为了验证应急响应的流程、分类、预案和响应剧本,企业还可以采取红蓝军的方式对核心业务系统发起模拟攻击,从而验证企业整体的应急响应水平。
企业红队:红队也称之为攻击队,在模拟攻击验证过程中,红队会扮演攻击者角色,从黑客攻防视角出发,根据ATT&CK攻击链,对靶标系统进行模拟入侵,在入侵过程中不仅可以验证企业构建的整体安全防御体系的有效性如何,同样可以验证企业安全运营人员对安全事件的识别、监控、和应急的能力。
企业蓝队:蓝队也称之为防守队,由企业内的SOC(Security Operations Center,安全运营中心)成员组成,负责对安全事件进行定义定级,事件的识别、监控、分析和应急。在红蓝对抗的过程中,蓝队将根据事前设定的监控规则、分析方法和应急响应流程对攻击过程中产生的告警进行快速应急,通过模拟实战锻炼队伍。
通过模拟攻击来验证防御和应急效果,并对其进行优化和调整。
