紫隊這一概念的本質(zhì)是指利用了組織安全態(tài)勢中紅藍(lán)方之間協(xié)作的任何方法、流程或活動。我所說的“紅方”是指任何攻擊模擬或進(jìn)攻性安全活動?！彼{(lán)方”是指組織采取的任何防御措施。我認(rèn)為，當(dāng)進(jìn)攻和防守能力在紫隊演練中協(xié)調(diào)使用時，它代表了組織安全態(tài)勢中倒數(shù)第二個需要改進(jìn)的能力。這不是沒有挑戰(zhàn)就可以完成的，有許多紫隊的活動更偏紅隊的性質(zhì)，有些則更偏藍(lán)隊。在本章中，我將討論開展紫隊活動面臨的挑戰(zhàn)，并提供一些我認(rèn)為行之有效的不同類型紫隊活動的示例。

　　挑戰(zhàn)

　　紫隊本身也會遇到許多與紅隊相同的困難，其中大多數(shù)都與人有關(guān)。要解決這些困難，單靠成功和專業(yè)的紅隊是很難做到的。除此之外，一個依靠攻防專業(yè)人員協(xié)同工作的協(xié)同作戰(zhàn)環(huán)境是極具挑戰(zhàn)性的。對于紅隊來說，人的問題所產(chǎn)生的挑戰(zhàn)可能只是使安全評估工作變得更困難或更無效，但人的問題卻會完全破壞紫隊的演練活動，并且往往會破壞工作關(guān)系，以至于紫隊永遠(yuǎn)無法參與其中。

　　人員問題

　　在為客戶處理紅隊業(yè)務(wù)時，我遇到了幾個與人員關(guān)系有關(guān)的情況。在被客戶領(lǐng)導(dǎo)要求進(jìn)行更多類似紫隊的活動數(shù)月后，紅隊聯(lián)系到了組織內(nèi)部負(fù)責(zé)防守的藍(lán)隊人員。這個計劃是給藍(lán)隊成員提供更多關(guān)于我們在組織內(nèi)活動的情報，以幫助他們發(fā)現(xiàn)和監(jiān)視我們的能力。不幸的是，他們利用這些信息不僅發(fā)現(xiàn)和監(jiān)視我們，而且還阻礙我們的紅隊活動，向管理層吹噓他們是如何抓住我們的，并定期停止我們的安全評估活動。這個消息傳到了負(fù)責(zé)紅隊的另一位技術(shù)經(jīng)理那里，他很惱火地說我們被抓到了，被描繪成了無能的人，然后他和藍(lán)隊的同事發(fā)生了激烈的爭吵。在紫隊合作中，一兩個人無法保持專業(yè)性，這就破壞了團(tuán)隊合作和一些工作關(guān)系，并最終浪費大量的時間和資源，除了讓一些人感到自我膨脹之外，幾乎沒有任何好處。

　　在另外一個不同的組織中，我進(jìn)行了一次更有益但卻令人沮喪的紫隊演練，由于出現(xiàn)了不同的問題，導(dǎo)致最終與前一個例子的結(jié)果幾乎如出一轍。在這次演練中，紅隊的想法是測試藍(lán)隊使用的一些監(jiān)控規(guī)則和警報，以確保組織的安全，并以半自動的方式執(zhí)行事件響應(yīng)。藍(lán)隊獲得了巨大的支持，在同意這項活動后，紅隊開始對監(jiān)控能力執(zhí)行半自動化評估。不幸的是，對藍(lán)隊來說，測試結(jié)果比預(yù)期的要糟糕得多，高層領(lǐng)導(dǎo)已經(jīng)允許開展紫隊活動，并計劃聽取匯報。盡管紫隊演練工作中的藍(lán)隊已經(jīng)同意并對活動感到興奮，但防守人員的意外失敗和隨之而來的演練匯報令他們極為尷尬。紫隊演練活動在提高管理層對提供更好的安全態(tài)勢的理解方面是非常有利的。然而，由于藍(lán)隊出人意料地表現(xiàn)不佳，他們在個人及專業(yè)方面都會感到尷尬，而現(xiàn)在組織能夠更加安全的事實幾乎讓他們不知所措。顯然，這是一個更加糟糕的例子，這說明了開展紫隊演練可能會出現(xiàn)的問題，盡管沒有人表現(xiàn)得不專業(yè)，也沒有任何事情與約定的計劃相悖，但人們?nèi)匀粫ρ菥毜慕Y(jié)果產(chǎn)生分歧。

