網(wǎng)絡(luò)風險是頂級業(yè)務(wù)風險的認知已深入人心，高管們都在詢問自己的安全主管能做點什么來更好地應(yīng)對和緩解網(wǎng)絡(luò)風險。事件發(fā)生時再翻出事件響應(yīng)計劃的做法，遠遠滿足不了當下快速發(fā)展的網(wǎng)絡(luò)威脅態(tài)勢。公司企業(yè)不僅需要堅強的事件響應(yīng)能力，還需要有足夠的事件準備度。為磨煉技術(shù)水平，安全團隊運用各種訓(xùn)練來更好地預(yù)測威脅和操練響應(yīng)能力。其中一種就是紫隊。

最近兩年，紅隊找漏洞發(fā)起模擬攻擊，藍隊檢測并響應(yīng)攻擊的傳統(tǒng)網(wǎng)絡(luò)安全演練逐漸進化，形成了紫隊演練模式。雖然紅/藍隊模式能幫公司企業(yè)了解漏洞預(yù)防攻擊，但往往需要數(shù)周甚至幾個月時間才能完成攻防對抗并總結(jié)經(jīng)驗教訓(xùn)。

與傳統(tǒng)紅/藍對抗的戰(zhàn)爭擴展游戲不同，紫隊模式是協(xié)作而迭代的。通過更透明而持續(xù)的過程，紫隊模式將紅藍兩隊擰到一起，幫助防御者更高效地緩解來自現(xiàn)實世界高度復(fù)雜的攻擊。攻方通告守方預(yù)定的攻擊計劃，執(zhí)行攻擊，闡明所利用的安全漏洞，然后重放攻擊，以便守方能立即精煉其響應(yīng)。

紫隊模式旨在讓公司企業(yè)可以在整個演練過程中持續(xù)提升安全態(tài)勢，獲得即時效益和長期價值。但參與者往往還是重度依賴手動方式執(zhí)行攻防演練。在時間和預(yù)算資源都很緊張的情況下，手動方式演練的收獲就很有限了。如果能用某些技術(shù)增加這些演練的頻率和深度，演練的價值應(yīng)該會大上很多。以下3種創(chuàng)新技術(shù)就能自動化并精調(diào)紫隊演練活動。

1. 基礎(chǔ)設(shè)施分析平臺

很多公司企業(yè)都做不到完全了解自己的環(huán)境——網(wǎng)絡(luò)、數(shù)據(jù)中心、云，而這一資產(chǎn)掌握上的缺失給了攻擊者作惡的有利條件。紫隊演練的第一步，就是了解公司的基礎(chǔ)設(shè)施，或者說攻擊界面。如果有個能提供非常詳細明了的攻擊界面視圖的分析平臺，公司企業(yè)就能更快更清晰地掌握自身面對的風險。通過自動化偵察和攻擊映射，基礎(chǔ)設(shè)施分析平臺能幫公司企業(yè)快速定位關(guān)鍵資產(chǎn)，并給出相關(guān)威脅模型。比如說，一份包含了系統(tǒng)版本和補丁情況的網(wǎng)絡(luò)資產(chǎn)清單，能供你將之與公共威脅及漏洞數(shù)據(jù)庫相關(guān)聯(lián)，快速生成網(wǎng)絡(luò)潛在漏洞的列表。紅隊能用此信息設(shè)計出更成熟更復(fù)雜的攻擊場景，藍隊也能用此信息更快地解決安全漏洞。

2. 應(yīng)用性能管理

應(yīng)用性能管理(APM)工具數(shù)年前便已出現(xiàn)，但早期迭代產(chǎn)品十分笨重且缺乏細節(jié)。更為現(xiàn)代的APM工具能提供可用于分析代碼安全的大量信息。只要掌握了應(yīng)用程序使用的對象和方法、數(shù)據(jù)流以及數(shù)據(jù)處理的位置，就可以了解攻擊者可能利用的弱點。這一由內(nèi)而外的應(yīng)用分析方法遠比手動的由外而內(nèi)的方法高效，能大幅加速安全分析活動。比如說，攻擊者查找Web應(yīng)用漏洞時，他們會找尋那些本不該出現(xiàn)的網(wǎng)頁——測試網(wǎng)頁、失效網(wǎng)頁或被棄用的網(wǎng)頁。這些網(wǎng)頁不在公司視線之內(nèi)，早已被安全人員遺忘，正是攻擊者找尋的脆弱點。APM工具可以自動執(zhí)行偵察動作，向紅隊威脅建模過程揭示并添加此類細節(jié)，并為藍隊安全分析師提供強化防御所需的洞見。

3. 安全編配平臺

通過自動化大量紅隊動作，該新技術(shù)可擔起模擬網(wǎng)絡(luò)攻擊的重擔，檢測公司的安全事件準備度。安全編配平臺可以在網(wǎng)絡(luò)不通組件上應(yīng)用設(shè)備及代理，輔助展現(xiàn)公司特定環(huán)境中的威脅及惡意活動的影響。紅隊可以之快速組織行動，比如模擬特定類型的勒索軟件攻擊或新聞中最新的拒絕服務(wù)攻擊。藍隊則可檢測自己的防御層是否正常工作，發(fā)現(xiàn)真正的網(wǎng)絡(luò)安全漏洞，確定如何更好地利用手中的資源，以及安排投入重點。

紫隊方法對事件準備度和事件響應(yīng)大有裨益。為進一步發(fā)揮紫隊方法的效果，我們需要集合恰當?shù)娜藛T、過程和技術(shù)，驅(qū)動前向思維和安全分析技術(shù)。以上新興技術(shù)還只是少數(shù)幾種可用于獲取必要的可見性和自動化水平的技術(shù)，可幫助公司企業(yè)更加夯實事件準備度及事件響應(yīng)工作。還有其他創(chuàng)新技術(shù)可以用于增強紫隊過程。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文