レッドチーム演習、ペネトレーションテスト、脆弱性診断などの評価方法はご存じでしょうか。
これらの評価方法は攻撃者の視点に立ち、システムやネットワークを技術的に評価を行い、脆弱性や改善事項をクライアントに報告するお仕事です。
今回はレッドチーム演習に焦点を当てて、レッドチーム演習の内容や侵入スキルの勉強方法について紹介します。
レッドチーム演習とは?
まず、レッドチーム演習の定義を確認します。
レッドチームは、企業の人とネットワーク、アプリケーション、及び物理的なセキュリティ制御に対して、疑似的なサイバー攻撃を実施して、それらの耐性を評価します。
これによって、企業のセキュリティチームが実際の攻撃に直面したときにどれだけ迅速に対応ができるか、またセキュリティ製品がどれだけ有効に機能するかなどを調べることができます。
レッドチーム演習では、評価する対象が3つあり、それぞれの脆弱性とリスクを明らかにすることが可能です。
- 情報システム・・・ネットワーク、アプリケーション、ルータ、スイッチなど
- 人・・・従業員、ビジネスパートナーなど
- 物理・・・オフィス、倉庫、サーバールームなど
レッドチーム演習はこれら3つに対して、ソーシャルエンジニアリング、OSINT、エクスプロイト、侵入、ピッキングなど活用して、脆弱性や防御を強化する方法を発見し、企業のセキュリティ評価を行います。
脅威ベースのペネトレーションテストとは?
よく似たセキュリティ評価の方法として、脅威ベースのペネトレーションテスト(TLPT: Threat-Led Penetration Test)というものがあります。
TLPTとは、脅威インテリジェンスを収集・分析し、実際の攻撃者が企業に対して行うと考えられる攻撃の流れをシナリオとして策定し、それに応じて擬似的なサイバー攻撃を行いセキュリティ評価を行うといった、ペネトレーションテストのよりも現実的(かつ高度)な評価方法となります。
日本では、金融庁が2018年10⽉に『「⾦融分野におけるサイバーセキュリティ強化に向けた取組⽅針」のアップデート』(⾦融庁の報道発表資料、2018年10⽉19⽇)の中で大手金融機関が取り組むべき施策として公表したことにより、ニーズが高まりました。
TLPTとレッドチーム演習は同義と捉えられることもありますが、上記で記載している通り、違う評価方法ということは覚えておいてください。
レッドチーム演習のテスターに必要なスキルとは?
一般的に必要だと考えられるスキル
レッドチーム演習は上記で述べた通り、『情報システム』『人』『物理』に対して、疑似攻撃などを行い、脆弱性の発見やどこまで侵入することが可能なのかを評価します。
そのため、一般的にテスターに求められるスキルはかなり幅広く、一朝一石で習得できるものではありません。
海外のレッドチームに所属する人が書いた記事によると、下記のスキルセットが必要だそうです。
- Development(マルウェアや攻撃/調査ツールの開発)
- Infrastructure(インフラ構築)
- Vulerability Research(マルウェア調査)
- Threat Inteligence(脅威インテリジェンス収集・分析)
- Reverse Engineering(リバースエンジニアリング)
- Detection and Response(検知および対応)
- Technical Writing(報告書作成)
- Networks and Systems(ネットワークとシステム理解)
- Offensive Mindset(攻撃者的な考え方)
- Penetration Testing(侵入スキル)
- Physical Security(物理セキュリティ)
- Training and Devriefing(トレーニング開発)
- Social Engineering(ソーシャルエンジニアリング)
侵入スキルの勉強方法
個人的には1~13の中で、一番最初に勉強すべきものは侵入スキルだと考えています。
これさえあればレッドチーム演習でなくとも、ペネとレーションテスト、TLPTや脆弱性診断に応用することが可能です。
もし、オフェンシブセキュリティの分野が初めてで、何から手をつけたらいいかわからない人は、Hack the Boxが非常におすすめです。
Hack The Boxはペンテストのスキル向上に役立つオンラインプラットフォームです。
脆弱なマシンが何台も用意されているので、まずはそれに対して侵入することを目指し、ツールの使い方や攻撃の考え方に慣れましょう。
その上で、特に、レッドチーム演習ではADに対する侵入スキルが求められます。
ただし、前提としてWindows(やLinux)の侵入スキルが必要となってきますので、OSCPをまずは目指すことがおすすめです。
そこから、ADのハッキング技術に特化した資格であるCRTP(Certified Red Team Professional)やCRTO(Certified Red Team Operator)を目指すのが良いでしょう。
また、実際の攻撃者が行う攻撃手法を体系的に学びたければ、MITRE ATT&CKがおすすめです。
MITREは攻撃者が使う戦術やテクニックを文書化したもので最新の攻撃動向なども含まれます。
実際にはチェックリスト的な利用用途となりますが、レッドチーム演習でも利用されることがあるため、知っておいた方が良いです。
将来的に予想されるレッドチーム演習のあり方
INFOSEC社による下記のレポートで、レッドチーム演習の将来が予想されていました。
レッドチーム演習は将来的に次のような目的で利用されるようになるとのことです。
・規制準拠の実証・・・データコンプライアンス(GDPR, PCI-DSS, SOX, HIPPA)などに準拠し、適切なデータ管理が行われていることを実証する
・ 機械学習の導入・・・実行される反復的なアクティビティ(情報収集→攻撃実施→情報収集→…)を機械学習により自動化することにより、評価の速度、範囲、有効性を向上する
・インテリジェンス主導の評価・・・組織が実際に受ける可能性のある攻撃にフォーカスして、攻撃の再現を行う(TLPTに似ていますねー。)
・人間にフォーカスを当てた評価・・・ソーシャルエンジニアリングを用いて、人に対する評価の実施する
レッドチーム演習に対する個人的な見解
また、個人的な見解としては、昨今『境界型セキュリティ⇒ゼロトラストセキュリティ』に移行したい企業にもレッドチーム演習の需要があると思います。
境界型セキュリティにおいては、ラテラルムーブメント(横展開)が非常に容易であるため、1つの端末の操作権限が得られた場合、簡単にドメイン管理者権限や機密情報の奪取まで到達しやすい環境なのです。
一方でゼロトラストに基づいたセキュリティ・アーキテクチャでは、ユーザやリソースに対して常に必要最小限の権限が与えられるので、万が一ユーザIDやパスワードが窃取され、端末が乗っ取られた場合でも、横展開がしずらく、攻撃による影響範囲を小さく抑えることができます。
このように、ゼロトラストに移行したい際に、既存の境界型セキュリティの問題点を示す材料として、レッドチームの評価結果が有効に機能すると考えています。
コメント