直接的答案
Blue team 負責防守——監控、偵測和應對組織系統遭受的攻擊。Red team 則進行攻擊——在獲得許可的情況下模擬真實的對手,在真正的攻擊者發動攻擊之前找出弱點。他們是同一項工作(讓組織更加安全)的兩個面向,從相反的方向進行,而進入這個領域的大多數人應該從 blue team 開始,因為大量的初級職位實際上都在那一方。
我經常被看過線上滲透測試內容的學生問到這個問題,他們認為那是「真正的」網路安全,而防守工作似乎只是次要的。事實並非如此。在英國就業市場中,SOC analyst 等 blue team 職位遠遠超過 red team 職位,特別是在初級職位層面,而且 blue team 的經驗通常也是後來讓你在 red team 工作中獲得重視的關鍵。
並排比較
| Blue Team | Red Team | |
|---|---|---|
| 核心工作 | 監控、偵測、應對、防守 | 模擬攻擊、找出並報告弱點 |
| 典型初級職位 | SOC Analyst(第一級) | 很少是初級——通常需要先前的 IT/安全經驗 |
| 日常工具 | SIEM、EDR、工單系統 | 滲透測試框架、exploit 工具、報告 |
| 常見認證 | CompTIA Security+、BTL1 | OSCP、CREST、CHECK(英國特定方案) |
| 英國初級職位數量 | 高 | 低——大多數 red team 職位需要 2 年以上的先前經驗 |
| 典型工作模式 | 通常包括 24/7 SOC 的輪班/值班制 | 以專案為基礎,案件接案件 |
我對學生的建議
幾乎每一個來找我說想「進入駭客領域」的學生,實際上都是指 red team 工作,但幾乎沒有人能直接被聘用進入這個職位。在英國,真正的初級 red team 職位很少——大多數滲透測試工作都希望你已經了解網路、系統,而且通常需要一些 blue team 或一般 IT 背景,正是因為你需要知道什麼是「正常」和「安全」的樣子,才能令人信服地攻擊它。
我的誠懇建議:從 blue team 開始。獲得一個 SOC analyst 職位(參見如何在英國成為 SOC analyst),花上一兩年真正了解網路、日誌和防守端的偵測工作如何運作,然後如果你已經知道兩者的現實情況,再考慮轉向 red team 工作。我認識的許多最好的滲透測試人員都是這樣開始的。直接跳向 red team 內容而沒有這個基礎,通常意味著要參加許多昂貴的課程,卻得不到任何工作機會,因為雇主可以分辨出誰只是看過駭客影片,誰真正了解系統如何運作。
你實際上應該選擇哪一個?快速自檢
- 你更喜歡調查和模式識別勝於構建/破壞東西?→ Blue team。
- 你能否接受流程繁重、有時重複的工作,以交換職位可用性?→ Blue team。
- 你已經有扎實的 IT/網路經驗,想專攻進攻測試?→ Red team 是現實的下一步,而非第一步。
- 你純粹從線上駭客內容被吸引到 red team,但還沒有 IT 背景?→ 先從 blue team 開始,建立基礎。
- 你現在想要最廣泛的初級職位開放機會?→ 毫無疑問是 blue team。
還有一個逐漸增長的「purple team」中間立場——既涵蓋兩者,將 red team 發現反饋到 blue team 偵測規則的人——但那是你在一方面有經驗後成長為的職位,而非起點。
這些職位實際上每週看起來如何
Blue team(SOC analyst)工作在SOC analyst 做什麼中有詳細介紹——大致上,警報分類、日誌調查和文件記錄,通常有輪班覆蓋。Red team 工作是基於專案的:一個案件可能運行一到四週,涉及與客戶的範圍確定、主動測試(通常在設計上與目標自身安全團隊的正常協作之外進行),並以詳細報告和有時的發現呈現結束。它不如 SOC 工作常規,但在工作負荷和出差方面遠不可預測。
如果你需要幫助確定哪一方實際上適合你的工作風格和背景,在投入學習時間之前,請查看定價,我們會好好談論。
常見問題
Blue team 或 red team 哪個薪水更高?
資深 red team/滲透測試職位可能比同等 blue team 職位薪水更高,部分原因反映了較小的人才庫和 OSCP 等專家認證。在初級職位層面,差距不太明確,而 blue team 有遠更多可用職位。
我能直接進入 red team 作為第一份工作嗎?
在英國很少見。大多數初級安全聘用是 blue team(SOC analyst),而大多數滲透測試職位希望你先有 IT 或安全經驗。
Purple team 是什麼?
在大多數公司中,它是一種工作風格而非獨立的職位名稱——blue 和 red 團隊協作,red team 發現直接影響 blue team 偵測規則。你通常在一方面有經驗後進入 purple team 工作。
每個路徑需要不同的認證嗎?
大致上是的。Blue team 路徑通常以 Security+ 和 SIEM 等工具開始;red team 路徑傾向於後來的職業生涯中的 OSCP 等認證,通常在 blue team 或一般 IT 基礎就位後。