【51CTO.com快译】全球很少有哪家组织的运营规模可以与沃尔玛相比。规模不仅仅体现在平常的零售业务上,还体现在组织如何处理自己的安全弹性测试上。
沃尔玛的事件响应和追捕事务主管Jason O'Dell在RSA大会上解释了这家全球最大的零售商如何使用一种名为紫队(purple teaming)的创新方法,提高安全性并降低风险。
红队在网络安全界众所周知,一家组织内的这个团体将采取进攻性行动,帮助识别薄弱环节。另一方面,蓝队是一家组织内负责防御对手和红队活动的团队。而紫队将红队和蓝队结合起来。
O'Dell说:“紫队是红队和蓝队之间的共生关系,可以提高组织的安全性,不断改善这两个团队的技能和流程。”
O'Dell表示,沃尔玛在2016年就开始采用了紫队;由于种种原因,这项工作开始并不顺利。红队和蓝队的性质是对抗性的,这造成了冲突。如果红队获胜,意味着安全漏洞;如果蓝队获胜,意味着攻击被遏制。然而O'Dell强调,沃尔玛学明白的一点是,虽然获胜很有意思,但这并不是紫队演练中的重要内容。
他说:“关键不在于输赢,而在于学习了解。取胜是游戏的目标,但不是玩游戏的目标。游戏的目标是让组织变得更好。”
紫队应该如何运作?
沃尔玛学到的一个关键方面是,红队和蓝队需要以组织的最佳利益为出发点。O'Dell表示,两支团队都应该在高层管理班子的面前充当另一支团队的支持者,那样每个团队都能取得成功。
至于实际的威胁演练,O'Dell表示所有组织都应采取以下几个步骤:
- 交战规则。确保各方都了解什么在范围内、什么在范围外。
- 有一个中心库。跟踪演练的所有结果,以改进协作和度量指标的跟踪。
- 采用统一的分类法。拥有一套共同的框架和方法来了解攻击也很重要。O'Dell表示,沃尔玛现在采用MITRE ATT&CK框架,该框架概述了不同的攻击途径,并进行了分类。
- 就最终报告进行合作。不是每个团队编写自己的报告,红队和蓝队应共同撰写最终交给管理班子过目的结果报告。
设有紫队并不适合每家组织,但适合拥有资源的那些组织,O'Dell表示最初的第一步是做沙盘演练。沙盘实际上是一种探讨,协作一方如何执行一个动作,然后另一方会如何回应。
沙盘演练后,下一步是进行主动的威胁模拟,可以模拟攻击和防御。最后,在进行成功的沙盘和威胁模拟之后,O'Dell表示组织可以进行全面的对抗性交战。O'Dell表示,对抗性交战应有全面的交战规则、活动期间的实时沟通以及跟踪成功的初始指标。
原文标题:How Walmart Uses a Purple Team to Improve Cyber-Resilience,作者:Sean Michael Kerner
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】
