前言

複習紫隊的基本概念，紫隊是一種融合藍隊（防禦方）與紅隊（攻擊模擬方）的活動，目的是共同找出資訊安全的薄弱點，並加以改善。

舉例來說，就像我們進行消防演練，紅隊是模擬火災的人，藍隊是救火的人，而紫隊則是負責觀察、評估，並提供改進方法的專家。

而對於紫隊當中，框架有設計紫隊成熟度模型 (Purple Team Maturity Model, PTMM) ，用來幫助企業評估自身在進行紫隊的能力與成熟度，從而制定策略來提升紫隊的效益。

紫隊成熟度模型 (Purple Team Maturity Model, PTMM) 的結構

1. 兩大專業領域
   • 威脅理解(Threat Understanding)
   • 偵測理解 (Detection Understanding)
2. 每個領域都有對應三種成熟度等級
   • 部署 (Deployment)
   • 整合 (Integration)
   • 建立 (Creation)

專業領域

• 「威脅理解」是知道你可能會面對什麼
• 「偵測理解」是知道如何識別和應對這些威脅

1. 威脅理解 (Threat Understanding)
   • 定義
     • 對於目前和潛在的威脅有深入的了解和認識
   • 包含
     • 知道哪些威脅因子存在
     • 知道它們如何運作
     • 知道它們的目的是什麼
     • 知道它們可能如何威脅到企業
   • 舉例
     • 一家公司可能會了解到，近期有一種新的釣魚攻擊策略正在針對同業進行攻擊。透過「威脅理解」，這家企業可以識別這種攻擊的特徵、它的入侵方式，以及攻擊者可能的最終目標。
   • 對威脅有深入的理解
     • 可以使企業更主動地保護自己
     • 並非只有應對已知的威脅
2. 偵測理解 (Detection Understanding)
   • 定義
     • 對企業內部的偵測機制和流程有深入的了解
   • 包含
     • 知道如何識別和回應潛在的安全事件
     • 知道如何利用工具、技術和策略來增強偵測能力
   • 舉例
     • 使用前面的釣魚攻擊例子，有「偵測理解」的公司可能已經設定了針對該釣魚策略的特定偵測規則，並已制定了一套流程來快速回應任何潛在的釣魚攻擊。
   • 對偵測有深入的理解
     • 企業能夠迅速識別威脅
     • 可以確保他們有適當的回應機制來減少潛在的損害

三種成熟度等級

1. 部署 (Deployment)
   • 初級成熟度階段
   • 企業主要依賴外部資源
     • 例如購買或採用現成的工具、解決方案或技術
     • 不進行大量的內部開發或自訂
   • 舉例
     • 公司 A 為了檢測網路入侵，購買了一個市面上的防火牆軟體並部署在其網路中。他們尚未進行任何自訂或整合其他工具，只是使用這個防火牆的基本設定和功能。
   • 開源工具
     • Atomic Red Team
     • the C2 Matrix
2. 整合 (Integration)：
   • 中級成熟度階段
   • 企業部署外部工具，將工具與其他現有技術和流程結合
     • 實現更高的效能和效益
   • 企業能夠靈活地組合資源，以適應不斷變化的需。
   • 舉例
     • 公司A不僅使用防火牆軟體，還將其與內部的日誌監控系統連接，使其能夠自動分析和響應可疑的網路行為。
3. 建立 (Creation)
   • 高級成熟度階段
   • 企業不僅能夠部署和整合工具，還能夠自行開發和創造新的工具、技術或方法，以滿足特定的需求或解決特定的問題。
   • 企業有深入的專業知識，能夠創新並適應不斷變化的威脅和挑戰
   • 舉例
     • 公司A認識到市面上的防火牆和日誌監控工具不能滿足其特定的安全需求，於是組專門團隊，開發了自己的入侵檢測系統，並與其他系統整合，提供更全面和精確的威脅分析。

基於專業領域 x 成熟度等級 = 9 種組合

1. 將九宮格的水平軸（X軸）用來表示「威脅理解」的三種成熟度等級：部署、整合、建立。
2. 將九宮格的垂直軸（Y軸）用來表示「偵測理解」的三種成熟度等級：部署、整合、建立。

1. 部署 (偵測理解) x 部署 (威脅理解) [1,1]

