Acclimation
To maximize the effectiveness of a Purple Team exercise, 我们的团队必须首先充分了解您的环境. During this process, 我们将熟悉您当前的警报/检测功能, 以及您的网络架构和各种其他相关细节. 我们相信,我们对您的环境了解得越多,练习就越有价值.
Threat Mapping
By leveraging every category of the MITRE ATT&CK framework, 我们将与您合作,制定一套基于风险的定制策略和技术, industry-appropriate and meaningful to your organization. 这个选择过程是高度灵活的,可以引导练习朝着一个特定的主题进攻技术,或者它可以确保一个良好的平衡练习更强的基线. 最终,练习的范围和种类完全取决于你. Additionally, 我们会将您的威胁信息与框架数据进行交叉比对,以确定您最可能面临的威胁行为者, 然后利用我们对其典型行为的理解来进一步塑造您的组织的自定义威胁图. 这使我们能够预测额外的攻击向量,并在协作过程中提供真实的攻击场景.
Execution
Once threat mapping is complete, 我们红队的进攻专家将在透明的环境中执行每一项技术. This process encourages an “over-the-shoulder” element, in which your security can observe, 学习甚至亲自动手协助执行各种典型的黑客活动,如枚举, exploitation, lateral movement, post-exploitation and exfiltration, et al. Throughout this process, 我们的红队将作为专家资源,传授有关现代进攻策略的宝贵知识, and offer insights into the mind of a hacker.
Impact Analysis
每项技术的成功或失败都受到密切监测,以确保完全了解其对环境的影响. 最好的情况是让控件阻止执行或拒绝预期的结果, in which case we may attempt several other methods of execution. If a technique is successful, 我们对结果进行分析,以确定其全部影响,并确定其他缓解因素. 要明白不可能避免每一种技术, 对成功技术的影响分析允许进行适当的优先排序和准确的决策.
Detection
As our red teamers execute offensive techniques, 我们的蓝队与你们的队伍同时监视你们的日志和系统. If a technique is successful, 我们将帮助您的团队利用当前的能力来预防/检测每种技术. 如果当前的能力不足,我们将帮助您的团队制定新能力的计划. Throughout this process, 我们的蓝队将作为专家资源,传递有关现代防御策略的宝贵知识,并提供他们在现实世界中遇到威胁行为者的见解.
Reporting
After the exercise, 你们的团队将收到一份完整的报告,其中包括每种技术执行状态的详细威胁图,以及来自我们红蓝团队的分析, 以及在演习中没有完全解决的任何防御项目的详细实施指南.
View our Purple Team Assessment service overview for more information or download our whitepaper, Benefits of a Purple Team Assessment,以进一步了解评估对您的组织可能产生的影响.