レッド チーム化は、攻撃の複雑なシミュレーションです。 方法論とツール

出典: アキュネティックス

レッド チーミングは、システムのサイバーセキュリティを評価するための実際の攻撃の複雑なシミュレーションです。 「レッドチーム」はグループです ペンテスター (システムへの侵入テストを実行する専門家)。 彼らは外部から雇われることも、組織の従業員から雇われることもありますが、どの場合でも役割は同じで、侵入者の行動を模倣してシステムへの侵入を試みます。

サイバーセキュリティ分野の「レッドチーム」の他にも、数多くのチームが存在します。 たとえば、「青チーム」(青チーム) は赤チームと協力しますが、その活動はシステム インフラストラクチャのセキュリティを内部から向上させることを目的としています。 パープル チームはリンクの役割を果たし、他の XNUMX チームが攻撃戦略と防御を開発するのを支援します。 ただし、レッドタイミングはサイバーセキュリティ管理方法として最も理解されていないものの XNUMX つであり、多くの組織は依然としてこの手法の導入に消極的です。
この記事では、レッド チーミングの概念の背後にあるものと、実際の攻撃の複雑なシミュレーション実践の実装が組織のセキュリティの向上にどのように役立つかを詳しく説明します。 この記事の目的は、この方法によって情報システムのセキュリティがどのように大幅に向上するかを示すことです。

レッドチームの概要

私たちの時代では、「赤」チームと「青」チームは主に情報技術とサイバーセキュリティの分野に関連付けられていますが、これらの概念は軍によって生み出されました。 一般に、私がこれらの概念について初めて聞いたのは軍隊でした。 1980 年代のサイバーセキュリティ アナリストとしての仕事は現在とは大きく異なっていました。暗号化されたコンピュータ システムへのアクセスは現在よりもはるかに制限されていました。

それ以外の点では、私の最初の戦争ゲーム体験 (シミュレーション、シミュレーション、インタラクション) は、サイバーセキュリティに取り入れられている今日の複雑な攻撃シミュレーション プロセスと非常によく似ていました。 これまでと同様、従業員を説得して「敵」に軍事システムへの不適切なアクセスを与えるようソーシャル エンジニアリング手法を使用することに大きな注意が払われました。 したがって、攻撃シミュレーションの技術的手法は 80 年代から大幅に進歩しましたが、敵対的アプローチの主要なツールの多く、特にソーシャル エンジニアリング手法はほぼプラットフォームに依存しないことに注目する価値があります。

実際の攻撃を複雑に模倣するという核心的な価値も、80 年代から変わっていません。 システムへの攻撃をシミュレートすることで、脆弱性を発見し、それが悪用される方法を理解しやすくなります。 また、レッドチームはかつて主にホワイトハットハッカーや侵入テストを通じて脆弱性を探すサイバーセキュリティ専門家によって使用されていましたが、現在ではサイバーセキュリティとビジネスでより広く使用されるようになりました。

レッドタイミングの鍵は、システムが攻撃されるまで、システムのセキュリティを実際に実感することはできないことを理解することです。 そして、実際の攻撃者による攻撃の危険にさらされるよりも、赤いコマンドを使用してそのような攻撃をシミュレートする方がはるかに安全です。

レッドチーム化: ユースケース

リタイミングの基本を理解する簡単な方法は、いくつかの例を見ることです。 そのうちの XNUMX つを次に示します。

• シナリオ1。 カスタマー サービス サイトが侵入テストを受け、テストに成功したと想像してください。 これは、すべてが順調であることを示唆しているようです。 しかし、その後の複雑な模擬攻撃で、レッド チームは、カスタマー サービス アプリ自体は問題ないものの、サードパーティのチャット機能がユーザーを正確に識別できないことを発見しました。これにより、カスタマー サービス担当者を騙して電子メール アドレスを変更させることが可能になります。 . アカウント内の . (その結果、新しい人、攻撃者がアクセスを取得する可能性があります)。
• シナリオ2。 ペネトレーションテストの結果、すべての VPN とリモート アクセス制御は安全であることが判明しました。 しかし、その後、「レッドチーム」の代表者が登録デスクを自由に通り過ぎ、従業員のXNUMX人のラップトップを持ち出しました。

上記のどちらの場合でも、「レッド チーム」は個々のシステムの信頼性をチェックするだけでなく、システム全体の弱点もチェックします。

複雑な攻撃シミュレーションが必要なのは誰ですか?