　　正如這些例子所說明的，紫隊中的人員問題無處不在，影響深遠(yuǎn)。正如敵對的客戶和客戶員工的不專業(yè)行為破壞了紅隊一樣，他們也破壞了紫隊。如果紅隊或藍(lán)隊中的每個人在紫隊活動中都有自己的日程安排，這可能會使整個努力成為徒勞。更糟糕的是，即使所有相關(guān)人員行為得當(dāng)，誤解或意外結(jié)果也會破壞紫隊演練活動的效益和持續(xù)性。盡管雙方都同意執(zhí)行演練，但當(dāng)紫隊的結(jié)果比較片面時，個別人可能會被忽略。人員斗爭不僅僅限于涉及的安全人員。管理層可以使用紫隊的結(jié)果導(dǎo)致額外的敵對努力。

　　例如，在前面的兩個例子中，如果一個藍(lán)隊的主管，向執(zhí)行層領(lǐng)導(dǎo)要求升職加薪，但指出紅隊做的也很好，甚至遙遙領(lǐng)先，那么紅隊也可能得到額外的財政支持，這就很可能會出現(xiàn)極端困難的情況。

　　客戶需求

　　與成功的紅隊演練所面臨的技術(shù)和流程方面的挑戰(zhàn)類似，紫隊演練也很難充分滿足客戶需求。這本書的主題是關(guān)于開展專業(yè)的紅隊，從這個角度來看，藍(lán)隊通常都是甲方。拋開所有的觀點不談，紫隊中的客戶是一個組織，藍(lán)隊和紅隊作為提供商堆客戶來說是一種附屬的安全資產(chǎn)。根據(jù)我的經(jīng)驗來看，這通常不是客戶對企業(yè)文化的看法，他們將紫隊視為紅隊產(chǎn)品的一部分并且比他們的藍(lán)隊更好。在與滲透測試人員的業(yè)務(wù)關(guān)系中尤其如此。除了執(zhí)行成功的第三方攻擊性安全評估的重重障礙之外，你必須邀請客戶組織中潛在的敵對部分加入到你的供應(yīng)商關(guān)系中。更糟糕的是，在這些情況下，紅隊并不能分配到客戶提供的有機(jī)藍(lán)隊資產(chǎn)。因此，紅隊所處的情況是，他們向客戶提供紫隊演練安全服務(wù)的成功取決于可能不會建立良好合作關(guān)系的藍(lán)隊資產(chǎn)，與紅隊資產(chǎn)不同，藍(lán)隊資產(chǎn)與客戶沒有業(yè)務(wù)關(guān)系，成功的積極性可能比較低。

　　這就是為什么優(yōu)秀的紫隊在很大程度上往往在那些大型企業(yè)或那些具有成熟安全態(tài)勢的公司里才能成功推行的原因。這類組織也可能同時擁有有機(jī)紅隊和有機(jī)藍(lán)隊資產(chǎn)。紫隊在一個長期的周期性評估計劃中效果往往最好，這在更大的組織中也更普遍。但這并不意味著資源窗口較短的小組織不能實現(xiàn)紫隊演練的好處，只不過需要適當(dāng)?shù)恼{(diào)整，不能最終得到一個純粹負(fù)面的結(jié)果。客戶的需求往往驅(qū)動著紫隊工作該如何開展，供應(yīng)商需要確保紫隊演練的期望與組織的安全態(tài)勢保持一致。如果客戶組織幾乎不具備安全監(jiān)控能力，那么紅隊將會以不同的方式與藍(lán)隊進(jìn)行合作，這比在安全監(jiān)控能力比較成熟并需要對安全監(jiān)控的某一部分進(jìn)行協(xié)作評估的情況要更好。與常規(guī)的紅隊評估相比，紫隊對演練活動的準(zhǔn)備工作更加敏感，應(yīng)該特別注意與客戶組織的溝通，以確保紫隊是成功的且長期的。

　　紫隊的類型

　　紅隊和藍(lán)隊可以通過多種方式進(jìn)行協(xié)作，以提高組織的安全性。如前所述，紫隊是一種讓紅隊和藍(lán)隊資產(chǎn)一起產(chǎn)生凝聚力的工作。我所說的典型的紫隊演練有兩類：一類是某一方不知情，不管是攻擊者（紅隊）還是客戶（藍(lán)隊），另一類是雙方都對對方的活動有一定程度的認(rèn)知。此外，還有“紫隊”的“后紅隊評估”活動，在該活動中，各方共同致力于補救工作。接下來，我還將討論一些我在我個人參與過的紫隊演練活動中總結(jié)出的方法，我發(fā)現(xiàn)這些方法對組織安全的影響非常大。

　　互惠意識

　　紫隊演練最典型的例子可能就是紅藍(lán)雙方對彼此在演練中的活動和角色至少會有一些（通常幾乎相等）的理解。使用這種紫隊演練形式的好處是，它往往是最不具對抗性的，因為雙方都沒有保持太多彼此之間的聯(lián)系。紅隊成員知道藍(lán)隊會發(fā)現(xiàn)他們以及發(fā)現(xiàn)到什么程度，藍(lán)隊成員知道紅隊計劃的活動和目標(biāo)。這種方法的一個缺點是它不適合紅隊進(jìn)行最真實的攻擊模擬。在大多數(shù)情況下，這是執(zhí)行這類活動的可接受的一部分。

