开展专业的红蓝演练 Part.17:紫队的类型以及面临的挑战
2021-06-20
来源:嘶吼专业版
紫队这一概念的本质是指利用了组织安全态势中红蓝方之间协作的任何方法、流程或活动。我所说的“红方”是指任何攻击模拟或进攻性安全活动。”蓝方”是指组织采取的任何防御措施。我认为,当进攻和防守能力在紫队演练中协调使用时,它代表了组织安全态势中倒数第二个需要改进的能力。这不是没有挑战就可以完成的,有许多紫队的活动更偏红队的性质,有些则更偏蓝队。在本章中,我将讨论开展紫队活动面临的挑战,并提供一些我认为行之有效的不同类型紫队活动的示例。
挑战
紫队本身也会遇到许多与红队相同的困难,其中大多数都与人有关。要解决这些困难,单靠成功和专业的红队是很难做到的。除此之外,一个依靠攻防专业人员协同工作的协同作战环境是极具挑战性的。对于红队来说,人的问题所产生的挑战可能只是使安全评估工作变得更困难或更无效,但人的问题却会完全破坏紫队的演练活动,并且往往会破坏工作关系,以至于紫队永远无法参与其中。
人员问题
在为客户处理红队业务时,我遇到了几个与人员关系有关的情况。在被客户领导要求进行更多类似紫队的活动数月后,红队联系到了组织内部负责防守的蓝队人员。这个计划是给蓝队成员提供更多关于我们在组织内活动的情报,以帮助他们发现和监视我们的能力。不幸的是,他们利用这些信息不仅发现和监视我们,而且还阻碍我们的红队活动,向管理层吹嘘他们是如何抓住我们的,并定期停止我们的安全评估活动。这个消息传到了负责红队的另一位技术经理那里,他很恼火地说我们被抓到了,被描绘成了无能的人,然后他和蓝队的同事发生了激烈的争吵。在紫队合作中,一两个人无法保持专业性,这就破坏了团队合作和一些工作关系,并最终浪费大量的时间和资源,除了让一些人感到自我膨胀之外,几乎没有任何好处。
在另外一个不同的组织中,我进行了一次更有益但却令人沮丧的紫队演练,由于出现了不同的问题,导致最终与前一个例子的结果几乎如出一辙。在这次演练中,红队的想法是测试蓝队使用的一些监控规则和警报,以确保组织的安全,并以半自动的方式执行事件响应。蓝队获得了巨大的支持,在同意这项活动后,红队开始对监控能力执行半自动化评估。不幸的是,对蓝队来说,测试结果比预期的要糟糕得多,高层领导已经允许开展紫队活动,并计划听取汇报。尽管紫队演练工作中的蓝队已经同意并对活动感到兴奋,但防守人员的意外失败和随之而来的演练汇报令他们极为尴尬。紫队演练活动在提高管理层对提供更好的安全态势的理解方面是非常有利的。然而,由于蓝队出人意料地表现不佳,他们在个人及专业方面都会感到尴尬,而现在组织能够更加安全的事实几乎让他们不知所措。显然,这是一个更加糟糕的例子,这说明了开展紫队演练可能会出现的问题,尽管没有人表现得不专业,也没有任何事情与约定的计划相悖,但人们仍然会对演练的结果产生分歧。
正如这些例子所说明的,紫队中的人员问题无处不在,影响深远。正如敌对的客户和客户员工的不专业行为破坏了红队一样,他们也破坏了紫队。如果红队或蓝队中的每个人在紫队活动中都有自己的日程安排,这可能会使整个努力成为徒劳。更糟糕的是,即使所有相关人员行为得当,误解或意外结果也会破坏紫队演练活动的效益和持续性。尽管双方都同意执行演练,但当紫队的结果比较片面时,个别人可能会被忽略。人员斗争不仅仅限于涉及的安全人员。管理层可以使用紫队的结果导致额外的敌对努力。
例如,在前面的两个例子中,如果一个蓝队的主管,向执行层领导要求升职加薪,但指出红队做的也很好,甚至遥遥领先,那么红队也可能得到额外的财政支持,这就很可能会出现极端困难的情况。
客户需求
与成功的红队演练所面临的技术和流程方面的挑战类似,紫队演练也很难充分满足客户需求。这本书的主题是关于开展专业的红队,从这个角度来看,蓝队通常都是甲方。抛开所有的观点不谈,紫队中的客户是一个组织,蓝队和红队作为提供商堆客户来说是一种附属的安全资产。根据我的经验来看,这通常不是客户对企业文化的看法,他们将紫队视为红队产品的一部分并且比他们的蓝队更好。在与渗透测试人员的业务关系中尤其如此。除了执行成功的第三方攻击性安全评估的重重障碍之外,你必须邀请客户组织中潜在的敌对部分加入到你的供应商关系中。更糟糕的是,在这些情况下,红队并不能分配到客户提供的有机蓝队资产。因此,红队所处的情况是,他们向客户提供紫队演练安全服务的成功取决于可能不会建立良好合作关系的蓝队资产,与红队资产不同,蓝队资产与客户没有业务关系,成功的积极性可能比较低。