一言で言えば、ほぼすべての企業がレッドタイミングから恩恵を受けることができます。 示されているように 2019 年グローバル データ リスク レポートに記載されています。、恐ろしいほど多くの組織が、自分たちのデータを完全にコントロールできるという誤った信念の下にいます。 たとえば、平均して企業のフォルダーの 22% がすべての従業員に利用可能であり、87% の企業のシステム上に 1000 を超える古い機密ファイルが存在することがわかりました。

あなたの会社がテクノロジー業界に属していない場合、レッドタイミングがあまり良い効果をもたらすとは思えないかもしれません。 そうではありません。 サイバーセキュリティは機密情報を保護することだけではありません。

犯罪者は、企業の活動範囲に関係なく、同様にテクノロジーを入手しようとします。 たとえば、世界中の別のシステムやネットワークを乗っ取る行為を隠すために、あなたのネットワークにアクセスしようとする可能性があります。 このタイプの攻撃では、攻撃者はあなたのデータを必要としません。 彼らは、あなたのコンピュータをマルウェアに感染させ、彼らの力を借りてあなたのシステムをボットネットのグループに変えようとしています。

中小企業の場合、引き換えられるリソースを見つけるのが難しい場合があります。 この場合、このプロセスを外部の請負業者に委託するのが合理的です。

レッドチーム: 推奨事項

リタイミングの最適な時間と頻度は、取り組んでいる分野とサイバーセキュリティ ツールの成熟度によって異なります。

特に、資産の探索や脆弱性分析などのアクティビティを自動化する必要があります。 また、組織は完全な侵入テストを定期的に実施することで、自動化テクノロジーと人間の監視を組み合わせる必要があります。
侵入テストのいくつかのビジネス サイクルを完了し、脆弱性を発見した後、実際の攻撃の複雑なシミュレーションに進むことができます。 この段階では、リタイミングは目に見えるメリットをもたらします。 ただし、サイバーセキュリティの基礎が整う前にそれを試みても、目に見える成果は得られません。

ホワイトハット チームは、準備が整っていないシステムを非常に迅速かつ簡単に侵害してしまう可能性があり、得られる情報が少なすぎてそれ以上の行動を取ることができません。 実際の効果を発揮するには、「レッドチーム」が取得した情報を以前の侵入テストや脆弱性評価と比較する必要があります。

侵入テストとは何ですか?

実際の攻撃の複雑な模倣 (レッド チーミング) は、しばしば次の攻撃と混同されます。 侵入テスト (侵入テスト), しかし、XNUMXつの方法は少し異なります。 より正確に言えば、侵入テストはリタイミング手法の XNUMX つにすぎません。

ペンテスターの役割 明確に定義された。 ペンテスターの作業は、計画、情報発見、攻撃、報告という XNUMX つの主な段階に分かれています。 ご覧のとおり、侵入テスターはソフトウェアの脆弱性を探すだけではありません。 彼らはハッカーの立場に立とうとし、システムに侵入すると、本当の仕事が始まります。

彼らは脆弱性を発見し、受信した情報に基づいてフォルダー階層を移動しながら新たな攻撃を実行します。 これが、ペネトレーション テスターと、ポート スキャン ソフトウェアやウイルス検出を使用して脆弱性を見つけるためだけに雇われたテスターとの違いです。 経験豊富なペンテスターは次のことを判断できます。

• ハッカーが攻撃を指示できる場所。
• ハッカーが攻撃する方法。
• あなたのディフェンスはどう動くでしょうか？
• 侵害の可能性のある範囲。

ペネトレーション テストは、アプリケーションおよびネットワーク レベルでの弱点の特定と、物理的なセキュリティ障壁を克服する機会の特定に重点を置いています。 自動テストではサイバーセキュリティの問題が明らかになる可能性がありますが、手動侵入テストでは攻撃に対する企業の脆弱性も考慮されます。

