這個欄目最初是想分享下資訊安全(簡稱資安),所以簡介後第一篇不如由資安講起。寫資安的原因,是因為留意到行內行外對資安的了解都不太足夠。有時資安也會給人一種神祕面紗。所以這篇會寫下資安行內包括了甚麼。
~ 簡介 ~
Cybersecurity 資安的神祕面紗下,若談分類有個反差萌,是可以用個幾繽紛色彩的顏色圖來介紹機構內的主要資安功能。
資安的基本分類通常都會用 Blue Team 和 Red Team 來做基礎分類;這兩個字用藍隊和紅隊也是可以的。為了行文的貫徹性就是用這中文翻譯來寫。
這兩者都是機構內,負責保護機構的資安部門。可以很簡單地定義:藍隊是從防守方的方法來保護;紅隊就是從模擬攻擊方的方法來保護。通常還會有個 Purple Team 的;紫隊。紫就是紅加藍喔。即是兩者都從攻守兩者的思考方法上來做保護。紫隊這部門設計,是有一些效率上的優點。
下面先講解下作為保護目標對象的數碼資產。然後用個表來講解下分類。
~ 數碼資產 ~
任何有關資訊安全的課題,無論是(模擬)攻擊或防守,的對象都是軟件或電腦系統。一般用字是數碼資產 Digital Assets。
數碼資產的定義,是但凡以數碼形式存在的任何東西,而且是有其使用權限。這在機構包括了
- 任何形式的資料 Data(例如檔案、電郵、媒體等等);
- 任何形式的軟件(例如代碼、執行中的軟件、舊版本的代碼、代碼版本系統例如 Git 等等);
- 任何形式的基礎建設 Infra(例如運作系統 OS、網絡 Network、資安設備例如門卡等等)
- 任何形式的架構(例如運作中的服務器/伺服器、架構藍圖、系統藍圖、架構代碼 IaC、系統設定 configurations 等等);
- 任何形式的政策(例如項目管理系統、產品路線圖、運作政策設定 Policy、管治策略 IT Governance、事故處理程序 Incidence Response Plan 等等)
~ 繽紛色彩的部門 ~
從一些功能上較容易明的部門開始:
黃隊:從黃隊開始,因為黃隊就是工程師和架構師。就是建築和提供數碼資產的團隊。
藍隊:藍隊是建立主要的防守方法。包括了政策和管治策略的設定。也包括了事故處理程序的設定,和事故處理的執行。科技鑑證 Forensics在這分類上也是歸入藍隊的功能,是事故處理程序的一部份。科技鑑證包括搜證、證據分析、資料還原、事件報告、事件重建等等;鑑證這部份行內也有分類為 DFIR (Digital Forensics & Incident Response)。
綠隊:綠隊就是藍+黃,即防守+開發。簡化說就是 Devops 或所謂 DevSecOps。就是用工程去建築一些有效和自動化運維和資安保護的方法。例如代碼掃描、自動修復機制、自動化事故處理、系統維護等等。行內也有分類為 SOAR (Security Orchestration, Automation and Response)。
紅隊:紅隊 Red Team 是在資安行內比較觸目的部門。紅隊就是白帽駭客(古稱),現代正式用語是滲透測式(Penetration Tester, aka Pen-tester),也曾稱為道德駭客(Ethical Hacker)。紅隊是藉著做模擬攻擊,去實際測試數碼資產的安全性。紅隊的訓練,資深的會有著廣泛的五花八門的攻擊方法。從代碼、運作系統、服務接口、網絡、人員程序、分散式阻斷服務(DDOS)、資安研究、工具開法等等。
橙隊:橙隊是黃+紅。是幫助將模擬攻擊的經驗,反饋到工程和架構的開發團隊中。主要是教育功能。例如內部培訓、事件經驗學習、資安行業趨勢分享等等。
紫隊:紫隊是紅+藍。上文提過,紫隊是為提供效率優化而存在。原理是因為紅藍隊的設計上,紅隊為了有效做模擬攻擊,就未必會分享一些觀察到的常見模式。因為若紅隊分享這些,模擬攻擊就會越來越難做;因為會越來越難找到漏洞。那麼本來是紅隊付出的功勞,就似乎變成了防守方的成績。在管理上形成了懲罰 Penalized。所以在這個運作上的矛盾邏輯下,就會有些機構用紫隊來解決這個矛盾。紫隊就是紅隊藍隊的工作都做,是較多紅隊的功能;所以機構內也可以用紫隊和藍隊,代替紅隊加藍隊。這樣的設計下,紫隊就可以負責和模擬攻擊直接相關的攻擊測試與防守;而藍隊就可以較多在其他事項例如事故處理和政策維護。
白隊:白隊就是資安架構上的管理團隊。白隊包括管理行政人員例如 C-level、合規部門 Compliance、法律部門等等。
Stories Tech Biz 