Red Teaming

Red Team（紅隊）是指一個獲得授權的團隊，對組織的系統、流程、人員或物理安全進行攻擊模擬。目標不是造成實際損害，而是幫忙發現藍隊的弱點、驗證防禦效能，並提供改進建議。

歷史起源

• 軍事起源（19世紀–1960年代）：最早出現在軍事戰爭遊戲。冷戰時期，美國軍方讓「紅隊」扮演蘇聯等敵方，挑戰「藍隊」（己方）的計畫，避免群體思維和策略盲點。
• 轉入資安（1990年代–2000年代初）：隨著網路成為關鍵基礎設施，Red Teaming 被引入資安領域，用來模擬真實駭客攻擊。

早期經典的資安紅隊演習

• 背景： 1997 年，美國國安局 (NSA) 執行了一場名為 Eligible Receiver 97 的演習。
• 內容： NSA 組成約 35 人的紅隊，主要針對美國國防部與相關政府機構的網路系統，並模擬攻擊包含電力、通信等關鍵基礎設施，且主要使用公開可得的工具與已知弱點
• 影響： 紅隊在數天內達成滲透目標，演習提前結束，暴露出當時美軍與政府網路防禦的重大脆弱性，並促成後續專責網路防禦單位和常態化網路紅隊演練的建立。

---

優點

常見紅隊優點整理如下

最接近真實攻擊者的模擬

紅隊使用真實攻擊者思維（adversary emulation）、TTPs（MITRE ATT&CK），能發現傳統弱掃 + PT 很難找到的攻擊組合、繞過機制與偵測盲點。這是它通常被視為資安測試金字塔頂端的主要原因。

全面驗證整體安全態勢

不只弱點掃描滲透技術，還包含以下（但實務上會依約定範圍來做，不是每場紅隊一定都涵蓋以下所有項目）：

• 社交工程（釣魚email釣魚、vishing語音釣魚、smishing簡訊釣魚）
• 物理入侵
• 無線攻擊
• 供應鏈 / 第三方風險
• 內部威脅 / 身分濫用
• 偵測、回應、恢復能力（藍隊實戰表現）

大幅提升藍隊與組織韌性

• 透過 Purple Teaming 即時回饋 ，幫助藍隊快速改善偵測規則、SOP等
• 讓 SOC / IR 團隊經歷「真實壓力測試」，反應與決策會變好
• 培養全組織安全意識（員工被釣魚後的教訓最深刻）

提供高階管理層可理解的風險語言

報告不是列一堆 CVE，而是講「我們從外部釣魚 → 拿到 Domain Admin → 加密核心資料庫，只花了 X 天」，直接對應業務影響（營收損失、聲譽、罰款），讓高層願意撥預算修補。

發現系統性、組織級弱點

常見發現：EDR 規則失效、帳號特權過高、變更管理漏洞、監控死角、員工安全訓練無效等，一般弱點掃描很難全面呈現。

符合高階合規與監管期待

金融（TIBER-EU、MAS TRM）、關鍵基礎設施、半導體、政府單位越來越要求定期紅隊演練，作為成熟度證明。

---

缺點

常見紅隊缺點整理如下

成本非常高

• 人力密集（資深紅隊工程師日薪高）：需要大量高階人力（資深紅隊工程師與 TI、藍隊協作人員），單次專案投入成本高。
• 時間長（數週到數月）：專案週期通常從數週到數月不等，還包含前期準備、情資收集與後期報告與修補追蹤。
• 工具與基礎設施昂貴（Cobalt Strike、商用 C2、模擬環境）
• 對中小企業或資安不成熟組織來說，性價比偏低，單次投入的性價比往往不如先強化基礎防禦與監控。

覆蓋範圍有限

• 紅隊通常圍繞「明確定義的攻擊目標與範圍」設計行動，而不是對所有資產做完整弱點盤點。
• 在有限時間內會優先走最有效率的攻擊路徑，因此可能略過某些低機率但高影響的情境。
• 演練結果只反映「該段期間」的安全態勢，面對快速變化的威脅與環境變更，很快就會需要後續演練或持續性測試來補強。

