网络安全中的一个常见误解是，红色和紫色的分组练习仅用于在攻击发生之前识别漏洞。许多人认为这些演习纯粹是准备性的，旨在加强防御和防止违规。然而，这种狭隘的观点忽视了红色和紫色团队合作的全部战略潜力。实际上，这些演习在网络安全的所有阶段都提供了重要价值——不仅在“违规前”阶段，而且在“违规期间”和“违规后”阶段。

红色和紫色团队体现了一种积极主动的战略网络安全方法，强调网络弹性不取决于避免攻击的可能性，而是取决于我们抵御攻击的准备情况。现实是严酷的：重要的不是攻击的可能性，而是我们为减少漏洞而做出的决策和采取的行动。正如古代战略家孙子所观察到的那样，“兵法告诉我们，不要依赖敌人不会来的可能性，而是要依靠我们自己准备好迎接他;不是因为他不发动攻击的机会，而是因为我们使我们的阵地无懈可击。这种智慧与现代网络安全中红色和紫色团队合作的目的完全一致。

红色和紫色组队的目标不仅仅是识别孤立的弱点;相反，他们挑战了组织的整个防御战略，加强了人员、流程和技术，以创造一个无懈可击的地位。这些练习不仅仅是计算攻击的几率，而是侧重于做出深思熟虑的选择并严格测试防御措施，以便在攻击来临时，系统、团队和流程具有足够的弹性来抵御攻击。

在数字领域，真正的安全性不是来自希望攻击不会发生或仅仅依赖于预测指标，而是来自构建网络战略，该战略包含攻击的不可避免性，并加强组织的各个方面以承受和适应。因此，红队和紫队不仅仅是安全演习;它们是建立弹性态势的关键实践，反映了这种对战备和战略防御工事的永恒理解。

通过将红色和紫色团队与 Cybersecurity Compass 框架保持一致，组织可以利用这些练习来持续、动态地降低网络风险，而不仅仅是识别孤立的漏洞。这种方法可实现主动的自适应防御策略，不仅可以防止攻击，还可以主动提高组织网络安全各个维度（人员、流程和技术）的弹性、检测和响应能力。

为什么 Red 和 Purple 组合应该取代传统的渗透测试

虽然传统的渗透测试可以识别表面漏洞，但它通常缺乏解决人员、流程和技术方面的现代威胁的深度和适应性。以下是为什么在组织的网络安全战略中应该用红色和紫色组合来取代传统的渗透测试：

1. 全面、逼真的模拟：红色和紫色团队模拟真实攻击者的实际战术和行为，不仅测试技术漏洞，还测试攻击整个生命周期中的人员和流程弱点。
2. 持续改进和适应：Purple 团队合作促进攻击者和防御者之间的即时反馈，确保安全的各个方面（从个人技能到技术配置）都得到持续改进。
3. 网络安全指南针所有阶段的价值：与仅关注入侵前阶段的渗透测试不同，红色和紫色组合在所有三个阶段都提供价值，即改进主动防御、加强响应工作和增强事件后的弹性。
4. 建立弹性文化：红色和紫色团队练习在组织内灌输弹性思维，训练防御者像攻击者一样思考并适应不断变化的威胁。这种思维方式对于构建以真实、有意义的方式降低网络风险的安全态势至关重要。

网络安全指南针：红紫团队的三阶段战略框架

Cybersecurity Compass 是一个概念框架，将网络安全工作分为三个关键阶段：

1. 数据泄露之前 — 网络风险管理：这个主动阶段的重点是评估风险、确定风险优先级和降低风险，以防止潜在事件。
2. 在违规期间 — 检测和响应：当违规发生时，重点转移到实时威胁检测和响应上，以遏制影响。
3. 漏洞发生后 — 网络弹性：事件发生后，重点是恢复、从漏洞中吸取教训以及增强防御以提高未来的弹性。

这个循环过程 — 准备、行动和反思 — 创造了一种战略性的、持续的网络安全方法。与传统的渗透测试不同，红色和紫色团队合作练习贯穿所有三个阶段，提供见解和改进，不仅可以保护网络安全风险，还可以主动降低网络风险。

