • 包括辦公室電話(分機)、手機和電子郵件
3. 紫隊生命週期啟動 (Lifecycle Kickoff)
   • 表示該紫隊演練的開始時間
4. 模擬開始 (Simulation Start)
   • 模擬攻擊或防禦活動的開始時間
5. 模擬結束 (Simulation End)
   • 模擬攻擊或防禦活動的結束時間
6. 設定已識別 (Configuration Identified)
   • 被識別為需要更改或調整的設定
7. 變更管理參考 (Change Management Referred)
   • 變更管理過程或策略
8. 設定已部署 (Configuration Deployed)
   • 相關的設定已經被部署或應用

設定已識別 vs 變更管理參考 vs 設定已部署

1. 識別問題-設定已識別 (Configuration Identified)
   • 某個系統、應用程式或網路中的特定設定或設定已被認為是需要進行調整或更改的
   • 原因：它可能存在的安全風險、效能問題或其他任何原因
   • 舉例：一個防火牆的規則可能被識別為過於寬鬆，因此可能需要更改
2. 變更管理進行評估和核准-變更管理參考 (Change Management Referred)
   • 問題被認為需要經過正式的變更管理流程時，它就會被參考到或提及
   • 變更管理是一種方法，旨在確保任何企業中的變化都是經過徹底考慮、控制和執行的，以最小化對業務運作的負面影響
   • 舉例：需要更新一個關鍵的業務應用程式時，這個更新可能需要經過變更管理的審查和核准
3. 實施和部署變更-設定已部署 (Configuration Deployed)
   • 先前識別為需要更改的設定已經被正式地放入正式環境
   • 這些變更已經被實際應用，並且現在是系統、應用程式或網路的一部分
   • 例如：上述提到的防火牆規則如果經過變更管理的核准，然後被修改，那麼當新的規則在防火牆上實際啟用時，就可以說「設定已部署」

狀態代號範例 (Status Code Legend)

• 報告中使用的各種符號
  • 攻擊模擬 (Attack Simulation)
  • 系統設定更改 (System Configuration Change)
  • 防禦模擬 (Defense Simulation)
  • 資訊 (Information)

1. 攻擊模擬 (Attack Simulation)

   • 代表紫隊演練中的攻擊活動或紅隊活動
   • 這涉及模仿真實世界的威脅行為來評估企業的防禦能力
   • 例如：模擬駭客嘗試進入系統或進行社交工程攻擊

2. 系統設定更改 (System Configuration Change)

   • 系統或應用程式的設定需要或已經進行了更改
   • 這些更改可能是基於之前的模擬活動中發現的弱點
     • 或者可能是為了優化或更新系統的一部分

3. 防禦模擬 (Defense Simulation)

   • 代表了紫隊演練中的防禦活動或藍隊活動
     • 它涉及使用現有的解決方案和策略來防禦模擬攻擊，並記錄其效果
   • 例如：試圖檢測和阻止模擬駭客的嘗試

4. 資訊 (Information)

   • 代表了與紫隊演練相關的一般資訊或說明
   • 包括
     • 活動的背景資訊
     • 參與者的名單
     • 期望的結果
     • 其他相關的說明和詳細資料

APT 紫隊生命週期 (APT Lifecycle)

APT（Advanced Persistent Threat，進階持續性威脅）不只是一次性的駭客攻擊它代表著持續的、有企業、有目的的攻擊行為，往往針對特定企業、政府或企業，目的可能是竊取資訊、破壞系統或其他惡意目的

• 紫隊生命週期類型 (Lifecycle Type)
  • 紫隊活動的具體形式或方法
  • 舉例
    • 一個完整的模擬駭客攻擊
    • 一個特定的系統測試
• 紫隊生命週期目標 (Lifecycle Objective)
  • 紫隊演練活動的主要目的或期望結果
  • 舉例
    • 測試新的安全解決方案的效果
    • 評估企業對某一特定威脅的防禦能力
• 攝取來源 (Ingest Source)
  • 紫隊活動使用的資訊或資料的來源
  • 舉例
    • 外部的情報
    • 內部的系統日誌和警報
• 識別攝取預期的攻擊或防禦技術，定義技術的來源和攝取類型
  • 分析和確定使用於紫隊演練中的具體攻擊和防禦方法
  • 舉例
    • 模擬攻擊
      • 使用了特定的惡意軟體樣本
    • 防禦活動
      • 涉及到特定的入侵檢測系統
    • 技術來源
      • 基於已知的威脅情報
      • 新的研究發現

攻擊方法論 (Attack Methodology)

進行紫隊模擬攻擊的方法包括但不限於以下幾點：

1. 情報收集 (Reconnaissance)

   • 使用公開的資訊來收集目標企業的相關資料，如 IP 地址、域名、員工資訊等
   • 使用工具如 Shodan、Censys、theHarvester 等進行自動化的資訊收集

2. 初次入侵 (Initial Access)

   • 透過垃圾郵件、惡意附件、網頁釣魚等方式試圖獲取系統的初次存取權限
   • 使用社交工程技巧對員工進行欺騙，騙取憑證或使他們安裝惡意軟體

3. 橫向移動 (Lateral Movement)

   • 在網路內部，從初次受害的系統移動到其他目標系統
   • 使用工具如 Mimikatz、PowerShell 等來取得憑證和執行命令

4. 提權 (Privilege Escalation)