レッドチーム vs. 侵入テスト

侵入テストが重要であることは間違いありませんが、それは一連のリタイミング活動全体の一部にすぎません。 「レッド チーム」の活動には、単にネットワークへのアクセスを獲得することを目的とする侵入テスターの活動よりもはるかに幅広い目標があります。 レッドチームはテクノロジーや組織の人的・物的資産におけるリスクと脆弱性の真のレベルを完全に理解するために深く掘り下げるため、レッドチーム化には多くの人、リソース、時間が必要になります。

さらに、他にも違いがあります。 通常、レッドタイミングは、より成熟した高度なサイバーセキュリティ対策を講じている組織で使用されます (ただし、実際には常にそうであるとは限りません)。

これらの企業は通常、すでに侵入テストを実施し、見つかった脆弱性のほとんどを修正しており、現在、機密情報へのアクセスを再試行したり、何らかの方法で保護を破ったりできる人物を探しています。
これが、レッドタイミングが特定の目標に焦点を当てたセキュリティ専門家のチームに依存する理由です。 彼らは内部の脆弱性をターゲットにし、電子的および物理的なソーシャル エンジニアリング技術の両方を組織の従業員に対して使用します。 ペンテスターとは異なり、レッドチームは攻撃中に時間をかけて、実際のサイバー犯罪者のように検出を避けたいと考えています。

レッドチームのメリット

実際の攻撃の複雑なシミュレーションには多くの利点がありますが、最も重要なのは、このアプローチにより、組織のサイバーセキュリティのレベルを包括的に把握できることです。 一般的なエンドツーエンドの模擬攻撃プロセスには、侵入テスト (ネットワーク、アプリケーション、携帯電話、その他のデバイス)、ソーシャル エンジニアリング (オンサイトでのライブ、電話、電子メール、またはテキスト メッセージとチャット)、物理的侵入が含まれます。 (ロックの破壊、監視カメラのデッドゾーンの検出、警告システムの回避)。 システムのこれらの側面のいずれかに脆弱性がある場合、それらは発見されます。

脆弱性が見つかったら、修正することができます。 効果的な攻撃シミュレーション手順は、脆弱性の発見で終わるわけではありません。 セキュリティ上の欠陥が明確に特定されたら、それらの修正と再テストに取り組む必要があります。 実際、実際の作業は通常、レッド チームの侵入後、攻撃をフォレンジック分析し、見つかった脆弱性の軽減を試みるときに始まります。

これら XNUMX つの主な利点に加えて、レッドタイミングには他にも多くの利点があります。 したがって、「レッドチーム」は次のことができます。

• 主要なビジネス情報資産に対する攻撃に対するリスクと脆弱性を特定します。
• リスクが制限され管理された環境で実際の攻撃者の手法、戦術、手順をシミュレートします。
• 複雑な標的を絞った脅威を検出、対応、防止する組織の能力を評価します。
• セキュリティ部門やブルーチームとの緊密な連携を奨励し、大幅な緩和策を提供し、発見された脆弱性の後に包括的な実践ワークショップを実施します。

レッドチームはどのように機能しますか?

リタイミングの仕組みを理解するための優れた方法は、それが通常どのように動作するかを確認することです。 複雑な攻撃シミュレーションの通常のプロセスは、いくつかの段階で構成されます。

• この組織は、攻撃の目的に関して「レッドチーム」（内部または外部）に同意します。 たとえば、そのような目標は、特定のサーバーから機密情報を取得することである可能性があります。
• その後、「レッドチーム」がターゲットの偵察を行います。 結果として、ネットワーク サービス、Web アプリケーション、社内従業員ポータルなどのターゲット システムの図が作成されます。 。
• その後、ターゲット システム内の脆弱性が検索されます。脆弱性は通常、フィッシングまたは XSS 攻撃を使用して実装されます。 。
• アクセス トークンを取得したら、レッド チームはそれを使用してさらなる脆弱性を調査します。 。
• 他の脆弱性が発見された場合、「レッド チーム」は、アクセス レベルを目標の達成に必要なレベルまで高めるよう努めます。 。
• ターゲットのデータまたは資産へのアクセスを取得すると、攻撃タスクは完了したとみなされます。

実際、経験豊富なレッドチームのスペシャリストは、これらの各ステップを完了するために膨大な数の異なる方法を使用します。 ただし、上記の例から得られる重要な点は、個々のシステムの小さな脆弱性が連鎖すると、致命的な障害につながる可能性があるということです。

「レッドチーム」について言及する場合、何を考慮する必要がありますか?

