The Cyber Queens播客的联合创始人Maril Vernon表示，对于网络安全来说，开源和创造力是关键，所以哪怕组织的紫队只有一个人，同样可充分发挥其作用。

Vernon说，一个人的团队必须能够识别威胁、模拟攻击和修补漏洞。因此，这个人最好是一名经过培训并接触过漏洞利用的安全从业人员，或者也可以是一名进攻型安全人员，他会使用事件响应工具来进行自我演练。

开源工具方面，Vernon提出，一个人的紫队可以利用好强大的开源工具，如OWASP ZAP、Snort、DeRF（检测回放框架）、Zeek或Security Onion进行漏洞检测，RITA（实时智能威胁分析）可用于CTI，BURP、Metasploit或 Atomic Red Team可用于渗透测试。其中，BURP社区版是免费的，其在Web应用程序渗透测试中非常有用。

Vernon表示，此安全人员最好能常常参与在线安全论坛，以了解最新的威胁情报、脚本和测试方法。“Red Canary的Atomic Red Team是紫队成员的最爱，因为它是PowerShell中预脚本漏洞的大型存储库，大多用于MITRE ATT&CK战术和程序（TTP），其中许多都是众所周知基于签名的漏洞，因此很容易被预防或检测。好消息是，一旦组织清理了这些内容，就可以开始进行复杂的攻击了。”

对于报告，Vernon指出，VECTR 和 DETT&CT 是最好的选择。DETT&CT 作为开源工具，其代表了检测战术和模拟威胁，组织可以从其自定义模式中提取 XML，并输出 JSON 格式的 ATT&CK 导航器层，还可以用它来托管和生成各种 TTP 覆盖的可视化热图。“当然，VECTR 也是开源的，它可以让组织上传漏洞的运行手册，并能将特定的TTP与操作联系起来，通过一段时间或特定参与的指标，跟踪相关的风险和补救措施。”

Vernon认为，紫队的成员需要花时间参加免费的在线课程和网络研讨会，以了解最新的安全趋势和技术。“尽管团队人数上相对薄弱，但一个对安全领域熟练，并懂得利用强大工具的安全人员，仍然可以在识别和解决安全漏洞方面取得重大成果。虽然检测速度较缓，缓解措施不那么如意，但进展缓慢总比没有进展要好。此外，如果有幸能获得预算支出，那相应的漏洞修复效果也能立竿见影，这在ROI上的体现也是一目了然的。”

扩展到二人组可以实现更有效的分工。Vernon表示，两人团队中，一人可专注于攻击模拟（红色），另一人则可专注于检测和响应（蓝色）。“这里的好处是增加了权宜之计。相比于一人团队，两人团队在计划、执行和自我缓解方面要效率得多。”

在工具选择方面，Vernon指出，组织可购入一种既能用于红方又能用于蓝方的综合工具，比如SIEM或多功能安全平台。其中，SIEM大大加速了威胁狩猎和连锁IoC的能力，其可单独使用日志来完成。此外，pentesting工具，像BURP Enterprise edition（web应用程序）或Cobalt Strike（网络C2）等则更为强大，这些工具能应对更复杂的漏洞利用，并能识别和补救更多的攻击向量。

培训方面，Vernon认为，组织可以分配少量预算，以确保两名团队成员都处于网络安全实践的前沿。“一旦免费资源耗尽，个人训练营和SANS认证可以很快花光组织本就不多的预算，但像INE或PluralSight这样的会员选项涵盖了多种技能，可以全年使用。”

Vernon表示，二人团队最大的优势在于协作练习。比如，一个人保持进攻观点的能力、行为和心态，另一个人则致力于防守的流程、程序和能力，这能为安全态势带来更多的价值，也是紫队的初级阶段。“显然，组织汇集的专家和专业技能越多，结果和影响就越好。因此，即使只有两位安全从业人员，他们之间的相互学习和借鉴也能带来意想不到的成果。”

二人团队可以实施更积极主动的安全态势，对新型威胁也能做出更快的反应。但二人团队也有弊端，比如过于单一的专业知识。检测工程师、CTI分析师、企业风险师、BCP人员、SOC分析师，这些人员意味着在演习过程中他们所持观点会更偏向于自己擅长的领域，好比渗透测试人员会更执着于对漏洞的扫描。这就会导致一种结果——某个领域做得特别好，但其他领域可能有所缺乏。

Vernon说，由多人组成的紫队是组织安全态势的理想配置，理想情况下，团队需要涵盖白帽子、事件响应人员、网络威胁情报人员和数据安全管理人员，其中紫队负责人要担任运营经理和联络人。