   • 從一般使用者權限提升到管理員或更高級別的權限
   • 利用作業系統或應用程式的已知弱點進行提權

5. 資料收集 (Data Collection)

   • 收集企業內部的重要資訊，如資料庫、檔案、密碼等
   • 使用工具如 Cobalt Strike、Metasploit 等
     • 進行遠端控制和資料收集

6. 資料滲透/滲出 (Data Exfiltration)

   • 安全地將收集到的資料從目標網路傳輸出去
   • 使用加密、隧道(tunnel)、隱藏通道等方法進行資料滲透/滲出

防禦方法論 (Defense Methodology)

進行紫隊模擬防禦的方法包括但不限於以下幾點：

1. 入侵檢測和回應 (Intrusion Detection and Response)

   • 使用 IDS/IPS 系統檢測並阻止不正常的網路行為
   • 建立回應計劃，確定在發現攻擊時如何迅速應對

2. 終端點保護 (Endpoint Protection)

   • 在企業的所有終端點上安裝和設定防病毒軟體和 EDR 工具
   • 定期更新和掃描確保無惡意軟體活動

3. 網路隔離 (Network Segmentation)

   • 划分網路，確保敏感區域、區分 DMZ 非軍事區
     • DMZ：官方網站、郵件伺服器
     • 敏感區域：如資料庫和管理網路與其他區域隔離
   • 使用防火牆、VPN 和其他技術進行網路控制

4. 多因素認證 (Multi-Factor Authentication)

   • 在所有的重要系統和應用程式上實施多因素認證
   • 確保即使密碼被竊取，攻擊者仍難以存取系統

5. 日誌和監控 (Logging and Monitoring)

   • 設定和監視系統日誌，以便迅速識別並應對不正常的行為
   • 使用 SIEM 工具進行集中日誌管理和分析

6. 定期安全評估 (Regular Security Assessments)

   • 定期進行安全評估和滲透測試，確定和修復安全弱點
   • 透過演練模擬真實攻擊情境，提高防禦能力

紫隊生命週期調整 (Lifecycle Adjustments)

針對系統設定的調整，以達到紫隊生命週期的目標

紫隊生命週期調整 (Lifecycle Adjustments)

紫隊，通常包括紅隊（攻擊方）和藍隊（防禦方）的成員，旨在進行全面的安全評估，模擬真實的攻擊情境並同時評估防禦策略的效果。

為了達到最佳的結果，可能需要對系統設定進行調整。

調整策略：

1. 基礎設施優化
   • 根據紅隊的模擬攻擊結果，進行網路基礎設施的調整
   • 例如
     • 更改防火牆規則
     • 強化 DMZ
     • 重新設計網路拓撲
2. 系統參數調整
   • 修改作業系統或應用軟體的參數，以增強其安全性
   • 例如
     • 更改某些系統服務的執行權限
     • 取消不必要的系統功能
3. 控制策略更新
   • 基於藍隊的防禦回饋，更新組織的安全策略和流程
   • 例如
     • 更改密碼政策
     • 更新使用者存取控制
     • 重新評估遠端存取策略
4. 安全工具設定
   • 調整和優化安全工具的設定，以更好地識別和回應潛在的威脅
   • 例如
     • 入侵檢測系統 (IDS)
     • 入侵防護系統 (IPS)
     • 安全資訊和事件管理 (SIEM) 系統
5. 敏感資料保護
   • 基於模擬結果，加強敏感資料的保護措施
   • 例如
     • 加密策略的調整
     • 資料儲存位置的重新考慮
6. 持續監控與回饋
   • 在調整後，持續監控系統和網路的狀態，並根據收集到的資料進行進一步的優化

變更管理 (Change Management)

變更管理是確保任何系統或應用的變更都按照標準的方法和流程進行的過程
它的目的是減少中斷和降低風險，同時確保變更是有益的

• 系統需要設定更改
  • 更新資料庫的版本以修復已知的安全性問題
• 更改的理由
  • 發現新的安全性漏洞，需要更新以確保資料不被未授權的人員存取
• 受影響的使用者
  • 所有使用資料庫的部門和使用者
  • 例如
    • 銷售
    • 行銷
    • 財務部門
• 識別的關鍵方
  • IT 部門
  • 資安團隊
  • 相關部門主管
• 可能的問題
  • 更新過程中可能會有資料丟失
  • 新版本可能會與某些自訂功能不兼容
• 部署流程
  1. 在測試環境中測試新版本
  2. 備份現有資料
  3. 在非高峰時間進行更新
  4. 測試主要功能以確保更新成功
  5. 通知使用者系統已更新
• 回滾流程
  1. 若發現問題，停止更新。
  2. 使用備份恢復到原始狀態。
  3. 調查問題原因並找出解決方法。

學到的教訓 (Lessons Learned)

1. 及時更新
   • 未更新軟體和系統是安全風險的主要原因
   • 定期檢查和更新是必要的
2. 內部溝通的重要性
   • 資訊分享和密切合作對於成功應對攻擊和找出漏洞至關重要
3. 多層防護
   • 不能僅依賴單一的安全措施
   • 多層防護策略可以減少風險
4. 培訓和意識
   • 資訊安全不僅是技術問題，也是人的問題
   • 定期的培訓和提高認知是非常重要的
5. 持續的監控
   • 定期的監控和審查能及時發現和解決問題
6. 測試環境的重要性
   • 在正式環境部署更改之前，一定要在測試環境中進行完整的測試

參考資料

https://github.com/scythe-io/purple-team-exercise-framework