リタイミングを最大限に活用するには、慎重に準備する必要があります。 各組織で使用されるシステムとプロセスは異なりますが、システムの脆弱性を見つけることを目的とした場合に、レッドタイミングの品質レベルが達成されます。 このため、次のようないくつかの要因を考慮することが重要です。

何を探しているかを知る

まず第一に、どのシステムとプロセスをチェックする必要があるかを理解することが重要です。 おそらく、Web アプリケーションをテストしたいことはわかっていても、それが実際に何を意味するのか、他のシステムが Web アプリケーションと統合されているのかについてはよく理解していません。 したがって、実際の攻撃の複雑なシミュレーションを開始する前に、自分のシステムをよく理解し、明らかな脆弱性を修正することが重要です。

ネットワークを知る

これは前の推奨事項に関連していますが、ネットワークの技術的特性に関するものです。 テスト環境をより適切に定量化できればできるほど、レッド チームの精度と具体性が高まります。

予算を把握する

リッドタイミングはさまざまなレベルで実行できますが、ソーシャル エンジニアリングや物理的侵入など、ネットワークに対するあらゆる攻撃をシミュレートするにはコストがかかる可能性があります。 このため、このような小切手にどれくらいの金額を費やすことができるかを理解し、それに応じてその範囲の概要を説明することが重要です。

自分のリスクレベルを知る

組織によっては、標準的なビジネス手順の一部として、かなり高いレベルのリスクを許容する場合があります。 また、特に規制の厳しい業界で事業を展開している企業の場合は、リスクのレベルを大幅に制限する必要があるでしょう。 したがって、レッドタイミングを実施するときは、ビジネスに実際に危険をもたらすリスクに焦点を当てることが重要です。

レッドチーム: ツールと戦術

正しく実装された場合、「レッド チーム」はハッカーが使用するすべてのツールと手法を使用して、ネットワークに対して全面的な攻撃を実行します。 これには特に次のものが含まれます。

• アプリケーション侵入テスト - クロスサイトリクエストフォージェリ、データ入力の欠陥、脆弱なセッション管理など、アプリケーションレベルでの弱点を特定することを目的としています。
• ネットワーク侵入テスト - 設定ミス、ワイヤレス ネットワークの脆弱性、不正なサービスなど、ネットワークおよびシステム レベルでの弱点を特定することを目的としています。
• 物理的侵入テスト — 実生活における物理的なセキュリティ管理の有効性と長所と短所を確認します。
• ソーシャルエンジニアリング - 人の弱点や人間性を利用することを目的としており、フィッシングメール、電話、テキストメッセージ、そしてその場での物理的な接触を通じて、人々の欺瞞、説得、操作に対する感受性をテストします。

上記はすべてリタイミング コンポーネントです。 これは、人員、ネットワーク、アプリケーション、物理的なセキュリティ制御が実際の攻撃者からの攻撃にどれだけ耐えられるかを判断するために設計された、本格的な多層攻撃シミュレーションです。

レッドチーム化手法の継続的な開発

赤のチームが新しいセキュリティの脆弱性を見つけようとし、青のチームがそれらを修正しようとする実際の攻撃の複雑なシミュレーションの性質により、そのようなチェック方法の継続的な開発が行われます。 このため、最新のリタイミング技術はすぐに廃れてしまうため、最新のリストを作成することが困難です。

したがって、ほとんどのレッドチームは、レッド チーム コミュニティが提供する多くのリソースを使用して、新しい脆弱性について学習し、その脆弱性を悪用することに少なくとも時間の一部を費やします。 これらのコミュニティの中で最も人気のあるものは次のとおりです。

