所要時間:5分
このブログ投稿は、IBM Security Randriチームによる「レッド・チーミングについて知っておくべきこと」シリーズの一部です。Randoriプラットフォームは、攻撃対象領域管理(ASM)と継続的な自動レッド・チーミング(CART)を組み合わせて、セキュリティー体制を強化します。
「どのような戦闘計画も敵と遭遇した後は手直しせざるを得ない」と軍事理論家のヘルムート・フォン・モルトケ氏は書いています。彼はただ1つの戦闘計画ではなく、複数の戦闘オプションを策定しておくべきだという信念の持ち主でした。今日、サイバーセキュリティー・チームはこの教訓を厳しい経験を通して学び続けています。IBM Security X-Forceの調査によると、攻撃者の動きが高速化したことにより、ランサムウェア攻撃の実行時間は過去数年間で94%減少しました。以前は数カ月かかっていたことが、今ではわずか数日でできるようになりました。
脆弱性を排除し、レジリエンスを向上させるには、脅威アクターが行動する前にセキュリティー運用をテストする必要があります。レッド・チーム・オペレーションは、おそらくそのための最良の方法の1つです。
レッド・チーミングとは、組織を攻撃対象として見ることで防御側のバイアスを排除し、サイバーセキュリティーの有効性をテストするプロセスと定義できます。
レッド・チーミング演習とは、倫理感のあるハッカーが組織から許可を得て、その組織のシステムに対して実際の攻撃者の戦術・技術・手順(TTP)を模倣して攻撃を仕掛けることです。
これは、組織がITセキュリティーのギャップや弱点を積極的に特定して修正するために使用可能なセキュリティー・リスク評価サービスです。
レッド・チームは、攻撃シミュレーション手法を活用します。高度な攻撃者の行動(または高度な持続的脅威)をシミュレートし、組織のスタッフやプロセス、テクノロジーが特定の目的を達成することを狙った攻撃にどの程度抵抗できるかを判断します。
脆弱性評価とペネトレーション・テストは、ネットワーク内のすべての既知の脆弱性を調査し、それらのエクスプロイト方法をテストすることを目的とした2つのセキュリティー・テスト・サービスです。つまり、脆弱性評価とペネトレーション・テストは技術的な欠陥を特定するのに役立ち、レッド・チーム演習は全体的なITセキュリティー体制の状態についての実用的な洞察を提供します。
レッド・チーミング演習を実施することで、組織は防御が実際のサイバー攻撃にどの程度耐えられるかを確認できます。
IBM Security Randriの製品およびハッカー・オペレーション・センター担当副社長であるEric McIntyre氏は次のように説明しています。「レッド・チーム・アクティビティーを行うと、防御機能が働き始める前に攻撃者がネットワークにどの程度侵入するかを示すフィードバック・ループを確認できます。言い換えればそれは、攻撃者が防御の穴を見つける場所であり、組織側には防御を改善できる場所でもあります。」
管理やソリューション、さらにはスタッフに関して、何が機能し、何が機能していないかを把握する効果的な方法は、それらを懸命に挑んでくる敵対者と対決させることです。
レッド・チームは、組織の総合的なサイバーセキュリティー・パフォーマンスを評価するための強力な方法となります。これにより、貴社も他のセキュリティー・リーダーも、組織の安全性を現実的に評価できるようになります。レッド・チームは次のようにビジネスをサポートします。
IBM Securityの専門家からのわかりやすく、インパクトのある洞察を入手してください。最新のサイバー脅威と戦うためのスマートなストラテジーと貴重な専門知識をメールで直接お受け取りになれます。
IBM® Security Randori Attack Targetedについて詳細はこちら
ペネトレーションテスト
レッドチーミング
目的
エクスプロイト可能な脆弱性を特定し、システムにアクセスします。
現実世界の敵をエミュレートして、特定のシステムまたはデータにアクセスします。
期限
短い:1日から数週間。
長期:数週間から1カ月以上。
ツールセット
市販のペネトレーション・テスト・ツール。
カスタム・ツールやこれまで知られていなかったエクスプロイトを含む、幅広いツール、戦術、テクニック。
