“紫队”的崛起：网络攻防不仅仅是红蓝

在网络攻防演习中，除了攻防双方的红蓝两队之外，作为 “下一代渗透测试” 的紫队 (Purple Teaming) 相比于传统的红蓝对抗，代表着更具协作性的方法。

1992年，电影《通天神盗》(Sneakers) 将 “红队” 一词引入了流行文化。剧中，演员 Robert Redford、Sydney Poitier、Dan Aykroyd、David Strathairn 以及 River Phoenix 成立了一支安全专家团队，他们受雇于国家安全局执行一项渗透测试服务，来测试该机构的系统安全性。

“红队” 一词在当时可谓是具有革命性的一个概念——因为那时候 “渗透测试” 的概念尚未出现，一支 “友好的” 安全团队试图突破公司防御系统的想法也并不常见。如今，渗透测试已经发展成为任何网络安全系统必不可少的组成部分，内部和外部红队在此过程中也发挥着至关重要的作用。

但 “红队” 并不是孤立存在的，组织经常也会使用 “蓝队”，即负责防御真实和模拟攻击的内部安全团队。如果这时候你对 “红队” 和 “蓝队” 在安全测试中是否以及如何密切地进行合作产生了好奇心，那么你就应该能够理解 “紫队” 在网络安全领域崛起的原因了。

“紫队” 与众不同的原因何在？

多年来，组织一直在进行渗透测试：红队独立发起攻击来利用网络并提供反馈；蓝队通常只知道评估正在进行中，并且负责保护网络，就好像实际的攻击活动正在进行中一样。本质上来看，红队和蓝队是对抗性的，这就造成了冲突。如果红队获胜，意味着安全漏洞；如果蓝队获胜，意味着攻击被遏制。但是，就组织进行渗透测试的目的而言，其关键并不在于输赢，而在于学习了解，通过 “以组织的最佳利益为出发点” 让组织变得更好。

最近两年，这种红队找漏洞发起模拟攻击，蓝队检测并响应攻击的传统网络安全演练逐渐进化，形成了 “紫队” 演练模式。“紫队” 与标准红队之间最重要的区别就是，其攻击和防御方法都是预先确定的。与传统红/蓝对抗的模式不同，紫队模式是协作而迭代的。通过更透明而持续的过程，紫队模式将红蓝两队拧到一起，帮助防御者更高效地缓解来自现实世界高度复杂的攻击。攻方（即红队）通告守方（即蓝队）预定的攻击计划，执行攻击，阐明所利用的安全漏洞，然后重放攻击，以便守方能立即改善其控制措施。

如此一来，安全团队便可以不再局限于识别漏洞并根据其初始假设进行工作。相反地，他们可以实时测试控件并模拟入侵者可能会在实际攻击中使用的方法类型，将测试从被动转变为主动。

总而言之，紫队模式旨在让公司企业可以在整个演练过程中持续提升安全态势，获得即时效益和长期价值。团队可以应用最激进的攻击环境，并采用更复杂的 “假设” 方案，通过这些方案来更全面地理解安全控制和流程，并在攻击发生之前完成修复，而不再是存粹的 “对抗性” 关系。

欺骗技术如何为渗透测试增添价值

红队和紫队之所以如此有价值的部分原因在于，它们提供了对攻击者可能使用的具体策略和方法的可见性。组织可以通过将欺骗技术整合到测试程序中来增强这种可见性。如此一来获得的好处包括：

1）通过诱使攻击者与诱饵进行交互来今早地发现他们；

2）将完整的妥协指标 (IOC) 以及战术、技术和程序 (TTP) 收集到横向移动活动中，从而大幅增强对攻击者如何以及何时绕过安全控制的可见性，丰富了通过演练产生的信息。

网络欺骗可以在不干扰日常操作的情况下在网络上部署陷阱和诱饵。基本的部署活动一般可以在一天内轻松完成，为蓝队提供一个与运营环境相融合的附加检测机制。同时，这也为红队绕过防御控制提供了更多机会，迫使团队成员更加谨慎行事，使模拟的攻击场景变得更为真实。此外，它也为组织网络环境的弹性及其响应事件的流程提供了更真实的测试。

紫队的兴起改变了许多组织进行渗透测试的方法，为老式的红/蓝对抗方法提供了更加协作的方式。网络安全环境中不断增加的欺骗技术部署，进一步增强了红队和蓝队的能力，允许他们采用更真实的方法进行渗透测试演练。