六成蓝队在攻防演练中难以阻挡红队进攻

Exabeam的最新研究表明，62%的蓝队在对手攻防演练模拟练习中无法阻止红队。

受访者认为，威胁检测、事件响应和灵活性/开放性是远程办公时期蓝色团队必须改进的三个关键能力。与2019年同期的调研结果（更强调团队与沟通）对比，今年蓝队面临的技术和适应性挑战增加。

虽然37%的蓝队经常抓住“坏人”，但多达55%的蓝队表示成功“有些随机”，7%的蓝队很少或从来没有阻止过红队。积极的一面是，与去年的研究相比，“很少或者从未阻止红队”的蓝队占比从33%降低到了7%。

一个残酷的现实是，在大多数情况下，只有不到一半的蓝团队能够有效阻止红队，这一事实表明，企业必须优先考虑不断评估和调整其安全投资，以跟上当今的攻击者。

研究表明，许多公司已经开始采取行动，其中50%增加了安全投资，30%的公司补强了安全基础设施。17%的公司做到以上两点，只有2%的公司没有调整其安全工具或预算。

有趣的是，红色团队/蓝色团队测试的频率和方法差别很大。平均而言，企业每五个月进行一次红队练习。其中26%的企业每月进行一次，25%的企业每2-6个月一次，32%的企业每7-11个月进行一次，8%的企业每年一次。只有7%的企业从未使用红队测试。

蓝队演练频率与红队百分比类似，平均每六个月一次。

许多公司使用“紫色团队”方法，其中红队和蓝队来自自己的员工，并共同确定安全准备事项。三分之一的企业每2-6个月运行一次紫队模拟，50%的企业每7-11个月运行一次，12%的企业每年一次。同样，只有7%的企业没有紫色团队。

2020年的报告发现，92%的受访者选择使用并不了解其内部系统的外部红色团队，以帮助其团队为实际网络攻击做好准备。但是，54%的企业认为内部和外部红色团队同样有效，其中使用内部红队（24%）比外部红队（19%）的比例略高。

除了威胁检测、事件响应和灵活性、沟通和团队合作（41%）之外，威胁/战术知识（38%）和持久性（20%）也被列为蓝队应关注的宝贵技能。