• ペンテスター・アカデミー は、主に侵入テストに焦点を当てたオンライン ビデオ コースのほか、オペレーティング システムのフォレンジック、ソーシャル エンジニアリング タスク、情報セキュリティ アセンブリ言語に関するコースを提供するサブスクリプション サービスです。
• ヴィンセント・ユイ は、実際の攻撃の複雑なシミュレーション方法について定期的にブログを書いている「攻撃的なサイバーセキュリティ オペレーター」であり、新しいアプローチの優れた情報源です。
• 最新のレッドタイミング情報を探している場合は、Twitter も良い情報源です。 ハッシュタグで探せますよ #レッドチーム и #レッドチーム.
• ダニエル・ミースラー は、ニュースレターを作成するもう XNUMX 人の経験豊富なレッドタイミング スペシャリストです。 ポッドキャスト、リード веб-сайт 現在のレッドチームの傾向について多くのことを書いています。 彼の最近の記事には次のようなものがあります。 「紫チームの侵入テストは、赤チームと青チームが失敗したことを意味します」 и 「脆弱性に対する報酬と、脆弱性評価、侵入テスト、および包括的な攻撃シミュレーションをいつ使用するか」.
• デイリースウィッグ は、PortSwigger Web Security がスポンサーとなっている Web セキュリティ ニュースレターです。 これは、ハッキング、データ漏洩、エクスプロイト、Web アプリケーションの脆弱性、新しいセキュリティ テクノロジなど、リタイミングの分野における最新の開発とニュースについて学ぶのに適したリソースです。
• フロリアン・ハンセマン ホワイトハッカー兼ペネトレーションテスターであり、定期的にレッドチームの新しい戦術を取り上げています。 ブログ記事.
• MWR labs は、非常に技術的ではありますが、リタイミングに関するニュースの優れた情報源です。 レッドチームに役立つ投稿を行っています ツールそして彼らの ツイッターフィード セキュリティテスト担当者が直面する問題を解決するためのヒントが含まれています。
• エマド・シャナブ - 弁護士であり「ホワイトハッカー」。 彼の Twitter フィードには、SQL インジェクションの作成や OAuth トークンの偽造など、「レッド チーム」に役立つテクニックが含まれています。
• ミトレの敵対戦術、テクニック、常識 (ATT & CK) は、攻撃者の行動に関する厳選された知識ベースです。 攻撃者のライフサイクルの段階と攻撃者が標的とするプラットフォームを追跡します。
• ハッカーのハンドブック はハッカー向けのガイドで、かなり古いものですが、実際の攻撃の複雑な模倣の中心となる基本的なテクニックの多くをカバーしています。 著者ピーター・キムも ツイッターフィードでは、ハッキングのヒントやその他の情報を提供しています。
• SANS Institute もサイバーセキュリティ トレーニング教材の大手プロバイダーです。 彼らの ツイッターフィードデジタル フォレンジックとインシデント対応に焦点を当て、SANS コースに関する最新ニュースと専門家からのアドバイスが含まれています。
• リタイミングに関する最も興味深いニュースの一部が、 レッドチームジャーナル。 レッド チームとペネトレーション テストの比較などのテクノロジーに焦点を当てた記事や、レッド チーム スペシャリスト マニフェストなどの分析記事もあります。
• 最後に、Awesome Red Teaming は、以下を提供する GitHub コミュニティです。 非常に詳細なリスト レッド チーミング専用のリソース。 これは、初期アクセスの取得、悪意のある活動の実行、データの収集と抽出に至るまで、レッド チームの活動のほぼすべての技術的側面をカバーしています。

「ブルーチーム」とは何ですか？

非常に多くの色とりどりのチームがあるため、組織にどのタイプが必要かを判断するのが難しい場合があります。

レッド チームに代わる XNUMX つのチーム、より具体的にはレッド チームと組み合わせて使用​​できる別のタイプのチームがブルー チームです。 ブルー チームはネットワーク セキュリティも評価し、インフラストラクチャの潜在的な脆弱性を特定します。 しかし、彼女には別の目標があります。 このタイプのチームは、インシデント対応をより効果的にするために、防御メカニズムを保護、変更、再編成する方法を見つける必要があります。

