レッドチーミングは複雑な攻撃シミュレーションです。方法論とツール

出典：Acunetix



Red Teamingは、システムのサイバーセキュリティを評価するための実際の攻撃の複雑なシミュレーションです。 「赤いチーム」は、ペンテスター（侵入テストを実行するスペシャリスト）のグループです。彼らは外部とあなたの組織の従業員の両方から雇うことができますが、すべての場合において彼らの役割は同じです-侵入者の行動を模倣してあなたのシステムに侵入しようとします。



サイバーセキュリティの「レッドチーム」に加えて、他にも多くのチームがあります。たとえば、BlueTeamはRedTeamと連携しますが、その活動は、システムインフラストラクチャの内部からのセキュリティを向上させることを目的としています。パープルチームは、他の2つのチームが攻撃的な戦略と防御を開発するのを支援する連絡係です。ただし、再タイミングはサイバーセキュリティ管理の最も理解されていない方法の1つであり、多くの組織は依然としてこの方法の使用に消極的です。

この記事では、Red Teamingの概念の背後にあるものと、実際の攻撃の包括的なシミュレーションを実装することで組織のセキュリティを向上させる方法について詳しく説明します。この記事の目的は、この方法で情報システムのセキュリティを大幅に向上させる方法を示すことです。

レッドチーミング：概要

私たちの時代には、「赤」と「青」のチームは主に情報技術とサイバーセキュリティの分野に関連していますが、これらの概念は軍隊によって発明されました。一般的に、私がこれらの概念について最初に聞いたのは軍隊でした。1980年代のサイバーセキュリティアナリストの仕事は、現在とは大きく異なりました。暗号化されたコンピュータシステムへのアクセスは、現在よりもはるかに制限されていました。



それ以外の点では、戦争ゲームでの私の最初の経験（相互作用のモデリング、シミュレーション、整理）は、サイバーセキュリティで広く見られる今日の複雑な攻撃シミュレーションプロセスと非常に似ていました。現在のように、社会工学を使用して従業員に軍事システムへの「敵」の違法なアクセスを許可するように説得することに非常に重点が置かれています。したがって、攻撃をシミュレートするための技術的手法は1980年代以降大幅に進歩しましたが、敵対的アプローチの主要なツールの多く、特にソーシャルエンジニアリング手法は、主にプラットフォームに依存しないことに注意してください。



実世界の攻撃の複雑なシミュレーションのコアバリューも、1980年代から変わっていません。システムへの攻撃をシミュレートすることで、脆弱性を発見し、それらがどのように悪用されるかを理解するのが簡単になります。以前は主に侵入テストを通じて脆弱性を探しているホワイトハットハッカーやサイバーセキュリティの専門家によって使用されていましたが、現在はサイバーセキュリティやビジネスで幅広い用途があります。



再チーム化の鍵は、実際には、攻撃されるまでシステムのセキュリティについてのアイデアを得ることができないことを理解することです。そして、実際の攻撃者からの攻撃にさらされる代わりに、「赤いコマンド」を使用してそのような攻撃をシミュレートする方がはるかに安全です。

レッドチーミングのユースケース

リダイレクトの基本を理解する簡単な方法は、いくつかの例を確認することです。そのうちの2つは次のとおりです。

• シナリオ1：顧客サービスサイトで侵入テストが実行され、検証が成功したと想像してください。これは、すべてが正常であることを示しているように思われます。しかし、その後、複雑な攻撃シミュレーションの結果、レッドチームは、カスタマーサービスアプリケーション自体は正常であるにもかかわらず、サードパーティのチャット機能では正確に人を特定できないことを発見しました。これにより、カスタマーサービス担当者をだましてメールアドレスを変更させることができます。アカウント内（その結果、攻撃者である新しい人がアクセスできるようになります）。
• シナリオ2.ペンテストにより、すべてのVPNおよびリモートアクセス制御が安全であることがわかりました。しかし、その後、「赤いチーム」の代表者がチェックインカウンターを自由に通り過ぎ、従業員の1人のラップトップを取り出します。

上記の両方の場合において、「赤いチーム」は、個々のシステムの信頼性だけでなく、システム全体の弱点をチェックします。

複雑な攻撃シミュレーションが必要なのは誰ですか？

一言で言えば、事実上すべての企業がリダイレクトの恩恵を受けることができます。2019年のグローバルデータリスクレポートに示されているように、膨大な数の組織が、データを完全に管理しているという誤った考えに基づいています。たとえば、平均して、会社のフォルダの22％がすべての従業員に利用可能であり、87％の会社がシステム上に1,000を超える古い機密ファイルを持っていることがわかりました。



あなたの会社がハイテク業界に属していない場合、リダイレクトはあまり役に立たないように見えるかもしれません。しかし、そうではありません。サイバーセキュリティとは、機密情報を保護することだけではありません。



攻撃者は、会社の業界に関係なく、同様にテクノロジーを乗っ取ろうとしています。たとえば、世界の他の場所にある別のシステムやネットワークを引き継ぐためのアクションを隠すために、ネットワークへのアクセスを取得しようとする場合があります。このタイプの攻撃では、攻撃者はデータを必要としません。彼らはあなたのシステムをボットネットのグループに変えるためにそれらを使用するためにあなたのコンピュータをマルウェアに感染させたいと思っています。



中小企業の場合、リダイレクトを行うためのリソースを見つけるのは難しい場合があります。この場合、プロセスを外部の請負業者に外注することは理にかなっています。

レッドチーミングの推奨事項

リダイレクトの最適なタイミングと頻度は、作業するセクターとサイバーセキュリティツールの洗練度によって異なります。



特に、資産探索や脆弱性分析などの自動化されたアクティビティが必要です。また、組織は、堅牢な侵入テストを定期的に実行することにより、自動化されたテクノロジーと人間による制御を組み合わせる必要があります。

侵入テストと脆弱性の検索のいくつかのビジネスサイクルを完了した後、実際の攻撃の包括的なシミュレーションを開始できます。この時点で、リダイレクトは具体的なメリットをもたらします。ただし、サイバーセキュリティの基盤を確立する前にそれを実行しようとしても、効果はありません。



ホワイトハッカーのチームは、準備が整っていないシステムを非常に迅速かつ簡単に侵害できる可能性が高いため、情報が少なすぎてさらにアクションを実行できません。実際の影響を達成するには、「レッドチーム」によって取得された情報を、以前の侵入テストおよび脆弱性評価と比較する必要があります。

浸透試験とは何ですか？

実際の攻撃の複雑なシミュレーション（Red Teaming）は、侵入テスト（侵入テスト）と混同されることがよくありますが、2つの方法はわずかに異なります。より正確には、浸透テストは、タイミングを再調整する方法の1つにすぎません。



ペンテスターの役割はかなり明確に定義されています。ペンテスターの作業は、計画、情報発見、攻撃、報告の4つの主要なフェーズに分けられます。ご覧のとおり、ペネトレーションテスターはソフトウェアの脆弱性を探すだけではありません。彼らはハッカーの立場に身を置いて、あなたのシステムに入った後、彼らの実際の仕事が始まります。



彼らは脆弱性を発見し、受け取った情報に基づいて新しい攻撃を開始し、フォルダー階層をナビゲートします。これが、侵入テストの専門家が、ポートスキャンソフトウェアまたはウイルス検出を使用して脆弱性を検索するためだけに雇われている専門家と異なる点です。経験豊富なペンテスターは、次のことを判断できます。

• ハッカーが攻撃を指示できる場所。
• ハッカーが攻撃する方法。
• あなたの防御がどのように振る舞うか;
• 違反の可能性のある規模。

侵入テストは、アプリケーションおよびネットワークレベルでの欠陥、および物理的なセキュリティの障壁を克服する機会を特定することを目的としています。自動テストではサイバーセキュリティの問題が明らかになる可能性がありますが、手動侵入テストでは、攻撃に対するビジネスの脆弱性も考慮されます。

レッドチーミングvs. 浸透試験

浸透試験は確かに重要ですが、それは多くの再タイミング活動の一部にすぎません。 「赤いチーム」の活動は、単にネットワークへのアクセスを求めていることが多いペンテスターの活動よりもはるかに広い目標を持っています。レッドチームが組織のテクノロジーと人的および物理的資産のリスクと脆弱性の真のレベルを完全に理解するために深く掘り下げるにつれて、削減には多くの人、リソース、および時間が必要になります。