团队中的进攻方，要在云端转向和升级、网络应用程序渗透测试、网络命令和控制（C2）方面拥有专业知识，很多时候一名安全从业人员就可以学会所有这些技能，但这需要预算将其送去培训；防御方的垂直学习领域也是如此，包括检测工程、SOC分析、CTI分析、BCP等。Vernon表示，在紫队中包含尽可能多的能力是件好事，但根据公司和部门结构，其中许多专业技能可以由一人来囊括，同时防御人员和攻击人员的比例最好在3:2。

在工具方面，Vernon认为，组织需要投资一套专用工具，如定制的入侵检测系统（IDS），包括AttackIQ、Safebreach或SnapAttack在内的先进渗透测试软件，这些软件往往集成了多个技术栈。SnapAttack可以运行复杂的漏洞利用并对此作出报告，其能和SIEM同步，并编写出工具所需的规则来预防或提醒各种恶意活动，同时其可编写、发送、测试、关闭和报告TTP。

“威胁情报方面，Anomali和Recorded Future是我的最爱。如果组织能负担得起边缘技术，可以看看ZeroFox的域名抢注、域名保护和Human，这些工具可用于治理僵尸账户和伪装成合法用户的欺诈活动。”Vernon表示，如果紫队中，具备能够掌握逆向恶意软件工程和定制漏洞开发的红队人员，以及编写规则的检测工程师，那么上述这些工具将能更好地发挥作用。

此外，团队要实施常规红队演习和蓝队防御，然后进行全面地汇报，并分享见解和策略。Vernon建议，红队应该有自己的行动节奏，而在每一次行动之后都可以进行紫队训练，以集中精力并尽其所能完成TTP。“紫队也可以制定自己的测试目标。组织可以使用紫队来验证复杂的威胁模型，并填补安全漏洞，同时利用违规行为和CTI的影响，来确保系统中不存在同样的情况。”

Vernon认为，在训练过程中，如果团队成员仅考虑“对手做了什么，对我们适用吗”是不够的，还应该思考思考：“对组织关键系统最有害或最容易形成的攻击是什么？我们对此进行了防御吗？”

在培训和认证方面，组织要为高级培训提供预算。Vernon说：“可以花钱购买SANS课程和GAIC认证，这是更高层次的安全知识，和贸易技能有关。同时，组织也要让防守队员学习高级编码、SDLC、AppSec、DevOps和其他特定工具技能，以充分发挥他们的潜力。切记，不要再依赖‘让供应商教会组织如何有效地使用工具’了。”

可见，这个预算范围允许组织拥有一支强大的紫队，能够跟上复杂的威胁环境和先进的攻击技术。Vernon建议，组织要将全职员工的时间和资源专门用于进行定期的攻击和防御模拟，这样可使每个成员都学习到相对应的技能和程序；同时可让他们解释对方的行动原因和方式方法，以形成系统化的交流。“当然，在建设团队的过程中，我们会发现所需的内容比预想的要多得多，这对组织预算来说是一大考验，但最终通过各种实践，个人认为，组织一定能看到超乎想象的回报。”

最后，当组织有了充分的预算，就可以负担得起一支具备不同重点领域的综合性紫队。这个团队会由专家们组成，包括渗透测试人员、安全分析师、事件响应人员和网络威胁情报分析师，甚至还能具备专门从事定制工具的IaaC开发人员和社会工程师，他们的存在可以将网络钓鱼和物理测试提升到一个全新的水准。

Vernon表示，此时组织可以部署企业级的解决方案，比如高级持续威胁模拟、自动事件响应系统和集成威胁管理生态系统等。组织还可以配备一个装备齐全的架构师团队，以确保工具和团队的输入/输出始终保持顺畅。

“到了这个份上，紫队才算是具备了足够多的底气，才有资格去面对真正的模拟测试。比如每次测试时，红队不能总是墨守成规，而是必须通过真正创造性的攻击思维来取得成功，同时蓝队也应该在这样的背景下和红队抗衡。”

此外，Vernon说，部分紫队的操作人员可以利用ISSO、架构师和基础设施人员，去创建自动化定制的测试和TTP管道，这些管道不会向世界公布，只与所在组织相关。“这可谓是协作安全和主动网络弹性计划的最佳模板。”

毋庸置疑，资金充足的紫队拥有着强大的力量，其不仅能够防御，而且能够预测和防止潜在的违规行为。如果零日事件出现，所有团队成员都能立马进入状态，他们可以随时发挥出彼此的优势，在事件成为漏洞之前就进行识别和遏制，最终消除问题。

