網(wǎng)絡(luò)風(fēng)險(xiǎn)是頂級(jí)業(yè)務(wù)風(fēng)險(xiǎn)的認(rèn)知已深入人心，高管們都在詢問自己的安全主管能做點(diǎn)什么來(lái)更好地應(yīng)對(duì)和緩解網(wǎng)絡(luò)風(fēng)險(xiǎn)。事件發(fā)生時(shí)再翻出事件響應(yīng)計(jì)劃的做法，遠(yuǎn)遠(yuǎn)滿足不了當(dāng)下快速發(fā)展的網(wǎng)絡(luò)威脅態(tài)勢(shì)。公司企業(yè)不僅需要堅(jiān)強(qiáng)的事件響應(yīng)能力，還需要有足夠的事件準(zhǔn)備度。為磨煉技術(shù)水平，安全團(tuán)隊(duì)運(yùn)用各種訓(xùn)練來(lái)更好地預(yù)測(cè)威脅和操練響應(yīng)能力。其中一種就是紫隊(duì)。

最近兩年，紅隊(duì)找漏洞發(fā)起模擬攻擊，藍(lán)隊(duì)檢測(cè)并響應(yīng)攻擊的傳統(tǒng)網(wǎng)絡(luò)安全演練逐漸進(jìn)化，形成了紫隊(duì)演練模式。雖然紅/藍(lán)隊(duì)模式能幫公司企業(yè)了解漏洞預(yù)防攻擊，但往往需要數(shù)周甚至幾個(gè)月時(shí)間才能完成攻防對(duì)抗并總結(jié)經(jīng)驗(yàn)教訓(xùn)。

與傳統(tǒng)紅/藍(lán)對(duì)抗的戰(zhàn)爭(zhēng)擴(kuò)展游戲不同，紫隊(duì)模式是協(xié)作而迭代的。通過更透明而持續(xù)的過程，紫隊(duì)模式將紅藍(lán)兩隊(duì)擰到一起，幫助防御者更高效地緩解來(lái)自現(xiàn)實(shí)世界高度復(fù)雜的攻擊。攻方通告守方預(yù)定的攻擊計(jì)劃，執(zhí)行攻擊，闡明所利用的安全漏洞，然后重放攻擊，以便守方能立即精煉其響應(yīng)。

紫隊(duì)模式旨在讓公司企業(yè)可以在整個(gè)演練過程中持續(xù)提升安全態(tài)勢(shì)，獲得即時(shí)效益和長(zhǎng)期價(jià)值。但參與者往往還是重度依賴手動(dòng)方式執(zhí)行攻防演練。在時(shí)間和預(yù)算資源都很緊張的情況下，手動(dòng)方式演練的收獲就很有限了。如果能用某些技術(shù)增加這些演練的頻率和深度，演練的價(jià)值應(yīng)該會(huì)大上很多。以下3種創(chuàng)新技術(shù)就能自動(dòng)化并精調(diào)紫隊(duì)演練活動(dòng)。

1. 基礎(chǔ)設(shè)施分析平臺(tái)

很多公司企業(yè)都做不到完全了解自己的環(huán)境——網(wǎng)絡(luò)、數(shù)據(jù)中心、云，而這一資產(chǎn)掌握上的缺失給了攻擊者作惡的有利條件。紫隊(duì)演練的第一步，就是了解公司的基礎(chǔ)設(shè)施，或者說攻擊界面。如果有個(gè)能提供非常詳細(xì)明了的攻擊界面視圖的分析平臺(tái)，公司企業(yè)就能更快更清晰地掌握自身面對(duì)的風(fēng)險(xiǎn)。通過自動(dòng)化偵察和攻擊映射，基礎(chǔ)設(shè)施分析平臺(tái)能幫公司企業(yè)快速定位關(guān)鍵資產(chǎn)，并給出相關(guān)威脅模型。比如說，一份包含了系統(tǒng)版本和補(bǔ)丁情況的網(wǎng)絡(luò)資產(chǎn)清單，能供你將之與公共威脅及漏洞數(shù)據(jù)庫(kù)相關(guān)聯(lián)，快速生成網(wǎng)絡(luò)潛在漏洞的列表。紅隊(duì)能用此信息設(shè)計(jì)出更成熟更復(fù)雜的攻擊場(chǎng)景，藍(lán)隊(duì)也能用此信息更快地解決安全漏洞。

2. 應(yīng)用性能管理

應(yīng)用性能管理(APM)工具數(shù)年前便已出現(xiàn)，但早期迭代產(chǎn)品十分笨重且缺乏細(xì)節(jié)。更為現(xiàn)代的APM工具能提供可用于分析代碼安全的大量信息。只要掌握了應(yīng)用程序使用的對(duì)象和方法、數(shù)據(jù)流以及數(shù)據(jù)處理的位置，就可以了解攻擊者可能利用的弱點(diǎn)。這一由內(nèi)而外的應(yīng)用分析方法遠(yuǎn)比手動(dòng)的由外而內(nèi)的方法高效，能大幅加速安全分析活動(dòng)。比如說，攻擊者查找Web應(yīng)用漏洞時(shí)，他們會(huì)找尋那些本不該出現(xiàn)的網(wǎng)頁(yè)——測(cè)試網(wǎng)頁(yè)、失效網(wǎng)頁(yè)或被棄用的網(wǎng)頁(yè)。這些網(wǎng)頁(yè)不在公司視線之內(nèi)，早已被安全人員遺忘，正是攻擊者找尋的脆弱點(diǎn)。APM工具可以自動(dòng)執(zhí)行偵察動(dòng)作，向紅隊(duì)威脅建模過程揭示并添加此類細(xì)節(jié)，并為藍(lán)隊(duì)安全分析師提供強(qiáng)化防御所需的洞見。

3. 安全編配平臺(tái)

通過自動(dòng)化大量紅隊(duì)動(dòng)作，該新技術(shù)可擔(dān)起模擬網(wǎng)絡(luò)攻擊的重?fù)?dān)，檢測(cè)公司的安全事件準(zhǔn)備度。安全編配平臺(tái)可以在網(wǎng)絡(luò)不通組件上應(yīng)用設(shè)備及代理，輔助展現(xiàn)公司特定環(huán)境中的威脅及惡意活動(dòng)的影響。紅隊(duì)可以之快速組織行動(dòng)，比如模擬特定類型的勒索軟件攻擊或新聞中最新的拒絕服務(wù)攻擊。藍(lán)隊(duì)則可檢測(cè)自己的防御層是否正常工作，發(fā)現(xiàn)真正的網(wǎng)絡(luò)安全漏洞，確定如何更好地利用手中的資源，以及安排投入重點(diǎn)。

紫隊(duì)方法對(duì)事件準(zhǔn)備度和事件響應(yīng)大有裨益。為進(jìn)一步發(fā)揮紫隊(duì)方法的效果，我們需要集合恰當(dāng)?shù)娜藛T、過程和技術(shù)，驅(qū)動(dòng)前向思維和安全分析技術(shù)。以上新興技術(shù)還只是少數(shù)幾種可用于獲取必要的可見性和自動(dòng)化水平的技術(shù)，可幫助公司企業(yè)更加夯實(shí)事件準(zhǔn)備度及事件響應(yīng)工作。還有其他創(chuàng)新技術(shù)可以用于增強(qiáng)紫隊(duì)過程。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文