什么是‘橙色队’？

Question

我听说谷歌有一个非官方的“虚拟”团队，名为Orange团队，由来自官方安全团队之外的工作人员组成，他们从事一系列白帽活动，以发展自己的技能，并提高谷歌的安全性。(有点像一队迪克·费曼在洛杉矶漫游)

不幸的是，我很难识别出更多关于定义橙色团队的角色和操作参数的信息，这样我们就可以安全有效地建立一个团队。

有人能帮忙吗？

• 更清楚地定义橙色团队及其成员的角色？
• 定义什么是可接受的实践？

简而言之，确保团队成员能够在不危及组织安全的情况下为安全做出贡献？

Answer 1

有很多公司这样做。通常，组织定义团队的范围，明确定义活动，培训和监督。

我认为这是“安全意识卫士”方案的一部分，该方案允许积极改善同龄人安全的人使用每个人都可以使用的工具和程序。这种新的培训水平是一种“奖励”，因为它是同龄人中安全方面的领军人物。

通过利用冠军杯项目，你可以给员工一些目标，让那些真正对安全表现出兴趣的人，而不是那些只被“黑客”部分吸引的人。

在那之后，这一切都取决于你的组织想要解决的问题。我见过钓鱼团队(钓鱼你的同伴！)，物理安全团队(任务不可能进入大楼！)，应用程序安全团队(破坏我们的产品！)。

Answer 2

关于谷歌橙色团队的具体范围或他们所做的事情，并没有太多的信息(这是显而易见的原因.)，但一般来说，有两种渗透测试，一种是你想要做的:一种是你确保暴露在外部世界的系统是安全的，另一种是你确保系统从内部安全的。

可以这样想:拥有系统内部知识和标准安全级别访问权限的人会做什么，这将是不好的。这不一定是为了保护自己免受邪恶员工的伤害(尽管这是大公司的目标之一)，而是要保持自己架构的诚实。即使在原则上，你也希望坏事是不可能的，这不仅仅是因为你认为没有人会改变规则(不管是出于邪恶的目的，还是纯粹的懒惰)。

根据我在互联网上所听到的，我的理解是，谷歌的橙色团队就是这样的，他们从本质上试图利用他们能想到的任何手段来攻击谷歌(在你的问题上，我猜不会产生明显的生产效果)，包括打电话给外部不可用的内部API。

对于一个大公司来说，许多团队和团队成员应该对不同的内部资源有不同级别的访问，这种渗透测试有助于提高内部系统体系结构的安全性。是的，我相信“邪恶的雇员”因素在这类企业中有很大的隐蔽性.想象一下，如果错误的人设法在编译器或流行的浏览器中插入一点代码，会发生什么情况。

而且，那肯定是一份很有趣的工作！

Answer 3

我不确定其他答案是否正确，但它们也不是完全错误的

橙色团队是伪装成董事会/管理层、人力资源或其他点击者的团队。它们将恶意执行流作为常规最终用户(很少作为特权用户)进行上下文处理，并扮演哑巴角色。如果你已经是一个蓝色的团队或者是一个红色的团队，这确实是你能扮演的最有趣的角色--尽管有时候很难进入角色，因为你不能让你的专业知识指导你。