   • 例子：一家公司直接購買並部署了市面上的威脅情報訂閱服務和基本的入侵偵測系統，但沒有進行任何客製化或整合。

2. 部署 (偵測理解) x 整合 (威脅理解) [1,2]

   • 例子：公司在部署基本的入侵偵測系統的同時，整合了外部的威脅情報訂閱服務到其現有的資安管理與防禦流程中。

3. 部署 (偵測理解) x 建立 (威脅理解) [1,3]

   • 例子：公司部署了基本的入侵偵測系統，但其資安團隊自行建立和開發了威脅情報分析工具。

4. 整合 (偵測理解) x 部署 (威脅理解) [2,1]

   • 例子：公司購買並整合了進階的入侵偵測工具到其現有的安全架構中，並且部署了基本的威脅情報訂閱服務。

5. 整合 (偵測理解) x 整合 (威脅理解) [2,2]

   • 例子：公司不僅整合了進階的入侵偵測工具，還整合了外部和內部的威脅情報來提供更全面的安全視野。

6. 整合 (偵測理解) x 建立 (威脅理解) [2,3]

   • 例子：在整合進階的入侵偵測工具的同時，資安團隊也自行開發了一套威脅情報收集和分析平台。

7. 建立 (偵測理解) x 部署 (威脅理解) [3,1]

   • 例子：公司的資安團隊自行開發了一套入侵偵測演算法，同時部署了市面上的威脅情報訂閱服務。

8. 建立 (偵測理解) x 整合 (威脅理解) [3,2]

   • 例子：資安團隊開發的入侵偵測演算法被整合到了公司的主要資安管理與防禦流程中，而威脅情報來源則是結合了外部購買的服務和內部的資料。

9. 建立 (偵測理解) x 建立 (威脅理解) [3,3]

   • 例子：公司的資安團隊完全自行研發了一套入侵偵測系統和威脅情報分析平台，並且這兩套系統能夠完美地合作。

企業可以根據這三個成熟度等級，評估自己在威脅理解和偵測理解方面的能力，並制定提升計劃。

理想情況是，企業在兩大領域都達到高度的成熟，這樣才能更有效地防禦威脅。但評估下來如果擅長偵測，就要加強威脅的理解，以便更全面地防禦。

紅隊成員的問題

• 問題
  • 專職紅隊成員被分派到紫隊練習時，常常只能使用日常的紅隊工具
  • 導致這些為了避免被檢測而自己開發的工具在紫隊練習中被「發現與曝光」
  • 影響
    • 工具在真實情境中的效用
    • 在工具開發上的投資被貶低
• 解決方案
  1. 接受現狀：「紅隊，這就是你的工作，面對吧。」這主要強調紅隊的核心任務，即使意味著他們的工具可能會被「發現與曝光」。
  2. 提供更多的時間和資源：「給紅隊時間製作自訂工具，或為練習購買其他工具。」這種解決方案假設有足夠的時間和資源可以用於開發或購買工具。
  3. 改變藍隊的策略：「要求藍隊不對工具進行特徵標記；專注於為TTPs建立檢測。」這主要改變藍隊的策略來避免工具被「發現與曝光」，但藍隊不一定照做。
  4. 分隔紅隊的職責：將參與紫隊練習的紅隊與執行零知識練習的專職紅隊成員進行隔離，使專職紅隊可以專注於他們的核心任務。
  5. 使用虛擬化工具：考慮使用虛擬化技術來模擬紅隊的工具和攻擊，這樣即使被「發現與曝光」，也不會影響真實的紅隊工具。這種技術可以模擬真實的攻擊場景，而不會危及真實的工具。
  6. 合作開發共同使用的工具：紅隊和藍隊可以合作開發一套專為紫隊練習設計的工具，這樣紅隊就不必使用他們日常的工具。這套工具可以被定期更新，以適應新的威脅和策略。
  7. 增加培訓和教育：透過增加培訓和教育來提高紅隊和藍隊的能力，使他們更好地理解彼此的角色和責任，從而更有效地協同工作，而不會「發現與曝光」重要的工具。

結論

本篇文章從紅隊出發講到藍隊最終講到紫隊，而每一個內容都可以設計演練與加強工具的方式，如果企業需要加強自己的安全性，一定要記得從小做大，先求有再求好，並且一步一步提升防禦能力，不要只做一次就覺得自己的企業已經受到保護。

參考資料

https://github.com/scythe-io/purple-team-exercise-framework