レッド・チーミングとは、サイバーセキュリティーの有効性をテストするためのプロセスで、倫理的ハッカーが非破壊的なサイバー攻撃をシミュレートします。模擬攻撃は、組織がシステムの脆弱性を特定し、セキュリティー・オペレーションに的を絞った改善を行うのに役立ちます。
今日、サイバー攻撃がかつてないほど速く進行しています。IBM X-Force Threat Intelligence Indexの調査では、ランサムウェア攻撃の実行にかかる時間は、過去数年間で94%短縮され、2019年の68日から、2023年には4日未満となっています。
レッド・チーム・オペレーションにより、組織は脅威アクターに悪用される前に、プロアクティブにセキュリティー・リスクをに発見、理解、修正することができます。レッド・チームは敵対者の視点でみます。これにより、実際の攻撃者に悪用される可能性が最も高いセキュリティー上の脆弱性を特定することができます。
レッド・チーミングのプロアクティブで敵対的なアプローチにより、セキュリティー・チームは、サイバー脅威の高まりに直面しても、セキュリティー・システムを強化し、機密データを保護することができます。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
レッド・チーミングは、セキュリティー・エキスパートが実際の攻撃者の施策、技術、手順(TTP)を模倣する倫理的ハッキングの一種です。
倫理的なハッカーは悪意のあるハッカーと同じスキルを持ち、同じツールを使用しますが、その目標はネットワーク・セキュリティーを強化することにあります。レッド・チームのメンバーやその他の倫理的ハッカーは、厳格な行動規範に従います。ハッキングする前に組織から許可を得て、ネットワークやそのユーザーに実際の損害を与えることはありません。
レッド・チームは攻撃のシミュレーションを用いて、悪意のあるハッカーがどのようにシステムに損害を引き起こすかを理解します。レッド・チーミングの演習中、レッド・チームのメンバーは現実世界の敵対者であるかのように行動します。さまざまなハッキング手法、脅威エミュレーション・ツールやその他の策略を活用して、高度な攻撃者や高度な持続的脅威を模倣します。
これらのシミュレートされた攻撃は、組織のリスク管理システム(人、プロセス、テクノロジー)がさまざまな種類のサイバー攻撃にどの程度抵抗・対応できるかを判断するのに役立ちます。
レッドチームの演習では通常、時間制限を設けます。テストは、数週間から1か月以上続く場合があります。通常はは、公開情報、オープンソース・インテリジェンス、アクティブな偵察などのターゲット・システムの調査から始まります。
次に、レッドチームはシステムの攻撃対象領域のさまざまなポイントに対してシミュレート攻撃を開始し、さまざまな攻撃ベクトルを模索します。一般的なターゲットには以下が含まれます。
レッド・チームは、シミュレートした攻撃中に、システムの防御者であるブルー・チームと対決することがよくあります。レッド・チームは、ブルー・チームの防御を回避しながら、その方法に注目します。さらに、レッド・チームは、発見した脆弱性とそれを悪用して何ができるかを記録します。
レッド・チーミング演習の最後に、レッド・チームはITチームおよびセキュリティー・チームと会って、調査結果を共有し、脆弱性の修復に関する推奨事項を作成します。
レッド・チームの活動では、現実世界の攻撃者が組織のセキュリティー対策を調査する際に使用するのと同じツールとテクニックを使用します。
レッド・チーミングの一般的なツールやテクニックには、以下のようなものがあります。
レッド・チームは組織のセキュリティー体制を強化し、レジリエンスを促進するのに役立ちますが、セキュリティー・チームに深刻な課題をもたらす可能性もあります。最大の課題の2つは、レッド・チーム演習の実施にかかるコストと時間です。
これは、一般的な組織では、レッド・チームの取り組みはせいぜい定期的に行われる傾向があり、組織のサイバーセキュリティーについての洞察はある時点でしか得られないことを意味します。問題は、テスト時点ではセキュリティー体制が強力であっても、そのまま維持できるとは限らないということです。