對組織成熟度要求極高

• 如果藍隊基礎太弱（連基本日誌都沒開、EDR 沒調好），紅隊很容易一路暢通，報告變成「你們什麼都測不到」，反而浪費錢
• 建議先把弱掃 + PT + 基本監控做成熟，再上紅隊

可能造成業務干擾或意外影響

• 即使有 RoE（Rules of Engagement），模擬勒索、刪除資料、斷線等仍可能誤觸生產環境
• 大量社交工程（尤其是釣魚活動）如果溝通管理不好，容易讓員工產生挫折感或防禦疲勞，甚至影響對資安團隊的信任感。

結果高度依賴紅隊品質

• 演練的深度與價值，強烈取決於紅隊成員的經驗、創意、對攻擊者行為的理解，以及對客戶業務與技術環境的熟悉度。
• 若紅隊僅套用「標準劇本」或只做表層攻擊，輸出的報告可能只停留在「證明可以打進來」，無法真正挖出系統性弱點與具體改善方向。

無法取代日常安全措施

• 紅隊演練本質上是一種「壓力測試」與「體檢」，目的在於檢驗整體防禦與回應的實戰能力，而不是日常營運的安全維護手段。
• 它無法取代持續性的弱點掃描、補丁與配置管理、攻擊面管理、日誌監控與威脅獵捕，這些日常工作如果做不好，紅隊結果也很難真正被轉化為長期防禦能力。

---

服務比較

Red Team、Penetration Testing、Vulnerability Scanning這三者是資安檢測中常見的三個層級，從廣度優先到深度優先再到實戰模擬，它們的定位、深度、成本與價值完全不同，以下用表格系統化比較。

項目	弱點掃描 (Vulnerability Scanning)	滲透測試 (Penetration Testing, PT)	紅隊演練 (Red Teaming)
主要目的	快速找出已知漏洞清單	驗證漏洞是否可被利用、找出可攻擊路徑	模擬真實進階威脅攻擊者，測試整體偵測與應變能力
測試方式	高度自動化（工具主導）	自動化 + 大量手動（專家主導）	高度手動 + 創意攻擊（模擬真實攻擊者思維）
深度	淺（列出可能漏洞）	中～深（證明可利用性、攻擊鏈）	最深（全鏈路、跨領域、繞過防禦）
範圍	廣（網路、系統、應用全面掃）	中（通常限定範圍，如外部、內網、Web、API）	最廣（技術 + 社工 + 物理 + 無線 + 供應鏈等）
是否模擬真實攻擊	否	部分（會嘗試利用，但受範圍限制）	是（最接近真實 APT / 勒索團體）
時間	幾小時～幾天	1～6 週（視範圍）	數週～數月（常隱藏式、長時間）
成本	低（可內部自行跑）	中～高（需專業顧問）	最高（人力、時間、工具密集）
報告內容	漏洞清單 + CVSS 分數 + 建議	攻擊路徑證明、PoC、影響評估、修補建議	完整攻擊故事線、TTPs、藍隊偵測盲點、組織級建議

---

常見角色

實務上，許多公司只有「紅隊」與「藍隊」，但最後往往演變成「紅隊想證明你很爛，藍隊想證明我沒錯」的職場意氣之爭。所以演進出這不同角色，將一場單純的「技術比賽」，提升為「企業資安能力的系統化進化」。這些角色分別解決了資安演練中的一些關鍵痛點：

紅隊 (Red Team) /模擬者 (The Attacker)

• 核心目標： 透過模擬真實駭客手法，達成特定的業務衝擊（Flag）。
• 工作內容： 包含情報蒐集、漏洞利用、內網移動，設法繞過防毒與監控，不被發現
• 態度： 只要有一條路能進去，你就不是安全的。

藍隊 (Blue Team) /防禦者 (The Defender)

• 核心目標： 保護組織資產，並在第一時間偵測、阻斷攻擊。
• 工作內容： 監控維運，盯著 SOC 螢幕與日誌（Log），發現異常後進行調查。
• 態度： 我看得到你，而且我能把你擋下來。

白隊 (White Team) /裁判長 (The Referee)

