红队可以是内部团队，也可以是渗透性测试人员。他们是外部团体，可以模仿网络犯罪分子的行为和策略，以评估公司当前安全技术的有效性。蓝队由组织的内部安全人员组成，目的是阻止这些模拟攻击。为了给公司提供最实际的防御能力蓝图，蓝色团队没有获得有关攻击何时发生的信息，并且必须在没有准备的情况下做出响应。

        根据最新的研究报告，大多数组织都认为红色/蓝色团队测试具有重要价值，并且他们正在利用从演习中获得的经验教训来加强组织的网络安全计划。该调查是在2019年美国黑帽大会上进行的，对276位IT安全专业人员进行了调查，发现74％的公司经过红队和蓝队测试之后，增加了对安全基础设施的投资，其中18％的人认为预算变化很大。

      当被问及他们的组织是否进行红色团队演习时，有72％的受访者表示他们的组织这样做了。其中23％的人每月进行一次演习，每季度进行的有17％，每年进行17％，每半年进行15％。

72％的受访者表示他们的组织进行了红队演习

      另一方面，接受调查的受访者中有60％表示他们的组织进行蓝队演习，其中24％每月执行一次，每个季度执行占比为12％，每半年执行一次的有11％，每年执行的约占13％。

60％的受访者表示，他们的公司进行了蓝色团队演习，

表明对加强其安全态势的承诺不断提高

        在接受调查的受访者中，有68％的受访者认为红队测试比蓝队测试更有效。

68％的安全专业人员发现，红队练习比蓝队测试更有效

        当被问及蓝队是否能成功赶上红队时，只有2％的被调查者说他们总是抓住对方。35％的受访者表示，蓝队从未或很少赶上红队，而62％的受访者说，他们偶尔或经常赶上了红队。（图）

35％的受访者声称蓝队从未或很少赶上红队，

而62％的受访者说他们偶尔或经常抓到红队

        在接受调查的IT安全专业人员中，有74％的公司看到他们的公司由于进行了红色和蓝色团队测试而增加了安全基础设施的投资，其中18％的人认为预算变化很大。（图）

接受调查的安全专业人员中有74％的人发现，由于进行了红色和蓝色团队测试，公司增加了安全基础架构投资。

        根据调查，蓝军团队需要通过练习来掌握的最高技能是沟通和团队合作（27％），对攻击和战术的了解（23％）和威胁检测（20％）。内部安全团队表示，事件响应时间（17％）和持久性（8％）是内部安全团队表示需要开展工作的其他领域。（图）

调查确定沟通和团队合作是蓝色团队需要处理的最高技能，其次是攻击和战术、威胁检测、事件响应时间和持久性的知识

        定期的红队/蓝队测试可以帮助公司强化安全基础架构，还可以培训内部团队来应对攻击。研究还表明，在紧急警报出现时，除了技术知识以外，人际交往能力对于团队凝聚力的培养以及更紧密的合作也很重要。

        主动式威胁搜寻是组织可以用来应对威胁的一种方法。通过观察威胁攻击技巧，安全团队可以在监视威胁的过程中尽早发现恶意攻击者。它首先检测威胁，然后再将其用作攻击，例如端点上的恶意软件。

用户和实体行为分析（UEBA）是安全解决方案的新兴类别，它使用包括机器学习和深度学习在内的分析技术来发现用户、机器和公司网络上其他实体的异常及危险行为。使用UEBA来跟踪正常和异常行为以检测威胁可以改善您的安全状况。

        因为UEBA不符合预定义的关联规则或攻击模式，或者不跨多个组织系统和数据源，所以这种解决方案可以检测到传统工具看不到的安全事件。