さらに、他にも違いがあります。 Redteamingは通常、より成熟した高度なサイバーセキュリティ対策を講じている組織で使用されます（実際には常にそうであるとは限りません）。



通常、これらはすでに侵入テストを実施し、見つかった脆弱性のほとんどを修正した企業であり、現在、機密情報へのアクセスやセキュリティのハッキングを何らかの方法で再試行できる人を探しています。

これが、redtimingが特定の目標に焦点を合わせたセキュリティ専門家のチームに依存している理由です。彼らは内部の脆弱性を対象とし、組織の従業員に対して電子的および物理的な社会工学技術の両方を採用しています。ペンテスターとは異なり、赤いチームは攻撃中に時間をかけ、実際のサイバー犯罪者のように検出を避けたいと考えています。

レッドチーミングの利点

実際の攻撃を包括的にシミュレートすることには多くの利点がありますが、最も重要なことは、このアプローチが組織のサイバーセキュリティレベルの包括的な全体像を提供することです。典型的なエンドツーエンドの攻撃シミュレーションプロセスには、侵入テスト（ネットワーク、アプリケーション、携帯電話、およびその他のデバイス）、ソーシャルエンジニアリング（ライブオンサイト通信、電話、電子メール、またはテキストメッセージとチャット）、および物理的侵入（ロックの選択、セキュリティカメラのデッドゾーンの検出、警告システムのバイパス）。システムのこれらの側面のいずれかに脆弱性がある場合、それらは検出されます。



脆弱性が見つかったら、修正できます。脆弱性が発見されても、効果的な攻撃シミュレーション手順は終了しません。セキュリティ上の欠陥が明確に特定されたら、それらの修正と再テストに取り組む必要があります。実際、実際の作業は通常、レッドチームの侵入後、攻撃のフォレンジック分析を実行し、見つかった脆弱性を減らしようとするときに始まります。



これらの2つの主な利点に加えて、リダイレクトには他にも多くの利点があります。したがって、「赤いチーム」は次のことができます。

• 主要なビジネス情報資産における攻撃のリスクと脆弱性を特定します。
• リスクが制限され制御された環境で、実際の攻撃者の方法、戦術、手順をシミュレートします。
• 複雑な標的型脅威を検出、対応、防止する組織の能力を評価する
• 情報セキュリティ部門および「ブルーチーム」との緊密な相互作用を刺激して、大幅な緩和を確実にし、発見された脆弱性に基づいて包括的な実践的なセミナーを実施します。

Red Teamingはどのように機能しますか？

リダイレクトがどのように機能するかを理解するための優れた方法は、リダイレクトが通常どのように発生するかを調べることです。典型的な複雑な攻撃シミュレーションプロセスは、いくつかの段階で構成されています。

• 組織は、攻撃の目的を「赤いチーム」（内部または外部）に同意します。たとえば、そのような目標は、特定のサーバーから機密情報を取得することである可能性があります。
• « » . , , - . .
• , XSS-. .
• , « » . .
• « » . .
• .

実際、経験豊富なRed Teamの実践者は、無数の異なる方法を使用して、これらの各ステップを完了します。ただし、上記の例からの重要なポイントは、個々のシステムの小さな脆弱性が、連鎖すると壊滅的な障害にエスカレートする可能性があることです。

「赤いチーム」に言及するとき、何を考慮すべきですか？

リダイレクトを最大限に活用するには、慎重に準備する必要があります。各組織で使用されるシステムとプロセスは異なり、リダイレクトの品質レベルは、システムの脆弱性を見つけることを目的とした場合に達成されます。このため、いくつかの要因を考慮することが重要です。

あなたが探しているものを知っています

まず、テストするシステムとプロセスを理解することが重要です。Webアプリケーションをテストしたいことは知っているかもしれませんが、これが実際に何を意味するのか、他のシステムがWebアプリケーションに統合されているのかについてはよくわかりません。したがって、実際の攻撃の包括的なシミュレーションに着手する前に、自分のシステムを十分に理解し、明らかな脆弱性を修正することが重要です。