网络风险评分：演习期间的动态网络风险提升

有效的网络风险评分解决方案在红色和紫色组队演习中起着至关重要的作用。这些模拟自然会暂时提高组织的风险敞口，因为它们模拟了真实的攻击场景。在此阶段，您的网络风险评分系统应动态反映增加的风险，清楚地了解这些活动如何影响组织的整体网络风险状况。

此临时网络风险提升：

• 突出人员、流程和技术方面需要改进的领域。
• 为实时解决漏洞时衡量风险降低提供基准。
• 使领导层能够衡量网络风险调整，展示红色和紫色团队合作练习在降低长期网络风险方面的切实好处。

第 1 阶段：网络风险管理 — “数据泄露之前”

在网络风险管理阶段，组织主动识别和解决漏洞，为弹性网络安全态势奠定基础。这通常被视为红色和紫色组队的主要关注点，因为它强调预防。然而，这些练习超越了传统的渗透测试，对组织的风险态势进行了持续和全面的评估，提供了可操作的见解，直接有助于降低可衡量的网络风险。

• 红队通过网络钓鱼、社会工程和网络利用等策略模拟真实世界的攻击者行为。与通常仅关注技术漏洞的渗透测试不同，红队测试可以模仿对手来发现组织防御中更广泛的安全漏洞。
• 紫色团队通过促进红色和蓝色团队之间的实时协作来增强这一过程。这种动态方法可确保将调查结果立即转化为防御性改进，优化检测机制、事件响应协议和员工培训计划。

衡量网络风险降低：人员、流程和技术

• 人员：红队进行模拟社会工程攻击，测试员工对操纵的意识和反应。Purple Teaming 将这些洞察整合到有针对性的培训计划中，建立一支更能抵御人为错误利用的员工队伍。衡量成功与否涉及跟踪指标，例如网络钓鱼成功尝试的减少和模拟期间员工检测率的提高。
• 流程：模拟攻击通常会揭示安全协议中的漏洞，例如事件升级或访问控制弱点。Purple Teaming 有助于实时优化这些流程。评估风险降低的指标可能包括缩短响应时间、提高对安全策略的合规性以及减少模拟期间遵循升级程序的失误。
• 技术：Red Team 通过探测防火墙、入侵检测系统和端点保护来测试技术防御的稳健性。Purple 团队确保根据测试结果立即更新配置和漏洞补丁。可以通过跟踪随时间推移发现的可利用漏洞的频率和严重性，并在后续模拟中评估更新的防御措施的有效性来衡量网络风险的降低。

网络风险管理阶段的成果：

1. 增强员工意识：通过解决社会工程策略和提供量身定制的培训，组织可以建立一支更有能力识别和抵制操纵企图的员工队伍，从而减少与人为错误相关的漏洞。
2. 加强安全协议和网络风险降低：针对模拟攻击的测试过程有助于识别差距，从而改进升级和响应协议，使防御更具适应性和有效性。
3. 强化的技术防御：持续测试和实时调整可增强技术基础设施，减少防火墙、检测系统和端点安全中可利用的漏洞。

第 2 阶段：检测和响应 — “在数据泄露期间”

当事件发生时，检测和响应阶段侧重于实时操作。红色和紫色的组队演习在这里非常有价值，因为它们允许防御者在现实条件下改进检测和响应能力，确保所有三个支柱（人员、流程和技术）都准备好有效响应。

• 红队：在此阶段，红队模拟正在进行的攻击，例如设置命令和控制 （C&C） 通道、横向移动和数据泄露，测试组织检测和遏制实时威胁的能力。这不仅限于漏洞扫描，还揭示了防御措施在实际条件下的承受能力。
• 紫色组队：此处的紫色组队使防御者能够与攻击者一起工作，立即了解攻击是如何展开的。这种合作缩短了响应时间，使防御者能够动态调整检测工具，并增强了遏制策略。结果是一支更敏捷、更明智的响应团队，可以快速识别和消除威胁。

