資安意識逐年高漲,你肯定在網路上看過這些字眼「紅隊演練」、「藍隊思維」。對於這些名詞你了解多少呢?讓我們一探究竟吧。
紅藍隊一詞,是源自於兵棋推演中的敵我雙方的軍隊。一般兵棋推演主要有三大用途,一是訓練決策者在實戰中的決策能力;二是讓決策者熟悉作戰思路;三則是訓練對實戰情況進行推演分析、並尋找合適的策略。而如今,網際網路猶如戰場般處處藏匿著你看不見的敵軍正潛伏著伺機而動。因此更需要透過紅藍隊演練去模擬演練當駭客入侵企業公司內部時所能抵擋的程度以及應變能力的反應。
那在網路威脅與資安防護之間永無止境的鬥爭,所探討的紅隊、藍隊又是什麼呢?
- 「紅隊」:透過在不影響企業營運的前提下,模擬駭客入侵的手法在演練過程中透過無所不用其極的攻擊手法,並在有限的時間內嘗試對企業內各個端點進行攻擊。利用真實模擬演練,讓企業IT人員或是資安負責人員能實際接觸事件發生時的手法、技術與過程。並透過藍隊概念去做即時的反應與處理。而詳細在於紅隊演練的流程如下:
測試目標 -> 資料收集 ->掃描目標 -> 漏洞分析 -> 漏洞利用 -> 用戶提權 -> 後期利用 -> 測試報告
- 「藍隊」:若紅隊的精隨是扮演駭客的思維去找出企業單位有什麼脆弱點的話,那麼藍隊所探討會是企業內部的IT人員或是資安負責人員,在紅隊(敵軍)攻擊來臨時,是否能在第一時間內做出讓傷害降至最低的決策能力,或是在傷害造成後,是否具備鑑識的能力去找出攻擊途徑。而常見的藍隊事件應變處理步驟如下:
分配職責 -> 定義風險容忍度 -> 事件分類 -> 訂定明確指示 -> 優先移除與復原
紅隊主要的目的是透過測試安全項目的有效性,透過模擬駭客可能的攻擊行為與技術,著重的是以真實的情境進行演練。與之對應的藍隊,則是負責阻止這些模擬攻擊的紅隊,而注重的目標會是是否能在面對真實事件攻擊的時候能有效地去反應及處理,另一方面則是當事件發生後是否有能力透過鑑識的方式去找出攻擊的全貌。
面對日益漸增的網路攻擊,除了資安防護設備的防禦策略外,最重要的還是企業內部人員的資安意識與應變能力。透過紅、藍隊的演練,以真實的模擬事件發生情境去正視企業本身的資安能量高度,接著訓練內部人員對於事件處理的應變能力,最後透過收集以及分析這些數據並針對不足的地方進行改進,提升企業整體資安能量。
[1] 兵棋推演 – https://zh.wikipedia.org/wiki/兵棋推演
[2] 兵棋推演是什麼? – https://kknews.cc/zh-tw/military/q2g3jbg.html
[3] 紅藍對抗:怎樣組織有效模擬演習 – https://read01.com/zh-tw/0eME8AJ.html#.XMZu3OgzaUk
[4] 提升事件響應準備度的3種新興技術 – https://itw01.com/QBCZHED.html
.
************
* *
* 若需相關諮詢服務 *
* 歡迎私訊洽談 *
* *
************