• 核心目標： 確保演練在安全、合規且具備教育價值的框架下進行。
• 工作內容： 劇本與目標定義，決定 Flag 在哪、決定 RoE (規則)。監控演練是否影響生產運作，必要時喊停。
• 態度：這場演習必須真實，但絕不能出事。

紫隊 (Purple Team) /溝通者 (The Integrator)

• 核心目標： 消除紅藍兩隊的資訊不對稱，將攻擊成果直接轉化為防禦力。
• 工作內容：帶領紅藍兩隊進行 Log 對接，確保紅隊打過的洞，讓藍隊學會怎麼補、怎麼測。
• 態度：紅藍對抗的終點，是為了共同變強。

綠隊 (Green Team) /建設者 (The Optimizer)

• 核心目標： 透過自動化與架構優化，讓防禦變成長期的「免疫力」。
• 工作內容： 自動化部署，將紅隊的手法自動化，建立持續性的偵測機制，架構加固 。
• 態度：把防禦寫進程式碼裡，讓安全自動化。

角色	參與性質	關鍵產出	成功定義
紅隊	外部/秘密	攻擊路徑圖、取證截圖	成功達成目標 (Flag)
藍隊	內部/維運	偵測告警、處理紀錄	成功阻斷攻擊或縮短發現時間
白隊	管理/仲裁	規則 (RoE)、演練報告	演習圓滿且未影響營運
紫隊	顧問/協作	紅藍 Log 比對表	藍隊偵測能力有實質提升
綠隊	技術/建設	自動化偵測腳本	攻擊手法被成功「常態化」防禦

---

流程

根據國際標準（如 TIBER-EU 或 MITRE）與實務經驗，一個完整的紅隊專案有以下階段：

Phase 1: 專案啟動與目標定義 (Preparation & Scoping)

這是「雙方協作」最多的階段，決定了演習的邊界。在正式的 Red Team 演練開始前，紅隊與客戶（通常是 CISO / 資安長 / 白隊代表）會進行非常詳細的規劃會議，共同定義：

• 這次要模擬的主要目標（Objective / Flag），例如：
  • 拿到 Domain Admin
  • 竊取特定敏感資料（例如財務報表、客戶資料庫特定欄位）
  • 控制特定關鍵系統（SCADA、核心 ERP）
  • 成功執行勒索軟體模擬並加密特定目錄
• 模擬的威脅角色（Threat Actor Profile）：像哪一類攻擊者？（例如中國 APT、勒索團體、內部威脅、競爭對手委託的駭客…）

最後需要確定的事項包括以下：

• RoE 制定 (Rules of Engagement)： 討論哪些手段禁止使用（如破壞性攻擊）、哪些時間不能動手。
• 定義 Flag： 客戶（White Cell）指派目標機器或業務情境（例如：取得核心資料庫控制權）。
• 通報機制： 建立紅隊與客戶代表的緊急聯繫熱線（避免真的打掛系統時求助無門，或是遇到真實攻擊要全部暫停）。

Phase 2: 紅隊開始攻擊與目標達成 (Execution & Objective)

紅隊開始像真實駭客一樣，先進行情報收集，例如以下：

• OSINT 蒐集： 從 GitHub、LinkedIn、暗網蒐集員工資訊、洩漏憑證或技術架構。
• 基礎設施布建： 紅隊在此時要架設自己的 C2 基地、申請偽裝網域、配置跳板機（VPS），確保攻擊流量看起來像正常的外來連線。
• 攻擊方向評估： 根據蒐集的情報，決定是要用「社交工程釣魚」還是「外網服務漏洞」作為突破口。

接著紅隊根據得到的情報，使用各種手法嘗試達成目標，例如以下

• 初步進入 (Initial Access)： 透過釣魚郵件、外網服務弱點、密碼噴灑等方式取得第一個據點 foothold。
• 持續潛伏與提權： 繞過 EDR/AV 監控，並在受感染主機上提升至管理員權限。
• 橫向移動 (Lateral Movement)： 在內網中尋找 AD 網域控制權或前往 White Cell 指定的 Flag 機器。
• 奪取目標： 證明具備 Flag 的操作權（如讀取資料夾、修改測試檔），並在不觸發告警的情況下完成。