衡量您的响应能力：人员、流程和技术

• 人员：在模拟泄露期间，红队会测试蓝队成员的准备情况，要求他们在攻击发生时检测和遏制攻击。Purple Teaming 促进了实时学习，使防御者能够即时适应并增强他们的响应技能，从而增强整个团队的信心和能力。
• 流程：红色和紫色团队测试事件响应程序的效率和有效性，识别可能阻碍响应时间的潜在瓶颈或通信中断。Purple Teaming 提供即时反馈，使组织能够改进和简化这些流程，缩短响应时间并改善协调。
• 技术：红队模拟攻击，对组织的检测和响应技术（例如 SIEM 系统、XDR 平台、端点检测工具和防火墙）进行压力测试。Purple Teaming 支持实时调整检测规则、警报阈值和遏制措施，从而在压力下最大限度地提高这些工具的功效。

检测和响应阶段的结果：

1. 更快的检测和响应时间：实时测试和反馈缩短了检测和响应事件的时间，从而限制了网络威胁的潜在损害。
2. 提高团队准备能力：持续模拟为防御者提供实践经验，增强信心并增强他们快速识别和响应攻击的能力。
3. 优化的检测技术：通过持续的测试和改进，检测和响应工具变得更加精确和可靠，从而提高组织在威胁传播之前遏制威胁的能力。

第 3 阶段：网络弹性 — “泄露后”

网络弹性阶段的重点是从事件中学习、恢复和改进人员、流程和技术的防御，以建立长期弹性。红色和紫色的团队合作练习提供了重要的见解，有助于将模拟的违规行为转化为可操作的改进。

• 红队：在漏洞模拟之后，红队对攻击路径、利用的漏洞和绕过的防御措施进行详细分析。这种全面的反馈有助于确定根本原因和弱点，为将来加强对类似攻击的防御提供路线图。
• 紫色团队：紫色团队在结构化的事件后汇报中汇集了来自红色和蓝色团队的见解，将吸取的经验转化为具体的改进。这种协作反射加强了事件响应协议，更新了防御措施，并确保组织从每次模拟中学习。

衡量你的学习与改进能力：人员、过程和技术

• 人员：在漏洞模拟之后，红色和紫色团队会审查团队绩效，并确定可能阻碍响应的技能或意识差距。这导致了有针对性的培训和技能发展，加强了整个组织的韧性和持续改进文化。
• 流程：模拟后，红色和紫色团队分析事件响应和恢复流程在真实攻击场景中的执行情况。此反馈循环可帮助组织调整协议以消除低效率，为未来事件创建更具弹性的流程。
• 技术：通过审查安全工具抵御攻击的能力，红色和紫色团队提供了有关技术差距或限制的宝贵见解。这使组织能够对新工具进行战略投资、改进配置或停用过时的解决方案，确保其技术堆栈具有弹性并与当前的威胁形势保持一致。

网络弹性阶段的成果：

1. 改进的事件响应计划：吸取的经验教训导致改进的事件响应协议，确保组织能够更好地处理未来的类似事件。
2. 有针对性的技能发展：识别响应过程中的技能差距可以进行有针对性的培训，创建一个不断学习并准备好应对高级威胁的团队。
3. 升级的安全基础设施：通过事件后审查，组织可以增强其技术防御，部署或优化工具以弥合事件模拟期间发现的任何差距。

降低网络风险的整体网络安全战略

通过将红色和紫色的团队合作练习映射到 Cybersecurity Compass，组织超越了传统的漏洞评估，采用持续的自适应方法来降低人员、流程和技术方面的网络风险。红色和紫色的组队练习不仅仅是为了识别漏洞;它们是战略演习，可增强弹性、加强事件响应并加强网络安全各个方面的安全态势。

用红色和紫色组合取代传统的渗透测试，使组织能够真实、动态地了解其安全态势。通过准备、行动和改进的循环，这些练习推动了有意义的网络安全增强，使组织能够显著降低网络事件的风险。

将红色和紫色团队纳入 Cybersecurity Compass 框架，将网络安全从一次性的合规任务转变为一种动态的、降低风险的做法。通过在 Compass 的每个阶段解决人员、流程和技术问题，组织可以建立强大、有弹性的防御，以抵御当今不断变化的网络威胁。

原文始发于微信公众号（安全狗的自我修养）：Red 和 Purple Teaming 如何降低整个网络安全指南针的网络风险