这就是为什么优秀的紫队在很大程度上往往在那些大型企业或那些具有成熟安全态势的公司里才能成功推行的原因。这类组织也可能同时拥有有机红队和有机蓝队资产。紫队在一个长期的周期性评估计划中效果往往最好,这在更大的组织中也更普遍。但这并不意味着资源窗口较短的小组织不能实现紫队演练的好处,只不过需要适当的调整,不能最终得到一个纯粹负面的结果。客户的需求往往驱动着紫队工作该如何开展,供应商需要确保紫队演练的期望与组织的安全态势保持一致。如果客户组织几乎不具备安全监控能力,那么红队将会以不同的方式与蓝队进行合作,这比在安全监控能力比较成熟并需要对安全监控的某一部分进行协作评估的情况要更好。与常规的红队评估相比,紫队对演练活动的准备工作更加敏感,应该特别注意与客户组织的沟通,以确保紫队是成功的且长期的。
紫队的类型
红队和蓝队可以通过多种方式进行协作,以提高组织的安全性。如前所述,紫队是一种让红队和蓝队资产一起产生凝聚力的工作。我所说的典型的紫队演练有两类:一类是某一方不知情,不管是攻击者(红队)还是客户(蓝队),另一类是双方都对对方的活动有一定程度的认知。此外,还有“紫队”的“后红队评估”活动,在该活动中,各方共同致力于补救工作。接下来,我还将讨论一些我在我个人参与过的紫队演练活动中总结出的方法,我发现这些方法对组织安全的影响非常大。
互惠意识
紫队演练最典型的例子可能就是红蓝双方对彼此在演练中的活动和角色至少会有一些(通常几乎相等)的理解。使用这种紫队演练形式的好处是,它往往是最不具对抗性的,因为双方都没有保持太多彼此之间的联系。红队成员知道蓝队会发现他们以及发现到什么程度,蓝队成员知道红队计划的活动和目标。这种方法的一个缺点是它不适合红队进行最真实的攻击模拟。在大多数情况下,这是执行这类活动的可接受的一部分。
作为一个专业的红队成员,在这种情况下,你对蓝队可能负有一些责任。除了做好操作记录外,红队评估人员还应在漏洞利用开始前通知蓝队。基本上,红队成员应向蓝队提供操作说明中记录的相同细节,如果可能的话,还应该实时提供。这意味着让蓝队知道攻击的来源、攻击目标、发起攻击的大概时间和准确时间,以及发起的攻击类型。这种战术使蓝队能够实时改进并分析他们的监控和防御能力。如果该漏洞未通过监控工具发出警报,或未被防火墙或防病毒软件成功阻止,则蓝队将立即知道,并能够在紫队继续演练时采取适当的缓解措施。同样,蓝队成员应该让红队知道其活动何时会在网络和基于主机的入侵检测系统上被发现,以帮助红队成员改进和磨练他们的作战计划。在紫队中,当红队和蓝队都对彼此的活动具备互惠意识时,那么这两个团队都会随着评估的进行而提高。
不知情的防守者
另一种常见的紫队评估是客户的防守蓝队几乎不知道红队的活动。在这些演练中,蓝队只得到了红队行动的模糊指示,并试图通过努力搜寻、发现或阻止红队的行动来提高和磨练自己的能力。提供给蓝队的信息可能简单到只是红队活动的开始日期和结束日期,也可能具体到他们会计划针对组织的哪一部分资产进行集中评估或发起模拟攻击的一些目标。红队知道了传递给蓝队的确切信息,并尽一切努力阻止被发现。这种演练方式的好处是可以让红队提供真实的攻击模拟,并增加攻击执行的复杂度。缺点是这种方式有更大的潜力导致蓝队和红队之间的敌对环境,因为它本质上是让两支队伍互相对抗,彼此竞争。
不知情的攻击者
一个不太可能使用的紫队范例是不知情的攻击者。在这种情况下,模拟攻击的红队评估人员对蓝队的能力或活动几乎一无所知。红队也不知道蓝队正在收到有关红队行动的信息。这种情况使得组织的防御机构能够实时、详细地监测顺其自然而进行的红队评估。这种紫队演练基本上可以让红队在整个演练过程中畅通无阻;最后,蓝队提供了关于红队进展情况的类似复盘性质的报告,以及从头到尾监控红队攻击模拟活动中获得的知识。
蓝队也可以给红队制造点“麻烦”,看看红队队员们的反应如何。这些挑战可以是将远程访问工具使用的几个监听的网站拉入黑名单,或者是保护红队用来横向移动的帐户,或者是清理红队植入的某些跳板服务器。因为红队不知道它正在被实时跟踪,所以红队成员对安全事件的反应就好像这些情况是正常评估的一部分。一个专业的紫队评估的蓝队收集到的信息对于学习攻击者的心态和良好道德黑客的自然反应是非常宝贵的。当作为更大的有机演练行动的一部分进行时,它允许红队从防守的角度受益,因为它有一个面向红队的最终报告。这种紫队显然不太可能出现在简单的渗透测试人员与客户的关系当中,但绝对是在有机的安全演练中磨练红蓝技能的创造性方法。