Phase 3: 戰場清理 (Cleanup)

這是在攻擊結束後，確保環境安全的必要工作。

• 衝突比對 (De-confliction)： 最後再確認一下現在沒有真實攻擊被誤當紅隊攻擊
• 清理痕跡 (Cleanup)： 這是紅隊的重要工作，必須撤除所有上傳的工具、刪除後門帳號、還原登錄檔，這些都會在White Cell 監督下進行。
• 環境稽核： 確認客戶系統已恢復到演練前的原始狀態。

Phase 4: 比對評估與總結報告 (Analysis & Reporting)

這是將演練轉化為「商業價值」的最關鍵環節。

• Log 對接 (Log Correlation)： 紅藍雙方坐下來比對時間軸。 紅隊說「我 14:00 進來」，藍隊查「我 14:05 才有告警」，這 5 分鐘就是防禦缺口。
• 防禦優化建議 (Remediation)： 紅隊針對沒被偵測到的動作，提供具體的防禦建議（例如：該增加哪條偵測規則）與流程優化（SOP、分工、通報機制）。
• 戰略建議報告： 產出給高層看的總結報告，說明整體防禦韌性的成熟度。以業務語言說明，哪些攻擊路徑成功、能造成哪種實際營運與合規風險，並提供優先修補清單與後續演練建議

系統化流程總結表

階段	工作重點	產出物
啟動期	定義邊界與目標	RoE 授權文件、Flag 清單、通報機制
實施期	蓋基地、蒐集情報、突破、潛伏、拿 AD/Flag	威脅情資報告、攻擊行為紀錄、取證截圖
收尾期	恢復環境、排除衝突	恢復確認清單
分析期	紅藍 Log 對接	戰略建議報告、防禦優化建議等

---

分工

紅隊演練不是把錢丟給資安公司就結束了，客戶（甲方）的參與程度，直接決定了演練的含金量。紅隊演練的工作可拆解為「紅隊專屬」、「客戶專屬」以及「雙方協作」三大區塊，以下是紅隊演練工作職掌表 (Work Responsibility Matrix)：

1. 紅隊要做的事 (Red Team Tasks)

這是紅隊展現專業技術的戰場，核心是「隱蔽」與「突破」。

• 基礎建設與工具準備： 租用 VPS、申請網域、架設 C2 控制中心、準備免殺 (Evasion) 工具。
• 威脅情報蒐集： 執行 OSINT (公開來源情報)，調查目標公司的數位足跡、社交媒體資訊。
• 攻擊行為實作： 執行網路釣魚、漏洞探測、權限提升、內網橫向移動 (Lateral Movement)。
• 目標達成與取證： 在目標 Flag 主機留下標記，並截圖或錄影證明「我已具備控制權」。
• 戰場清理： 撤離後門、刪除暫存檔、確保不留下額外風險並盡量還原至演練前狀態。

2. 客戶要做的事 (Client/White Cell Tasks)

這是確保演練「不出事」且「有價值」的關鍵，由客戶的 White Cell 負責。

• 定義演練目標 (Flags)： 給出具體目標與邊界（例如哪些機器／流程是要打、哪些是禁區），或哪幾項業務流程（如 SWIFT 轉帳）是奪旗目標。
• 內部溝通屏蔽： 視演練設計，可能保密也可能半透明（例如出於練習目的會讓 Blue 知道有在演練，但細節保密）。同時需照應好高層，避免演練被誤認為真正的駭客入侵而導致不必要的法律或行政動作。
• 法律與合規授權： 簽署 RoE (演練規則) 與授權書，確保紅隊的攻擊行為在法律保障內進行。
• 應變流程記錄： 當紅隊在攻擊時，White Cell 要在旁觀察並記錄藍隊的偵測與回應流程，作為事後分析與改善依據。

3. 紅隊與客戶要一起做的事 (Collaborative Tasks)