对于该如何建立高效的紫队，国内安全专家如此建议。

知乎相关专家“克鲁尼”表示，网络安全紫队（Purple Team）是一个将传统的红队（攻击者模拟，负责进行渗透测试）和蓝队（防御者，负责监控和响应）结合起来的综合团队。其主要目标是结合双方的专长，持续改进企业的安全防护措施。

要建立高效的网络安全紫队，“克鲁尼”建议：

1、明确目标。首先明确紫队的主要目标，如识别潜在的安全风险、测试现有的安全控制措施、提高安全响应速度等；

2、组建跨职能团队、紫队应包括具有不同专长的成员，如网络安全专家、系统管理员、开发人员等。确保团队成员具备红队和蓝队的技能和经验；

3、制定计划和策略。制定详细的计划和策略，包括攻击模拟的范围、频率和持续时间，以及蓝队的监控和响应流程；

4、沟通和协作。建立良好的沟通机制，确保红队和蓝队之间的实时信息交流。同时，促进团队成员之间的协作，共同解决问题；

5、持续培训。为团队成员提供持续的培训和发展机会，以跟上不断变化的网络安全威胁和技术；

6、定期评估和改进。定期评估紫队的效果，识别存在的问题并进行改进。同时，根据评估结果调整计划和策略，以确保团队始终保持高效；

7、高层支持。确保企业高层对紫队的理解和支持，为团队提供足够的资源和授权，以便其顺利完成任务；

8、建立良好的企业文化。培养一种积极的安全文化，鼓励员工主动报告安全问题并与紫队合作解决问题；

某银行信息安全管理人员李丹表示，简单来说，紫队是红蓝队的合并。紫队是进攻性和防御性网络安全专业人员的结合，两种技术人员联合在一起，作为另一个单一的团体来履行职责。紫队是网络实战攻防演练中的组织方，当进攻和防守能力在紫队演练中协调使用时，它代表了组织安全态势中亟需改进的能力，且需要配合上一定的挑战环境，才能更有效地实施演练。此外，大部分紫队的活动更偏红队的性质，当然也有更偏蓝队的。

李丹指出，单一平台允许红队和蓝队以更好方式合作，还允许团队之间有效地交换知识，而紫队则是该组织在网络安全方面采用的关键步骤，它为网络安全投资提供了更好的投资回报率，并能更好地提升组织的安全状况。

在建设团队方面，李丹认为，团队的组建应该基于企业或组织的特定需求和规模，要从组织、政策制度、人员管理、流程、技术能力等方面进行考虑，同时为了提高团队的工作效率和响应能力，各个角色需要明确的职责分工。对此，李丹提出以下建议：

1、紫队是网络实战攻防演练中的组织方，首要职责就是进行人员的沟通、组织和联动；

2、紫队要同时执行本属于红队和蓝队的任务，这意味着紫队的工作内容包括进行渗透测试、漏洞发掘、对手仿真、威胁情报收集、取证分析、响应网络威胁和入侵、各种日志和操作记录的审计、运行安全操作中心（SOC）、实现安全自动化、对恶意软件进行逆向工程等等；

3、紫队同时由攻防两种人员构成，因此紫队的工作方式也和红蓝队分开的做法不同。李丹指出，更符合紫队特征的工作方式，是专门针对某一特定的安全环节开展工作。比如怀疑身份验证系统存在问题，攻击人员和防御人员就要一起对该系统进行研究，通过想法的碰撞和实践去找出弱点，并同步进行修补，提高企业的网络安全防御体系有效性。如果实施得当，这种做法明显比盲目攻击和被动防御要高效得多；

4、紫队需要更好地实现时间管理，时间是网络安全领域的关键资源，尤其是各种0DAY漏洞的在野利用情况，使得时间因素往往决定了企业组织的安全防御体系有效与否。紫队整合红蓝两队，实现攻防人员有机协作、更快地检测和修补漏洞，可以极大地提高企业组织对网络风险的应对速度。

而光大证券安全专家胡广跃指出，“未知攻，焉知防”，在条件具备的情况下，紫队在企业的自身防御中是非常重要的存在，其以组织的最佳利益为出发点，可以打破红队和蓝队之间因自身立场而不得不对立的壁垒，也能让红队和蓝队一起产生凝聚力，对规模较大的安全团队来说更为适用，其能有效提升网络风险的应对速度。

胡广跃说：“建立紫队需要将一定规模、协作和知识共享作为基础条件，需要企业自身具备一定的安全建设和运营成熟度，比如成熟的态势感知、SOAR等，并能够开展持续的、周期性评估，形成常态化、实战化的安全运营机制。”