【51CTO.com快譯】全球很少有哪家組織的運營規模可以與沃爾瑪相比。規模不僅僅體現在平常的零售業務上，還體現在組織如何處理自己的安全彈性測試上。

沃爾瑪的事件響應和追捕事務主管Jason O'Dell在RSA大會上解釋了這家全球最大的零售商如何使用一種名為紫隊(purple teaming)的創新方法，提高安全性并降低風險。

紅隊在網絡安全界眾所周知，一家組織內的這個團體將采取進攻性行動，幫助識別薄弱環節。另一方面，藍隊是一家組織內負責防御對手和紅隊活動的團隊。而紫隊將紅隊和藍隊結合起來。

O'Dell說：“紫隊是紅隊和藍隊之間的共生關系，可以提高組織的安全性，不斷改善這兩個團隊的技能和流程。”

O'Dell表示，沃爾瑪在2016年就開始采用了紫隊;由于種種原因，這項工作開始并不順利。紅隊和藍隊的性質是對抗性的，這造成了沖突。如果紅隊獲勝，意味著安全漏洞;如果藍隊獲勝，意味著攻擊被遏制。然而O'Dell強調，沃爾瑪學明白的一點是，雖然獲勝很有意思，但這并不是紫隊演練中的重要內容。

他說：“關鍵不在于輸贏，而在于學習了解。取勝是游戲的目標，但不是玩游戲的目標。游戲的目標是讓組織變得更好。”

紫隊應該如何運作?

沃爾瑪學到的一個關鍵方面是，紅隊和藍隊需要以組織的最佳利益為出發點。O'Dell表示，兩支團隊都應該在高層管理班子的面前充當另一支團隊的支持者，那樣每個團隊都能取得成功。

至于實際的威脅演練，O'Dell表示所有組織都應采取以下幾個步驟：

• 交戰規則。確保各方都了解什么在范圍內、什么在范圍外。
• 有一個中心庫。跟蹤演練的所有結果，以改進協作和度量指標的跟蹤。
• 采用統一的分類法。擁有一套共同的框架和方法來了解攻擊也很重要。O'Dell表示，沃爾瑪現在采用MITRE ATT&CK框架，該框架概述了不同的攻擊途徑，并進行了分類。
• 就最終報告進行合作。不是每個團隊編寫自己的報告，紅隊和藍隊應共同撰寫最終交給管理班子過目的結果報告。

設有紫隊并不適合每家組織，但適合擁有資源的那些組織，O'Dell表示最初的第一步是做沙盤演練。沙盤實際上是一種探討，協作一方如何執行一個動作，然后另一方會如何回應。

沙盤演練后，下一步是進行主動的威脅模擬，可以模擬攻擊和防御。最后，在進行成功的沙盤和威脅模擬之后，O'Dell表示組織可以進行全面的對抗性交戰。O'Dell表示，對抗性交戰應有全面的交戰規則、活動期間的實時溝通以及跟蹤成功的初始指標。

原文標題：How Walmart Uses a Purple Team to Improve Cyber-Resilience，作者：Sean Michael Kerner

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】