作为甲方,自从参与攻防演练开始,红色和蓝色(红队和蓝队)就成为了最常在各种计划、安排、措施、对话中被提及的色彩。但是,在大多数人眼中网络安全和色彩能有什么关系?
笔者:国际认证信息系统审计师、软考系统分析师
不过,不仅红和蓝,实际网络安全攻防这个外人不了解的世界里面还有更多的颜色。
通过颜色去表示不同的网络安全细分领域,源头是April C. Wright (个人网站:https://architectsecurity.org/)在美国黑帽2017大会上展示的网络安全色彩轮,以及她写的一篇论文《Orange Is The New Purple》(标题单词的颜色是论文原文故意的)。
该论文是基于当时网络安全总体态势,定义并追溯了开发团队和安全团队之间当前差距的根源,讨论了缩小差距的方法,提供了推动变化的提示和对这个过程的成熟度的想法。
论文原文在此:
https://www.blackhat.com/docs/us-17/wednesday/us-17-Wright-Orange-Is-The-New-Purple-wp.pdf
随后,用颜色区分网络安全领域这种方法就成为了专业约定。下面我们来详细介绍。
什么是网络安全色彩轮?
网络安全色彩轮(如上图),是用多种颜色组合的一个圆,用于区别显示网络安全的不同领域。颜色成分一般包括主要色彩、次要色彩和白色。
主要色彩包括红、黄和蓝三色,也就是三原色。次要色彩是三原色的组合,比如紫色、橙色和绿色。合起来总共7种颜色。
这些颜色都象征着一些简单但高度敏感的东西,并代表了网络安全范畴的某一种专业团队。这些专业团队有不同的功能作用和职业方向。
网络安全的主要色彩:三原色
分别以红、蓝、黄三色表述的团队,是构成企业安全部门的最主要和最大的团队。
什么是网络安全领域的红队?
红队是网络安全领域负责进攻的队伍,代表着“破坏者”。红队可以是甲方内部人员,也可以是接受委托的专业组织。红队想方设法,利用各种现实世界的攻击手段、安全漏洞去破坏甲方的安全防御措施、获取数据,而不仅仅是常规的只是为了发现潜在漏洞或风险点的渗透测试。
红队包括“有道德的”黑客、渗透测试人员、威胁情报分析人员和漏洞研究人员,以及其他攻击性的安全专业人员。他们利用社会工程、逆向工程、活动目录漏洞、漏洞扫描和其他黑客方法来挖掘目标系统的漏洞和弱点。
甲方通过红队对自己进行攻击的关键目的是在真正的黑客攻击之前发现和修补安全漏洞。在红队完成任务后,攻击期间所发现的问题会被反馈给甲方,甲方应立即着手安排进行修补。
什么是网络安全领域的蓝队?
蓝色在多数人心理上是红色的相对色。因此蓝队是负责防守的队伍。蓝队的职责是保护组织的资产免受未经授权的访问和网络攻击。
蓝队具体工作包括负责实施安全防御、损害控制、事件响应等,响应来自红色团队的报告,并为已发现的漏洞制作补丁。如果发生网络攻击,蓝色团队将负责应对和减轻网络攻击。蓝队还可以担任威胁猎人(主动发现和跟踪威胁问题)、安全操作监察员和数据取证专家之类的角色。
在国内,完整的蓝队应按照等级保护的角色要求建立基本队伍,并基于企业的等保等级、安全风险形势等因素,补充必要的安全响应第一人、风险评估分析师等角色人员组成。
什么是网络安全领域的黄队?
黄色(引申为砂子的颜色)代表网络安全体系或环境(比如信息系统)的“建筑商”。
黄队是负责搭建、开发企业组织的安全防御系统和所有信息化环境的人,可以是企业内部的信息化建设部门(当网络安全和信息化建设分属于不同的职能部门时)或第三方安全解决方案提供商。
黄队至少要包括有安全测试人员、系统管理员和安全架构师,并根据软件开发的模式(内部开发或外包开发)决定是否纳入和如何纳入开发人员,以致软件开发商。
必须重点说明的是,应用软件开发商(开发人员)需要确保自己开发的应用程序是否足够安全,这也是《网络安全法》所规定的义务。
网络安全的次要颜色
按色彩三原色组合的原理,每两种原色被组合起来创建一个第二色,相应地产生了绿色、橙色和紫色的队伍。
什么是网络安全领域的绿队?
绿色由黄色和蓝色组合得到,象征着网络安全环境建造者(黄队)的改变,从安全系统和环境的创造者转变为防御者,又或者充当了两者之间的桥梁。
由于涉及到建设过程,绿队并不是所有的甲方都能具备,更多地只适用于具备自主开发和运维能力的甲方企业,比如通过实施DevSecOps开发流程,通过DevSecOps的过程管理,确保应用程序能得到安全部署、集成,并且在整个软件开发生命周期中都有足够的安全性。
什么是网络安全领域的橙队?
橙色由红色和黄色组合得到,象征着缩小红黄两队之间的差距。橙队的主要职责是教育和促进实施攻击的人员和构建应用软件的开发人员之间的互动,使对网络安全的要求能更早地融入应用软件的开发实施过程,从根本上提高网络安全的防御水平。
橙队的典型工作是教育和指导黄队,如何理解红队的发现,尤其是在渗透测试中发现的漏洞,并进行应对修补。
同样需要说明,网络安全培训是一项重要的工作,无论是对用户或专业人员,这也是在各种网络安全监管要求里面被监管者(甲方)所必须履行的义务。橙队也同样负责这方面的工作。
什么是网络安全领域的紫队?
紫色是红色和蓝色之间的颜色,象征着身份的切换,从纯粹的防守者转换到攻防兼备。也就是不仅能做好自己的防守、修复,还能反向溯源、控制攻击者,从而在攻防对抗中转变地位,创造主动优势。
组建紫队还有一个优点是可以提高漏洞修补的效率。相对“红队发现、蓝队修补”这种需要流程传递的模式,紫队一体化完成这个流程。
什么是网络安全领域的白队?
白队是(相对)中立的角色人员的统称,白队人员需要对管理、合规和决策负责,管理安全部门,监控安全部门的工作进展和安全指标,组织安全团队进行网络安全攻防演习,并向企业高层比如董事会报告结果。安全团队包括安全经理、首席信息安全官、安全审计员、和治理、风险和合规(GRC)三要素相关的分析师等。
结语:通过色彩理解和完善企业组织的网络安全管理和风险应对能力
企业组织的安全态势,意味着企业组织具有应对和防止网络攻击的能力。
但是,网络安全并不仅仅是一个专门团队的工作,而是一个非常复杂和重要的、与企业业务运行管理相交织的庞大领域。
很多企业组织只有蓝队,甚至不能称之为“队伍”,可能只有1到2个专职或兼职人员,这样基本上和没有进行任何防御无异。
色彩轮的目的,是通过混合这些颜色,去表示出不同职能的透视、协作和共享,是企业管理者、系统构建者、防御者和攻击者都应该充分研究思考的课题。
本站微信订阅号:
本页网址二维码: