文章目录一、为什么「红蓝紫」是安全人的第一课二、30 秒建立全局三队关系图三、红队Red Team在模拟真实攻击3.1 红队是干什么的3.2 红队 vs 渗透测试不是完全等同3.3 红队常见工作项3.4 红队常用工具了解即可3.5 红队工程师需要什么能力四、蓝队Blue Team在构建检测与响应4.1 蓝队是干什么的4.2 蓝队日常在干什么4.3 蓝队技术栈一览4.4 蓝队怎么衡量「干得好不好」4.5 蓝队工程师需要什么能力五、紫队Purple Team在让攻防形成闭环5.1 紫队最容易被误解5.2 紫队做什么5.3 一次标准的紫队演练流程5.4 谁来做「紫队」六、还有白队、黄队、绿队吗七、放到 Kill Chain 里看三队各管哪一段八、四种典型场景谁上场场景 A季度 Web 渗透测试场景 B双盲红队演练APT 模拟场景 C日常 SOC 运营场景 DLog4Shell 类应急九、组织怎么搭三种常见模型模型 1集中式安全部最常见模型 2买服务 自建蓝队模型 3DevSecOps 融合十、个人发展我该往哪个方向学10.1 方向对照诚实版10.2 红队蓝队都要的「公共课」10.3 证书参考非必需仅作导航十一、常见误区踩坑清单十二、本篇小结附录 A红蓝紫一表速查一、为什么「红蓝紫」是安全人的第一课很多人第一次听到「红队」想到的是电影里的黑客听到「蓝队」想到的是 24 小时盯屏幕的 SOC 分析师。大致没错但远不够用来真正理解企业安全是怎么运转的。常见困惑「渗透测试和红队是一回事吗」「我们买了 EDR、上了 SIEM算不算有蓝队了」「紫队是不是红队 蓝队各派一个人凑一桌」「我是开发该往红队还是蓝队方向学」搞不清这些你会出现两种极端工具崇拜背一堆 Kali 命令或 Splunk 语句不知道解决什么业务问题岗位错配喜欢挖洞的人去了纯合规岗喜欢写规则的人被拉去做社工钓鱼。本文用一张关系图 三个角色拆解 四种实战场景帮你建立可落地的攻防思维。读完后你应该能回答公司里一次「像真实 APT 一样的演练」红蓝紫各自负责什么、产出什么、怎么协作。二、30 秒建立全局三队关系图┌─────────────────────────────────┐ │ 企业安全目标 │ │ 降低风险 · 满足合规 · 可恢复业务 │ └─────────────────────────────────┘ ▲ ┌─────────────────────────┼─────────────────────────┐ │ │ │ ┌─────┴─────┐ ┌───────┴───────┐ ┌───────┴───────┐ │ 红队 │ 模拟攻击 │ 蓝队 │ 检测 │ 紫队 │ │ Red Team │ ──────────► │ Blue Team │ ◄────── │ Purple Team │ │ │ 验证防御 │ │ 响应 │ 协调 · 闭环 │ └───────────┘ └──────────────┘ └───────────────┘ │ │ │ │ │ │ · 渗透测试 · SOC 监控 · 组织演练 · 钓鱼模拟 · 事件响应 · 差距分析 · 红队评估 · 威胁狩猎 · 规则优化 · 漏洞挖掘 · 日志分析 · 复盘改进一句话记忆队伍核心问题立场红队「我能不能打进去」攻击者视角蓝队「能不能发现、挡住、恢复」防御者视角紫队「攻完防完能力有没有真的变强」协调整合视角三、红队Red Team在模拟真实攻击3.1 红队是干什么的红队的本质是在授权前提下用尽可能接近真实攻击者的方式检验组织的安全防护是否有效。注意两个关键词授权有范围、有时间、有书面许可渗透测试授权书 / 红队演练章程接近真实不只是扫漏洞还包括社工、持久化、横向移动、数据外传等完整路径。3.2 红队 vs 渗透测试不是完全等同维度渗透测试Pen Test红队评估Red Team目标发现漏洞、给出修复建议检验整体检测与响应能力范围通常限定 IP/系统/应用常包含「不限路径」——允许社工、物理等告知部分测试目标系统管理员知情多为双盲——仅高层授权一线蓝队不知情时长天周周月成功标准发现高危漏洞数量、报告质量能否达成目标如拿到域控、外传数据且多久被发现典型产出渗透测试报告攻击路径报告 蓝队检测 gap 分析简单记渗透测试偏「找洞」红队偏「打仗」——看整条 Kill Chain 能不能走通、蓝队能不能打断。3.3 红队常见工作项1. 外网突破 · Web 漏洞、VPN 弱口令、暴露面利用 2. 初始访问Initial Access · 钓鱼邮件、恶意附件、水坑、供应链 3. 后渗透Post-Exploitation · 提权、凭证窃取、横向移动、域渗透 4. 持久化与 C2 · 木马、Beacon、DNS 隧道——测试 EDR/NDR 能不能看见 5. 达成目标Actions on Objectives · 读取指定文件、获取域管权限、模拟勒索部署 6. 免杀与规避 · 测试 AV/EDR 对已知攻击手法的检出率授权范围内3.4 红队常用工具了解即可类别代表工具用途信息收集Subfinder、Nmap、Amass侦察漏洞利用Metasploit、Nuclei、自研 PoC突破C2 框架Cobalt Strike、Sliver、Havoc模拟 APT 远控后渗透Mimikatz、BloodHound、Impacket域内横向钓鱼GoPhish、自建邮件服务社工模拟3.5 红队工程师需要什么能力硬技能Web/内网渗透、脚本Python/Go、Windows/Linux 系统、域环境、基础免杀思路 软技能耐心、文档能力、沟通向非技术管理层解释风险 素质 强合规意识——红线意识比技术更重要误区红队不是「越黑越好」。不能碰授权范围外的系统、不能泄露真实数据、不能搞破坏——模拟外传不是真卖数据。四、蓝队Blue Team在构建检测与响应4.1 蓝队是干什么的蓝队负责预防、检测、响应、恢复——让攻击者即使进来了也能尽快被发现、被阻断、业务能恢复。蓝队不等于「 sitting in SOC 看大屏的人」而是一个职能集合蓝队 ≈ SOC 运营 安全工程 应急响应 威胁狩猎 部分安全架构4.2 蓝队日常在干什么工作说明典型产出监控与告警SIEM 规则、EDR 告警 triage工单、误报优化事件响应IR主机隔离、取证、根除、恢复事件报告、时间线威胁狩猎假设驱动主动搜潜伏威胁狩猎报告、新检测规则日志与检测工程接入日志、写 Sigma/YARA/SPL检测覆盖率提升漏洞与补丁管理扫描、优先级、修复跟踪漏洞 SLA 达标基线与加固CIS Benchmark、权限最小化合规检查报告威胁情报IOC 入库、情报订阅封禁策略、预警4.3 蓝队技术栈一览日志/SIEMSplunk、Elastic Stack、QRadar、Sentinel 终端 CrowdStrike、Defender for Endpoint、Wazuh 流量 Zeek、Suricata、NDR 类产品 情报 MISP、OpenCTI、商业 TI feed 响应 TheHive、Cortex、PlaybookSOAR 取证 Velociraptor、Volatility、Autopsy 框架 MITRE ATTCK、Kill Chain、NIST IR4.4 蓝队怎么衡量「干得好不好」不要只看「有没有告警」要看过程指标指标含义方向MTTD平均检测时间越短越好MTTR平均响应/恢复时间越短越好告警信噪比有效告警 / 总告警提高检测覆盖率ATTCK 技术覆盖比例提高演练发现率红队行动被蓝队发现的比例提高漏洞修复 SLA高危漏洞按时修复比例提高关键认知蓝队的敌人不只是黑客还有告警风暴、工具碎片化、人员不足、业务不配合。4.5 蓝队工程师需要什么能力硬技能日志分析、网络基础、系统管理、脚本自动化、ATTCK 映射 软技能压力下决策、跨部门协调、写清楚事件报告 素质 怀疑精神——「告警可能是误报也可能是真 APT 的第一步」五、紫队Purple Team在让攻防形成闭环5.1 紫队最容易被误解误解紫队 红队 蓝队各出一个人。正解紫队是一种协作机制不一定对应独立岗位核心是信息同步 联合复盘 能力共建。紫队要回答的问题「这次攻击手法我们为什么没检测到规则该怎么改下次同类攻击能不能在更早阶段打断」5.2 紫队做什么活动说明联合演练设计定目标、范围、规则、成功标准——避免红队打穿了一线还不知道实时协作可选演练中紫队协调避免误伤业务部分场景下蓝队可获得「提示」Gap 分析红队走了 T1059、T1003蓝队哪些没告警为什么检测工程把 gap 变成 Sigma 规则、EDR 策略、Splunk 搜索复盘AARAfter Action Review时间线、根因、改进项、负责人、截止日期度量跟踪上次演练 MTTD 72h这次 4h——能力是否提升5.3 一次标准的紫队演练流程Phase 0 策划 └─ 授权、范围、目标如测试钓鱼横向移动检测能力 Phase 1 红队执行可双盲 └─ 记录每一步 TTP、时间戳、是否被拦截 Phase 2 蓝队响应 └─ 独立检测与处置双盲模式下不知是否为演练 Phase 3 紫队复盘关键 ├─ 对齐时间线红队 09:12 投递蓝队 14:30 才告警——为何延迟 ├─ Gap 列表缺 DNS 隧道检测、Office→PowerShell 规则未开 ├─ 改进项开启 ASR 规则、补充 Sigma、增加狩猎假设 └─ 排期验证4 周后用同一 TTP 回归测试 Phase 4 闭环验证 └─ 改进后再次小规模测试确认检测率提升5.4 谁来做「紫队」组织规模常见做法小团队渗透工程师 SOC 负责人定期复盘无需专职中型企业安全负责人牵头红/蓝各指定接口人大型/金融专职 Purple Team 或 GRC 下设「对抗验证」职能MSSP外部红队 客户蓝队 双方 PM 组成联合紫队紫队不是第三个打架的队而是让红队打出的每一拳都能变成蓝队的一副新盔甲。六、还有白队、黄队、绿队吗面试和文章里偶尔会提到快速对照称呼常见含义备注白队演练裁判、控制组定规则、喊停、记分保证演练不伤业务黄队构建/DevOps/业务有时指「被测对象」或内部 IT——配合修复、变更窗口绿队安全开发/SDL偏左移安全编码、威胁建模、DevSecOps橙队较少用部分厂商指「威胁情报团队」不必死记颜色红攻蓝防紫协同已覆盖 90% 对话场景。七、放到 Kill Chain 里看三队各管哪一段把 Kill Chain 七阶段 和三队职责叠在一起思路会非常清晰Kill Chain 阶段红队验证能不能成蓝队防/检/响紫队闭环1 侦察演示能从 OSINT 拿到多少信息ASM、蜜罐、泄露监控暴露面是否收敛2 武器化准备免杀样本测试 EDR威胁情报、沙箱情报是否下发到终端3 投递钓鱼邮件能否送达并点击邮件网关、安全意识点击率、培训是否有效4 利用Web/终端漏洞能否利用WAF、EDR、补丁未检出原因规则补全5 安装持久化能否成功持久化检测、IR狩猎是否覆盖该 TTP6 C2Beacon 能否稳定回连NDR、DNS 监控C2 特征是否入库7 达成目标能否拿到「战利品」DLP、分段、备份恢复业务影响评估与架构改进紫队的价值不在某一阶段「站队」而在每个 gap 上推动改进可验证。八、四种典型场景谁上场场景 A季度 Web 渗透测试需求新上线的订单系统要做渗透 主力红队或外部渗透厂商 配合蓝队提供账号、日志、修复窗口 紫队可选——把发现的 SQLi 转化为 WAF/SIEM 规则并回归 产出渗透报告 漏洞修复 ticket场景 B双盲红队演练APT 模拟需求检验「从钓鱼到域控」整体能力 主力红队隐蔽执行 主力蓝队不知情状态下检测响应 主导紫队/白队高层授权、范围控制、事后复盘 产出攻击路径 检测 gap 改进 roadmap场景 C日常 SOC 运营需求7×24 告警处理 主力蓝队 红队一般不参与除非威胁狩猎需要攻击上下文 紫队每周例会 review 高频误报、优化规则 产出事件工单、统计报表场景 DLog4Shell 类应急需求0day 爆发连夜排查 主力蓝队 IR 资产团队 红队可能协助验证 PoC、确认 exploit 路径授权内 紫队事后复盘——为什么资产清单不全、为什么 WAF 规则晚了 6 小时 产出应急报告 长期改进项九、组织怎么搭三种常见模型模型 1集中式安全部最常见安全部 ├── 渗透/红队25 人 ├── SOC/蓝队520 人分班 ├── 安全工程平台、SIEM、EDR └── GRC/合规 紫队活动安全总监牵头季度演练复盘适合金融、互联网、中大型 IT 团队。模型 2买服务 自建蓝队外部年度渗透 occasional 红队演练 内部SOC IR 安全运维 紫队外部红队报告 内部蓝队对接人联合复盘适合中小企业、安全预算有限。模型 3DevSecOps 融合开发运维为主安全嵌入流水线 「绿队」SDL 自动化扫描 蓝队偏云安全、日志平台 红队以外部为主 紫队把扫描/渗透发现接入 CI/CD 门禁适合云原生、敏捷研发组织。十、个人发展我该往哪个方向学10.1 方向对照诚实版你更像这种人…可能更适合…入门路径喜欢挖洞、绕限制、思考「怎么进去」红队 / 渗透HTB、DVWA、OSCP 方向喜欢分析日志、追根因、写规则抓坏人蓝队 / SOC / 狩猎SIEM 实验、Threat Hunter Playbook喜欢协调、写流程、推动落地紫队 / 安全治理 / GRC演练组织、ATTCK 映射、项目管理喜欢写代码、修架构安全开发 / 安全工程SDL、代码审计、云安全什么都能学点小厂「全能安全」先广后深23 年后选专精10.2 红队蓝队都要的「公共课」无论选哪条路这些都绕不开· 网络TCP/IP、DNS、HTTP/TLS、防火墙 · 系统Linux Windows 管理、日志位置 · 基础攻防OWASP Top 10、常见 MITRE 技术 · 编程/脚本Python 或 Go自动化是倍速器 · 沟通能把技术风险翻译成业务语言10.3 证书参考非必需仅作导航方向常见证书渗透/红队OSCP、OSWE、PNPT蓝队/SOCBTL1、Security、CySA管理/GRCCISSP、CISM云安全AWS/Azure 安全 specialty证书是敲门砖实战项目和复盘笔记才是护城河。十一、常见误区踩坑清单误区真相「有防火墙就有蓝队了」蓝队是能力体系不是某一台设备「红队就是黑客可以为所欲为」红队最受合规约束越界即违法「蓝队只要挡住攻击就行」检测、响应、恢复、改进同样重要「紫队开完会就结束」没有回归验证的紫队等于没做「红蓝必须对立」对外模拟敌对对内应协作——敌人是真实 APT「只会攻击比只会防御高级」顶尖安全负责人往往两边都懂「小公司有红蓝之分吗」可以一人多帽但思维上仍要区分攻与防十二、本篇小结┌──────────────────────────────────────────────────────────────┐ │ 红蓝紫 核心记忆 │ ├──────────────────────────────────────────────────────────────┤ │ 红队授权模拟攻击检验「能不能打穿 多久被发现」 │ │ 蓝队预防·检测·响应·恢复让攻击代价变高、窗口变短 │ │ 紫队攻防闭环把 gap 变成规则、流程和可验证的能力提升 │ │ 关系红队出考题蓝队交答卷紫队改教学大纲 │ │ 进阶Kill Chain 看阶段ATTCK 看技术三队看分工 │ └──────────────────────────────────────────────────────────────┘下一篇预告《安全实验室搭建指南一台电脑搭出完整靶场环境》——把红队要练的手艺落到可复现的环境上。附录 A红蓝紫一表速查维度红队蓝队紫队视角攻击者防御者整合者目标突破防线、达成演练目标发现、阻断、恢复提升整体防御成熟度典型日常渗透、钓鱼模拟SOC、IR、狩猎演练、复盘、规则共建成功标志路径走通 检测延迟MTTD/MTTR 下降Gap 关闭且回归通过主要风险越权、误伤业务告警疲劳、漏报流于形式、无闭环与 Kill Chain验证每步能否成功在每步设防和检测逐步缩短「成功 vs 发现」时间差