Exabeam的最新研究表明,62%的蓝队在对手攻防演练模拟练习中无法阻止红队。
受访者认为,威胁检测、事件响应和灵活性/开放性是远程办公时期蓝色团队必须改进的三个关键能力。与2019年同期的调研结果(更强调团队与沟通)对比,今年蓝队面临的技术和适应性挑战增加。
虽然37%的蓝队经常抓住”坏人”,但多达55%的蓝队表示成功“有些随机”,7%的蓝队很少或从来没有阻止过红队。积极的一面是,与去年的研究相比,“很少或者从未阻止红队”的蓝队占比从33%降低到了7%。
企业正在追加安全投资
一个残酷的现实是,在大多数情况下,只有不到一半的蓝团队能够有效阻止红队,这一事实表明,企业必须优先考虑不断评估和调整其安全投资,以跟上当今的攻击者。
研究表明,许多公司已经开始采取行动,其中 50% 增加了安全投资,30% 的公司补强了安全基础设施。17% 的公司做到以上两点,只有 2% 的公司没有调整其安全工具或预算。
有趣的是,红色团队/蓝色团队测试的频率和方法差别很大。平均而言,企业每五个月进行一次红队练习。其中26%的企业每月进行一次,25%的企业每 2-6 个月一次,32%的企业每 7-11 个月进行一次,8%的企业每年一次。只有 7% 的企业从未使用红队测试。
蓝队演练频率与红队百分比类似,平均每六个月一次。
许多公司使用”紫色团队”方法,其中红队和蓝队来自自己的员工,并共同确定安全准备事项。三分之一的企业每2-6个月运行一次紫队模拟,50%的企业每7-11个月运行一次,12%的企业每年一次。同样,只有7%的企业没有紫色团队。
内部和外部红色团队同样有效
2020 年的报告发现,92% 的受访者选择使用并不了解其内部系统的外部红色团队,以帮助其团队为实际网络攻击做好准备。但是,54% 的企业认为内部和外部红色团队同样有效,其中使用内部红队比外部红队(19%)的比例略高(24%)。
内部红队和外部红队哪个更有效?
除了威胁检测、事件响应和灵活性、沟通和团队合作(41%)之外,威胁/战术知识(38%)和持久性(20%)也被列为蓝队应关注的宝贵技能。
相关阅读