あなたのネットワークを知っている

これは以前の推奨事項に関連していますが、ネットワークの技術仕様に関する詳細です。テスト環境をより適切に定量化できるほど、レッドチームはより正確で具体的になります。

あなたの予算を知っている

レッドタイミングはさまざまなレベルで実行できますが、ソーシャルエンジニアリングや物理的な侵入など、ネットワークに対するあらゆる攻撃のシミュレーションにはコストがかかる可能性があります。このため、このようなチェックにいくら費やすことができるかを理解し、それに応じてその範囲を概説することが重要です。

リスクのレベルを知る

一部の組織は、標準的なビジネス手順の一部として、かなり高いレベルのリスクを許容する場合があります。他の企業は、特に企業が高度に規制された業界で事業を行っている場合、リスクのレベルを大幅に制限する必要があります。したがって、リダイレクトを行うときは、ビジネスに実際に脅威を与えるリスクに焦点を当てることが重要です。

レッドチーミング：ツールと戦術

正しく実装されている場合、レッドチームは、ハッカーが使用するすべてのツールと手法を使用して、ネットワークに対して本格的な攻撃を開始します。これには、とりわけ次のものが含まれます。

• アプリケーション浸透テスト-クロスサイトリクエストの偽造、データ入力の欠陥、弱いセッション管理など、アプリケーションレベルの欠陥を特定することを目的としています。
• ネットワーク侵入テスト-設定ミス、ワイヤレスの脆弱性、不正なサービスなど、ネットワークおよびシステムレベルでの欠陥を特定することを目的としています。
• 物理的浸透テスト-実生活での物理的セキュリティ制御の有効性と長所と短所をテストします。
• 社会工学-人間の弱点と人間性を利用し、フィッシングメール、電話とテキストメッセージ、およびその場での物理的接触を通じて、欺瞞、説得と操作に対する人々の感受性をテストすることを目的としています。

上記はすべて、リダイレクトのコンポーネントです。これは、人、ネットワーク、アプリケーション、および物理的なセキュリティ制御が実際の攻撃者からの攻撃にどれだけ耐えられるかを判断するために設計された、本格的な多層攻撃シミュレーションです。

レッドチーミング手法の継続的な開発

赤のチームが新しいセキュリティの脆弱性を見つけようとし、青のチームがそれらを修正しようとする現実世界の攻撃の複雑なシミュレーションの性質は、そのようなチェックの方法の絶え間ない開発につながります。このため、最新の再タイミング手法はすぐに時代遅れになるため、最新のリストを作成することは困難です。



したがって、ほとんどのリテンパーは、Red Teamsコミュニティが提供する多くのリソースを使用して、少なくとも一部の時間を新しい脆弱性とその悪用方法の調査に費やします。これらのコミュニティの中で最も人気のあるものは次のとおりです。

• Pentester Academy — , -, , , , , .
• (Vincent Yiu) — « », .
• Twitter — , . #redteam #redteaming.
• (Daniel Miessler) — , , - « ». : « , » « , , ».
• Daily Swig -— -, PortSwigger Web Security. , — , , , - .
• (Florian Hansemann) — « » , « » .
• MWR labs — , . , Twitter , .
• (Emad Shanab) — « ». Twitter , « », SQL- OAuth.
• Mitre's Adversarial Tactics, Techniques and Common Knowledge (ATT & CK) — . , .
• The Hacker Playbook — , , , , . (Peter Kim) Twitter, .
• SANS Institute — . Twitter-, , SANS -.
• Red Team Journal. , , Red Teaming , , « ».
• , Awesome Red Teaming — GitHub, , Red Teaming. « », , .

« » — ?