認識
防御側はペネトレーション・テストが行われていることを知っています。
防御側はレッド・チーム演習が進行中であることに気づいていません。
脆弱性
既知の脆弱性。
既知および未知の脆弱性。
スコープ
テスト対象は、ファイアウォールの構成が有効かどうかなど、絞り込まれて事前に定義されています。
テスト対象は、機密データの流出など、複数のドメインにまたがることがあります。
テスト
セキュリティー・システムは、ペネトレーション・テストで独立してテストされます。
レッド・チーム演習では複数のシステムが同時に対象にされます。
侵害後のアクティビティー
ペネトレーション・テスターは、侵害後のアクティビティーには関与しません。
レッド・チームは、侵害後のアクティビティーに対応します。
目標
組織の環境を侵害します。
本物の攻撃者のように行動し、データを窃取してさらなる攻撃を仕掛けます。
成果
エクスプロイト可能な脆弱性を特定し、技術的な推奨事項を示します。
全体的なサイバーセキュリティー体制を評価し、改善のための推奨事項を提示します。
レッド・チームは、現実世界の攻撃者が使用するツールや手法を模倣して組織のセキュリティーをテストする、攻撃的なセキュリティーの専門家です。レッド・チームは、検知を避けながらブルー・チームの防御を回避することを試みます。
ブルー・チームは、レッド・チームのメンバーを含む攻撃者から組織を守る内部ITセキュリティー・チームであり、組織のサイバーセキュリティーの向上に常に取り組んでいます。その日常業務には、システムの侵入の兆候の監視やアラートの調査、インシデントへの対応などが含まれます。
パープル・チームは実際にはまったくチームではなく、むしろレッド・チームのメンバーとブルー・チームのメンバーの間に存在する協力的なマインドセットのことです。レッド・チームとブルー・チームのメンバーはどちらも組織のセキュリティーの向上に取り組んでいますが、必ずしも互いの洞察を共有するとは限りません。パープル・チームの役割は、2つのチーム間の効率的なコミュニケーションとコラボレーションを促進し、両チームと組織のサイバーセキュリティーを継続的に改善できるようにすることです。
レッド・チームは、なるべく現実世界の攻撃者が採用しているのと同じツールとテクニックを使用するようにします。ただし、サイバー犯罪者とは異なり、レッド・チームのメンバーは実害を引き起こすことはなく、むしろ組織のセキュリティー対策の欠陥を明らかにします。
レッド・チーミングの一般的なツールやテクニックには、以下のようなものがあります。
レッド・チームはレジリエンスの中核的な推進力ですが、セキュリティー・チームにとって深刻な課題となる可能性もあります。最大の課題の2つは、レッド・チーム演習の実施にかかるコストと時間です。これは、一般的な組織では、レッド・チームの取り組みはせいぜい定期的に行われる傾向があり、組織のサイバーセキュリティーについての洞察はある時点でしか得られないことを意味します。問題は、テスト時点ではセキュリティー体制が強力であっても、そのまま維持できるとは限らないということです。
リアルタイムで継続的に自動テストを実施することが、攻撃者の視点から組織を真に理解する唯一の方法です。
IBM Security Randoriは、Randori Attack Targetedと呼ばれるCARTソリューションを提供しています。このソフトウェアを使用すると、組織は社内のレッド・チームのようにセキュリティー体制を継続的に評価できます。これにより、企業は防御を正確かつ積極的に、そして最も重要なこととして継続的にテストして、レジリエンスを構築し、何が機能し何が機能していないかを確認できます。
IBM Security Randri Attack Targetedは、組織の社内レッド・チームの有無にかかわらず機能するように設計されています。世界有数の攻撃セキュリティー専門家からのサポートを受けているRandri Attack Targetedによって、セキュリティー・リーダーは防御の実行状況を可視化でき、中規模の組織でもエンタープライズ・レベルのセキュリティーを実現できます。
レッド・チームがビジネスのセキュリティー体制の向上にどのように役立つかについての次回の投稿にご期待ください。