継続的自動レッドチーム(CART)ソリューションを活用することで、組織はリアルタイムでセキュリティー体制を継続的に評価できます。CARTソリューションは、オートメーションにより資産を検出し、脆弱性に優先順位を付け、業界のエキスパートによって開発・保守されているツールとエクスプロイトを使用して攻撃を実行します。
CARTはプロセスの多くの部分を自動化することで、レッド・チーミングをより行いやすくし、セキュリティー担当者に興味深い斬新なテストに集中してもらえるようになります。
レッド・チーミング演習は、組織がシステムに対する攻撃者の視点を得るのに役立ちます。この視点により、組織の防御が実際のサイバー攻撃にどの程度耐えられるかを確認することができます。
シミュレートされた攻撃では、セキュリティー管理、ソリューション、さらには担当者を専用の非破壊的な敵対者と戦わせることで、何が機能しており、何が機能していないかを判断します。レッド・チーミングにより、セキュリティー・リーダーは組織の真の安全性を評価することができます。
レッド・チームは、組織を次の側面から支援します。
レッド・チーム、ブルー・チーム、パープル・チームは連携して、ITセキュリティーの向上に向けて取り組みます。レッド・チームは模擬攻撃を行い、ブルー・チームは防御側の役割を果たし、パープル・チームは両者の連携を促進します。
レッド・チームは、現実世界の攻撃者が使用するツールや手法を模倣して組織のセキュリティーをテストする、攻撃的なセキュリティー担当者です。レッド・チームは、検知されることを避けながらブルー・チームの防御を回避することを試みます。チームの目標は、データ侵害やその他の悪意のあるアクションが特定のシステムに対して、どのように成功する可能性があるかを理解することです。
ブルー・チームは、レッド・チームを含む攻撃者から組織のシステムと機密データを守る社内のITセキュリティー・チームです。
ブルー・チームは、組織のサイバーセキュリティーの強化に常に取り組んでいます。日常業務には、システムの侵入の兆候の監視やアラートの調査、インシデントへの対応などが含まれます。
パープル・チームは個別のチームではなく、レッド・チームとブルー・チームの間で行われる協力的な共有プロセスです。
レッド・チームとブルー・チームのメンバーはどちらも組織のセキュリティーの向上に取り組んでいますが、パープル・チームの役割は、両チーム間および利害関係者との効率的なコミュニケーションとコラボレーションを促進することです。
パープル・チームは多くの場合、緩和戦略を提案し、チームと組織のサイバーセキュリティーの継続的な改善を支援します。
レッドチーム演習とペネトレーション・テスト(「ペン・テスト」とも呼ばれます)は、システムのセキュリティーを評価するための別の方法ですが、重複する部分があります。
ペネトレーション・テストでは、レッド・チーミングと同様に、ハッキング手法を駆使して、システム内の悪用可能な脆弱性を特定します。主な違いは、レッド・チーミングはよりシナリオ・ベースであることです。
レッド・チーム演習は、特定の期間内に行われることが多く、攻撃側のレッド・チームと防御側のブルーチームを戦わせることがよくあります。目標は、現実世界の敵の行動を模倣することです。
ペネトレーション・テストは、従来のセキュリティー・アセスメントに似ています。ペネトレーション・テストの実施者は、システムまたは資産に対してさまざまなハッキング手法を使用して、どの手法が機能し、どの手法が機能しないかを確認します。
ペネトレーション・テストは、組織がシステム内の悪用可能な脆弱性を特定するのに役立ちます。レッド・チームは、防御対策やセキュリティー制御を含むシステムが、現実世界のサイバー攻撃のコンテキストにおいて、どのように機能するかを理解するのに役立ちます。
ペン・テストとレッド・チーミングは、倫理的ハッカーが組織のセキュリティー体制を強化するのに役立つ2つの方法に過ぎません。倫理的ハッカーは、脆弱性評価、マルウェア分析、その他の情報セキュリティー・サービスを提供することもできます。