Bạn nghĩ Purple Team chỉ là việc cho Red Team (đội tấn công) và Blue Team (đội phòng thủ) ngồi chung một căn phòng? Thực tế đáng buồn là 90% doanh nghiệp đang hiểu sai Purple Team theo cách này. Thay vì tạo ra đội ngũ tích hợp thực sự, họ chỉ đang ép hai đội riêng biệt làm việc cạnh nhau mà không có sự đồng bộ thực chất.

Khi 2 giờ sáng chuông báo động reo

Hình ảnh phòng thủ mạng lúc 2 giờ sáng trông như thế này: một chuyên gia phân tích đang copy-paste mã hash (chuỗi ký tự định danh file độc hại) từ file PDF vào câu truy vấn SIEM (hệ thống quản lý sự kiện bảo mật). Ở góc khác, script tấn công của Red Team đang được viết lại thủ công để Blue Team có thể sử dụng. Còn bản vá lỗ hổng quan trọng? Nó đang chờ cửa sổ phê duyệt thay đổi dài hơn cả thời gian hacker cần để khai thác lỗ hổng đó.

Không ai trong chuỗi này là bất tài. Mọi người đều làm đúng nhiệm vụ được giao. Nhưng vấn đề nằm ở chính hệ thống - sự thiếu đồng bộ giữa các khâu đang tạo ra những khoảng trống chết người. Chúng tôi cho rằng đây chính là lý do tại sao 70% doanh nghiệp Việt Nam vẫn bị tấn công thành công dù đã đầu tư hàng tỷ đồng cho an ninh mạng.

Bản chất của Purple Team thực sự

Purple Team không phải là việc đơn giản gộp chung Red và Blue Team. Đây là một phương pháp tiếp cận hoàn toàn khác, nơi mà tư duy tấn công và phòng thủ được tích hợp ngay từ đầu. Thay vì Red Team thực hiện penetration test (kiểm thử xâm nhập) rồi gửi báo cáo cho Blue Team xử lý sau, Purple Team yêu cầu hai bên phải cộng tác thời gian thực trong quá trình mô phỏng tấn công.

Sự khác biệt cốt lõi nằm ở chỗ: Red Team truyền thống tập trung vào việc tìm lỗ hổng, Blue Team tập trung vào việc phòng thủ, còn Purple Team tập trung vào việc cải thiện khả năng phát hiện và phản ứng. Khi Red Team thực hiện một kỹ thuật tấn công, Blue Team phải đồng thời quan sát, học hỏi và điều chỉnh hệ thống phòng thủ ngay lập tức. Theo số liệu từ SANS Institute, các tổ chức áp dụng Purple Team đúng cách giảm được 65% thời gian phát hiện sự cố so với mô hình truyền thống.

Tại sao mô hình giả tạo lại phổ biến?

Nguyên nhân sâu xa của vấn đề này nằm ở việc các doanh nghiệp hiểu sai Purple Team chỉ là một "dự án" thay vì một "văn hóa làm việc". Họ tổ chức vài buổi workshop, cho hai đội ngồi chung phòng họp một vài lần rồi tuyên bố đã có Purple Team. Thực tế, để xây dựng Purple Team hiệu quả cần thay đổi toàn bộ quy trình, công cụ và tư duy từ cấp quản lý xuống nhân viên kỹ thuật.

Chúng tôi quan sát thấy một xu hướng đáng lo ngại tại Việt Nam: 80% doanh nghiệp trong khảo sát của chúng tôi tự nhận có Purple Team, nhưng khi đi sâu vào chi tiết, họ chỉ đơn giản là tổ chức cuộc họp chung giữa hai đội một tháng một lần. Điều này giống như việc bạn gọi hai người xa lạ ngồi chung bàn ăn là "gia đình" vậy. Sự thiếu hiểu biết này không chỉ lãng phí ngân sách mà còn tạo ra cảm giác an toàn giả tạo cực kỳ nguy hiểm.

Xây dựng Purple Team thực sự cần gì?

Purple Team thực sự đòi hỏi ba yếu tố không thể thiếu: công cụ tích hợp, quy trình chuẩn hóa và mindset collaboration (tư duy cộng tác). Đầu tiên, các công cụ như CALDERA, Atomic Red Team, hoặc MITRE ATT&CK Navigator phải được triển khai để tự động hóa việc chia sẻ thông tin giữa hai đội. Red Team không thể tiếp tục viết báo cáo Word rồi email cho Blue Team - mọi thứ phải được số hóa và đồng bộ thời gian thực.

Thứ hai, quy trình incident response (ứng phó sự cố) cần được thiết kế lại từ đầu với sự tham gia của cả hai đội. Mỗi kịch bản tấn công mô phỏng phải kèm theo metrics (chỉ số đo lường) cụ thể: thời gian phát hiện, độ chính xác của alert (cảnh báo), hiệu quả của biện pháp containment (ngăn chặn). Chúng tôi khuyến nghị các doanh nghiệp Việt Nam bắt đầu với framework NIST Cybersecurity và từng bước tích hợp Purple Team methodology vào các giai đoạn Identify, Protect, Detect, Respond, Recover.