色とりどりのチームが非常に多いため、組織に必要なタイプを判断するのは難しい場合があります。



赤のチームの代替案の1つ、または赤のチームと組み合わせて使用​​できる別のタイプのチームは、青のチームです。 Blue Teamはまた、ネットワークのセキュリティを評価し、インフラストラクチャの潜在的な脆弱性を特定します。ただし、目的は異なります。このタイプのチームは、インシデント対応をより効果的にするために、防御を保護、変更、および再グループ化する方法を見つける必要があります。



赤のチームと同様に、青は、それらに基づいて対応戦略を作成するために、攻撃者の戦術、技術、および手順について同じ知識を持っている必要があります。ただし、Blue Teamの責任は、攻撃に対する防御だけに限定されません。また、たとえば、異常で疑わしいアクティビティの継続的な分析を提供する侵入検出システム（IDS）を使用して、セキュリティインフラストラクチャ全体の強化にも参加します。



BlueTeamが実行する手順の一部を次に示します。

• セキュリティ監査、特にDNS監査。
• ログとメモリの分析。
• ネットワークデータパケットの分析。
• リスクデータの分析。
• デジタルフットプリント分析;
• リバースエンジニアリング;
• DDoSテスト;
• リスクを実装するためのシナリオの開発。

赤チームと青チームの違い

多くの組織に共通する質問は、赤と青のどちらのチームを使用すべきかということです。この質問には、「バリケードの反対側で」働く人々の間の友好的な敵意も伴うことがよくあります。実際には、他のコマンドがなければ意味のあるコマンドはありません。したがって、この質問に対する正解は、両方のチームが重要であるということです。



「赤いチーム」は攻撃し、「青いチーム」の防御の準備をテストするために使用されます。赤のチームは、青のチームが完全に見落としていた脆弱性を見つけることがあります。その場合、赤のチームは、これらの脆弱性を修正する方法を示す必要があります。



情報セキュリティを強化するために、両方のチームがサイバー犯罪者に対して協力することが不可欠です。



このため、片側だけを選択したり、1つのタイプのチームだけに投資したりすることは意味がありません。両当事者の目標はサイバー犯罪を防ぐことであることを覚えておくことが重要です。

言い換えれば、企業は、実行されたすべての攻撃とチェックのログ、発見された機能の記録など、包括的な監査を提供するために、両方のチーム間の相互協力を確立する必要があります。



赤いチームは、攻撃シミュレーション中に実行した操作に関する情報を提供し、青いチームは、ギャップを埋めて見つかった脆弱性を修正するために実行したアクションに関する情報を提供します。



両方のチームの重要性を過小評価することはできません。継続的なセキュリティ監査、侵入テスト、およびインフラストラクチャの改善がなければ、企業は自社のセキュリティステータスを認識できません。少なくともデータ漏洩が発生し、セキュリティ対策が十分でなかったことが痛々しいほど明らかになるまでは。

パープルチームとは何ですか？

パープルチームは、レッドチームとブルーチームを組み合わせようとした結果です。パープルチームは、別のタイプのチームではなく、概念です。赤と青のチームの組み合わせとして最もよく見られます。彼女は両方のチームと関わり、彼らが一緒に働くのを助けます。



Team Purpleは、一般的な脅威シナリオを正確にモデル化し、脅威を検出および防止するための新しい方法を作成することにより、セキュリティ組織が脆弱性検出、脅威スキャン、およびネットワーク監視を改善するのに役立ちます。



一部の組織では、安全目標、タイムライン、および主要な結果を明確に定義する1回限りの対象を絞った活動に「紫色のチーム」を使用しています。これには、攻撃と防御の欠陥を認識し、将来のトレーニングと技術要件を定義することが含まれます。



現在注目を集めている別のアプローチは、パープルチームを、サイバーセキュリティ文化と継続的な改善を促進するために組織全体で機能する概念モデルと見なすことです。

結論

Red Teaming、またはComprehensive Attack Simulationは、組織のセキュリティの脆弱性をテストするための強力な方法ですが、注意して使用する必要があります。特に、それを使用するためには、情報セキュリティ保護の手段を十分に開発する必要があります。そうしないと、期待に応えられない可能性があります。

レッドテンピングは、想像もしなかったシステムの脆弱性を明らかにし、それらを修正するのに役立ちます。青と赤のチーム間で敵対的なアプローチを採用することで、実際のハッカーがあなたのデータを盗んだり、資産に損害を与えたりしたい場合の行動をシミュレートできます。