赤チームと同様に、青チームも攻撃者の戦術、テクニック、手順に基づいて対応戦略を立てるために、それらに関する同じ知識を持っている必要があります。 ただし、青チームの任務は攻撃を防御することだけに限定されません。 また、異常で不審なアクティビティを継続的に分析する侵入検知システム (IDS) などを使用して、セキュリティ インフラストラクチャ全体の強化にも取り組んでいます。

「青チーム」がとる手順の一部を次に示します。

• セキュリティ監査、特に DNS 監査。
• ログとメモリの分析。
• ネットワークデータパケットの分析。
• リスクデータ分析。
• デジタルフットプリント分析。
• リバースエンジニアリング;
• DDoS テスト。
• リスク実装シナリオの開発。

赤チームと青チームの違い

多くの組織にとってよくある質問は、赤チームと青チームのどちらを使用するべきかということです。 この問題は、「バリケードの反対側」で働く人々の間の友好的な敵意を伴うことも多い。 実際には、どちらのコマンドも、もう一方がなければ意味がありません。 したがって、この質問に対する正しい答えは、両方のチームが重要であるということです。

赤チームは攻撃しており、青チームが防御する準備ができているかをテストするために使用されます。 場合によっては、青チームが完全に見落としていた脆弱性を赤チームが発見することもあります。その場合、赤チームはそれらの脆弱性を修正する方法を示さなければなりません。

情報セキュリティを強化するには、サイバー犯罪者に対して両チームが協力することが重要です。

このため、どちらか一方のみを選択したり、XNUMX つのタイプのチームのみに投資したりすることは意味がありません。 双方の目標はサイバー犯罪を防ぐことであることを覚えておくことが重要です。
言い換えれば、企業は、実行されたすべての攻撃とチェックのログ、検出された機能の記録を含む包括的な監査を提供するために、両方のチームの相互協力を確立する必要があります。

「赤いチーム」は、模擬攻撃中に実行した操作に関する情報を提供し、青いチームは、ギャップを埋めて見つかった脆弱性を修正するために実行した操作に関する情報を提供します。

両チームの重要性を過小評価することはできません。 継続的なセキュリティ監査、侵入テスト、インフラストラクチャの改善がなければ、企業は自社のセキュリティの状態を認識することはできません。 少なくともデータが漏洩し、セキュリティ対策が十分ではなかったことが痛いほど明らかになるまでは。

紫チームとは何ですか？

「パープルチーム」は、レッドチームとブルーチームを統合する試みから生まれました。 パープル チームは、別個のタイプのチームというよりは概念です。 赤チームと青チームの組み合わせとして見るのが最適です。 彼女は両方のチームを巻き込み、連携できるように支援します。

パープル チームは、一般的な脅威シナリオを正確にモデル化し、新しい脅威の検出と防止方法の作成を支援することで、セキュリティ チームが脆弱性の検出、脅威の検出、ネットワーク監視を改善できるように支援します。

一部の組織では、安全目標、スケジュール、主要な結果を明確に定義する、XNUMX 回限りの集中的な活動のためにパープル チームを採用しています。 これには、攻撃と防御の弱点を認識すること、将来のトレーニングとテクノロジーの要件を特定することが含まれます。

現在勢いを増している別のアプローチは、パープル チームを、サイバーセキュリティ文化の構築と継続的な改善を支援するために組織全体で機能する先見の明のあるモデルとみなすことです。

まとめ

レッド チーミング (複雑な攻撃シミュレーション) は、組織のセキュリティの脆弱性をテストするための強力な手法ですが、使用には注意が必要です。 特に、それを使用するには、十分な量が必要です 情報セキュリティを保護する高度な手段そうでなければ、彼は自分に与えられた期待を正当化できないかもしれません。
レッドタイミングは、存在さえ知らなかったシステムの脆弱性を明らかにし、それらを修正するのに役立ちます。 青チームと赤チームの間で敵対的なアプローチをとることで、本物のハッカーがデータを盗んだり資産に損害を与えたりした場合に何をするかをシミュレートできます。

出所： habr.com