這是決定專案成敗的「溝通與文書」工作，也是您提到最耗時的部分。

• 演練前的劇本討論與 RoE 制定： 討論要模擬哪種駭客（APT、內鬼、或勒索病毒）？哪些是絕對不能碰的禁區 (Blacklist)？
• 演練中的衝突排除 (De-confliction)： 當藍隊報案「有人在打我們」時，雙方要立即對照：這是紅隊做的？還是真的駭客？
• 演練後Log 對接與比對： 紅隊拿出攻擊日誌，客戶拿出 SOC 日誌。雙方一起坐下來，對照每一分鐘的動作有沒有被偵測到、告警是否正確。
• 演練後報告討論： 根據比對結果，共同討論出一份結合技術細節與業務風險的資安改善建議，提出優先順位與短期、中期與長期建議。

實務總結表

工作範疇	紅隊要做 (Red Team)	客戶要做	雙方協作
準備階段	布建 C2、偵察 OSINT	指定 Flag 機器與目標	討論攻擊劇本與 RoE
執行階段	技術滲透、奪取 Flag	觀察藍隊反應	衝突排除 (De-confliction)
結案階段	清理戰場 (Cleanup)	提供藍隊 Log 與應變紀錄	Log 對接與戰略報告

---

框架

紅隊常用框架可以分為2大類，「流程管理」決定了專案的廣度、合規與安全性；而「技術對抗」則決定了演練的深度、隱蔽性與真實感。

一、 流程管理類

這類框架是為了讓「企業管理者」與「監管機構」建立共識。它定義了誰該負責什麼、什麼時候可以攻擊、以及如何評估演練成果。

1. TIBER-EU (Threat Intelligence-based Ethical Red Teaming)

• 來源： 歐盟中央銀行 (ECB)。
• 核心特色： 強調「威脅情報 (Threat Intelligence)」必須先於「攻擊」。它強制要求情報公司產出該組織專屬的報告，紅隊再據此設計劇本。
• 價值： 提供高度標準化的三階段（準備、測試、結案）七小步驟（Initiation 、Scoping、Threat Intelligence 、Test Planning 、Red Team Test、 Blue Team Report 、 Remediation），確保跨國金融機構有統一的資安韌性衡量標準。

2. CBEST (Intelligence-Led Testing Framework)

• 來源： 英國央行 (Bank of England)。
• 核心特色： 它是全球第一個將監管機構、情報供應商與紅隊公司納入同一框架的標準。
• 價值： 極度強調「真實性」。它要求測試必須模擬現實中對該銀行威脅最大的駭客組織（例如特定 APT 團體）。

3. CREST STAR (Simulated Target Attack & Response)

• 來源： 國際非營利認證機構 CREST。
• 核心特色： 定義了從選商、簽約到結案的商業流程。
• 價值： 提供一套業界認可的證照制度與服務規範，是目前全球資安顧問公司最常引用的「服務標準」。

二、 技術對抗類 (Tactical & Technical)

這類框架是為了讓「技術專家」與「藍隊防禦者」溝通。它定義了攻擊的具體手法（TTPs）以及防禦的映射關係。

1. MITRE ATT&CK (Adversary Emulation Plans)

• 核心： 全球最完整的駭客行為知識庫。
• 核心特色： 提供標準化的戰術（Tactics）與技術（Techniques）列表。
• 價值： 目前 2026 年紅隊的主流。 它讓紅隊能精準模擬特定對手（如 APT29）的腳本。

2. Unified Kill Chain (統一殺傷鏈)

• 來源： 由 Lockheed Martin 的原始 Kill Chain 演化而來。
• 核心特色： 將攻擊拆解為 18 個微小階段（如偵察、武器化、橫向移動、目標達成）。
• 價值： 比傳統殺傷鏈更精細。紅隊常用它來檢核「我們在哪一個細節被藍隊發現了？」，這對於細節導向的內網滲透非常有幫助。

3. RTFM (Red Team Field Manual) 實務體系

• 來源： Ben Clark 所撰寫的一本工具書
• 核心特色： 提供一行又一行的指令 (One-liners)。它涵蓋了 Linux、Windows、網路設備、資料庫等各種環境下的攻擊語法。
• 價值： 是紅隊的「速查手冊」，包含大量命令範例與 evasion 技巧。