　　作為一個專業(yè)的紅隊成員，在這種情況下，你對藍(lán)隊可能負(fù)有一些責(zé)任。除了做好操作記錄外，紅隊評估人員還應(yīng)在漏洞利用開始前通知藍(lán)隊?；旧?，紅隊成員應(yīng)向藍(lán)隊提供操作說明中記錄的相同細(xì)節(jié)，如果可能的話，還應(yīng)該實時提供。這意味著讓藍(lán)隊知道攻擊的來源、攻擊目標(biāo)、發(fā)起攻擊的大概時間和準(zhǔn)確時間，以及發(fā)起的攻擊類型。這種戰(zhàn)術(shù)使藍(lán)隊能夠?qū)崟r改進(jìn)并分析他們的監(jiān)控和防御能力。如果該漏洞未通過監(jiān)控工具發(fā)出警報，或未被防火墻或防病毒軟件成功阻止，則藍(lán)隊將立即知道，并能夠在紫隊繼續(xù)演練時采取適當(dāng)?shù)木徑獯胧?。同樣，藍(lán)隊成員應(yīng)該讓紅隊知道其活動何時會在網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)上被發(fā)現(xiàn)，以幫助紅隊成員改進(jìn)和磨練他們的作戰(zhàn)計劃。在紫隊中，當(dāng)紅隊和藍(lán)隊都對彼此的活動具備互惠意識時，那么這兩個團(tuán)隊都會隨著評估的進(jìn)行而提高。

　　不知情的防守者

　　另一種常見的紫隊評估是客戶的防守藍(lán)隊幾乎不知道紅隊的活動。在這些演練中，藍(lán)隊只得到了紅隊行動的模糊指示，并試圖通過努力搜尋、發(fā)現(xiàn)或阻止紅隊的行動來提高和磨練自己的能力。提供給藍(lán)隊的信息可能簡單到只是紅隊活動的開始日期和結(jié)束日期，也可能具體到他們會計劃針對組織的哪一部分資產(chǎn)進(jìn)行集中評估或發(fā)起模擬攻擊的一些目標(biāo)。紅隊知道了傳遞給藍(lán)隊的確切信息，并盡一切努力阻止被發(fā)現(xiàn)。這種演練方式的好處是可以讓紅隊提供真實的攻擊模擬，并增加攻擊執(zhí)行的復(fù)雜度。缺點是這種方式有更大的潛力導(dǎo)致藍(lán)隊和紅隊之間的敵對環(huán)境，因為它本質(zhì)上是讓兩支隊伍互相對抗，彼此競爭。

　　不知情的攻擊者

　　一個不太可能使用的紫隊范例是不知情的攻擊者。在這種情況下，模擬攻擊的紅隊評估人員對藍(lán)隊的能力或活動幾乎一無所知。紅隊也不知道藍(lán)隊正在收到有關(guān)紅隊行動的信息。這種情況使得組織的防御機(jī)構(gòu)能夠?qū)崟r、詳細(xì)地監(jiān)測順其自然而進(jìn)行的紅隊評估。這種紫隊演練基本上可以讓紅隊在整個演練過程中暢通無阻；最后，藍(lán)隊提供了關(guān)于紅隊進(jìn)展情況的類似復(fù)盤性質(zhì)的報告，以及從頭到尾監(jiān)控紅隊攻擊模擬活動中獲得的知識。

　　藍(lán)隊也可以給紅隊制造點“麻煩”，看看紅隊隊員們的反應(yīng)如何。這些挑戰(zhàn)可以是將遠(yuǎn)程訪問工具使用的幾個監(jiān)聽的網(wǎng)站拉入黑名單，或者是保護(hù)紅隊用來橫向移動的帳戶，或者是清理紅隊植入的某些跳板服務(wù)器。因為紅隊不知道它正在被實時跟蹤，所以紅隊成員對安全事件的反應(yīng)就好像這些情況是正常評估的一部分。一個專業(yè)的紫隊評估的藍(lán)隊收集到的信息對于學(xué)習(xí)攻擊者的心態(tài)和良好道德黑客的自然反應(yīng)是非常寶貴的。當(dāng)作為更大的有機(jī)演練行動的一部分進(jìn)行時，它允許紅隊從防守的角度受益，因為它有一個面向紅隊的最終報告。這種紫隊顯然不太可能出現(xiàn)在簡單的滲透測試人員與客戶的關(guān)系當(dāng)中，但絕對是在有機(jī)的安全演練中磨練紅藍(lán)技能的創(chuàng)造性方法。