在网络安全防御的武器库中,有一种被称为红队与蓝队模拟攻击的演练。这些模拟演练旨在尽可能逼真地重现现实条件。例如,红队的一名成员可能扮演点击网络钓鱼链接的员工,这个链接将恶意软件引入网络。然后,防守团队成员必须在恶意软件在整个网络中传播并感染Web服务器及其他应用程序之前找出它。为了让事情更加真实,模拟演练会重放真实的网络流量,以掩盖攻击,类似于现实世界的情况。
让我们谈谈红队和蓝队的角色划分。红队成员通常扮演攻击者,试图绕过安全协议。他们使用与攻击者相同的工具和技术,类似于渗透测试人员,但范围更广。
安全顾问Daniel Miessler在博客中写道:“红队不仅测试漏洞,还通过攻方的工具、技巧和技术进行持续的行动。”他认为,优秀的红队可以作为早期预警系统,帮助发现攻击的共同来源,并追踪对手的技术。
退役IBM架构师约翰John告诉CSO:“红队将永远无法测试出某些威胁,某些威胁可能会压倒蓝队,甚至让公司关门。”
蓝队则由防守者组成,类似于如今许多IT公司的内部安全团队。Miessler写道:“优秀的蓝队表现出一种积极的心态、无限的好奇心,并在检测和响应方面持续改进。”
旋风加速器app关于红队与蓝队的二元对立,其实有些误导。为了真正进行这些模拟演练,还应涉及两个团队:
白队由网络拥有者、IT管理员组成,他们负责运营设备并创建执行模拟的脚本。一些演练配有预构建的脚本,而其他则是自行编写。金队包括主题专家,是演练的顾问,可以涉及安全供应商代表、法律顾问以及执行数字取证等专业任务。同时也应该说说紫队的意义。这个颜色代表了红队和蓝队的结合,双方可以在演练中协作、提升技能。这个结合可能意味着双方都有代表在演练中合作,甚至在工作中也是如此。
不过,这可能不如双方同样思维的成员合作来得有效。Miessler将此比作某些餐厅服务员不送餐的情境,因为这不是他们的工作。他见过一些组织,红队认为自己太过于精英化,不愿意与蓝队共享信息,或者他们并没有被设计为对方的互动,IT部门更不认为这两个团队是同一项目的一部分。
去年夏天,我参加了在犹他州举办的国家警卫队CyberShield年度活动。在为期两周的时间里,活动会协调40个地方警卫单位进行模拟攻击。单位分为红队和蓝队,成员超过800人遍布全国。警卫队特意安排了一个“紫色日”,让红队和蓝队相互交流与合作,分享技巧和经验。
“我们知道威胁参与者之间的合作远比我们好,这给了我们与合作伙伴一起在真实场景下工作的机会,建立信任和更深层次的关系,”负责该活动的布拉德罗德斯中校Lt Col Brad Rhodes表示。建立这种信任是至关重要的,因为团队应该相互学习,而不应依赖于某个可能处于非值班或离开警卫队的单一分析师。罗德斯领导过六次CyberShield演练,并全职担任Zvelo IT安全负责人。
沃尔玛Walmart拥有全职内部的蓝队和红队成员。“我们还周期性地邀请外部的蓝队和红队信息安全专业人士进行
齐齐哈尔市龙沙区海山胡同10号
