全球很少有哪家组织的运营规模可以与沃尔玛相比。规模不仅仅体现在平常的零售业务上，还体现在组织如何处理自己的安全弹性测试上。

      沃尔玛的事件响应和追捕事务主管Jason O'Dell在RSA大会上解释了这家全球最大的零售商如何使用一种名为紫队(purple teaming)的创新方法，提高安全性并降低风险。

     红队在网络安全界众所周知，一家组织内的这个团体将采取进攻性行动，帮助识别薄弱环节。另一方面，蓝队是一家组织内负责防御对手和红队活动的团队。而紫队将红队和蓝队结合起来。

      O'Dell说：“紫队是红队和蓝队之间的共生关系，可以提高组织的安全性，不断改善这两个团队的技能和流程。”

    O'Dell表示，沃尔玛在2016年就开始采用了紫队;由于种种原因，这项工作开始并不顺利。红队和蓝队的性质是对抗性的，这造成了冲突。如果红队获胜，意味着安全漏洞;如果蓝队获胜，意味着攻击被遏制。然而O'Dell强调，沃尔玛学明白的一点是，虽然获胜很有意思，但这并不是紫队演练中的重要内容。

     他说：“关键不在于输赢，而在于学习了解。取胜是游戏的目标，但不是玩游戏的目标。游戏的目标是让组织变得更好。”

紫队应该如何运作?

    沃尔玛学到的一个关键方面是，红队和蓝队需要以组织的最佳利益为出发点。O'Dell表示，两支团队都应该在高层管理班子的面前充当另一支团队的支持者，那样每个团队都能取得成功。

       至于实际的威胁演练，O'Dell表示所有组织都应采取以下几个步骤：

• 交战规则。确保各方都了解什么在范围内、什么在范围外。

• 有一个中心库。跟踪演练的所有结果，以改进协作和度量指标的跟踪。

• 采用统一的分类法。拥有一套共同的框架和方法来了解攻击也很重要。O'Dell表示，沃尔玛现在采用MITRE ATT&CK框架，该框架概述了不同的攻击途径，并进行了分类。

• 就最终报告进行合作。不是每个团队编写自己的报告，红队和蓝队应共同撰写最终交给管理班子过目的结果报告。

      设有紫队并不适合每家组织，但适合拥有资源的那些组织，O'Dell表示最初的第一步是做沙盘演练。沙盘实际上是一种探讨，协作一方如何执行一个动作，然后另一方会如何回应。

     沙盘演练后，下一步是进行主动的威胁模拟，可以模拟攻击和防御。最后，在进行成功的沙盘和威胁模拟之后，O'Dell表示组织可以进行全面的对抗性交战。O'Dell表示，对抗性交战应有全面的交战规则、活动期间的实时沟通以及跟踪成功的初始指标。

                                                                           ----作者：Sean Michael Kerner

                                                                         ----原文译者和出处为51CTO.com