Purple team

Picus Securityのセキュリティ・リサーチ・エンジニア、Sila Ozeren Hacioglu氏。

多くの組織では、レッド・チームとブルー・チームがサイロの中で仕事をしており、通常は互いに対立している。オフェンスは侵入することに誇りを持ち、ディフェンスは戦線を維持するためにできることをしている。

しかし往々にして、両チームの努力は中間でかみ合わず、ノイズを生み出している。レッド・チームは演習を実施し、調査結果を公表し、次に進むが、ブルー・チームは検証されていない脆弱性アラートとルールで溢れかえる。これは進歩のように見えるかもしれないが、そうではない。オフェンスは一度ギャップを特定すれば、ディフェンスは基本的に盲目的に、毎日毎日戦うことになる。

パープル・チーミングはこの方程式を塗り替える。赤と青を競争させるためではなく、協力させ、テストを共有のプロセスに変え、検証を測定可能な証拠に変えるのだ。

このコラボレーションをより価値あるものにする鍵が、リアルタイムで継続的な検証を可能にするBreach and Attack Simulation(BAS)である。

なぜなら真実はこうだからだ。攻撃者は防御が調整できるよりも速く進化し、継続的な検証によってのみギャップを埋めることができる。

パープル・チーミングはカラーホイールではない。

パープル・チーミングは「より友好的なレッド・チーミング」ではない。根本的により効果的なワークフローであり、あらゆる攻撃的な実行を継続的に防御的な改善につなげるものだ。ワークフローは次のようになる:

  • レッドチームが攻撃する。敵対勢力を正確にエミュレートし、防御がどこに留まるか、あるいはどこに道を譲るかを明らかにする。

  • 青は対応する。どのコントロールが発砲し、どのコントロールが沈黙を守るか、そしてその理由を追跡する。

  • そして、ギャップが埋まるまで、修正、再実行、改良を繰り返す。

色ではなく、このループこそがチームを真の紫にするのだ。

先日のBASサミットで、SANSのプリンシパル・インストラクターであるクリス・デールはこう言った:

「赤対青という構図はやめてほしい。私は収束を望んでいる。私は収束を望んでいる。

パープル・チーミングは、その収束を現実のものにする。

ライバル関係をコラボレーションに置き換えることで、パープル・チーミングはテストを検証と改善の継続的なサイクルに変える。スピードと正確さが生き残りを左右するこの分野では、これは単に良い考え方というだけでなく、唯一の論理的な前進なのだ。

マニュアルはもういらない:BASが継続的なパープル・チーミングを可能にする方法

手作業でのパープル・チーミングは時間がかかる。

新しい敵のキャンペーンが始まるたびに、スクリプトの作成、ステージング、チューニングに何時間もかかる。キルチェーンの準備が整う頃には、新しいキャンペーンがすでに進行中で、あなたの組織はすでに公的な報告書に登場しているかもしれません。

このようなタイムラグを解消し、従来は進捗を遅らせたり停止させていた手作業を自動化することができます。BAS:

  • MITRE ATT&CKフレームワークにマッピングされた TTP を使用して、実際の敵対者を継続的にシミュレートします。

  • シミュレートされたペイロードを実際のコントロールに対して安全に実行します。

  • 予防、検知、対応の有効性を即座にスコア化します。

自動化は人間の創造性に取って代わるものではなく、それを増幅し、より迅速で正確な検証を可能にします。

Picusの共同設立者兼CTOであるVolkan ErtürkがBASサミットで強調したように、「BASは現代のセキュリティの電圧テストであり、スタックに電流を流して、何が保持されるかを確認するものです。

BASによって、パープル・チーミングは一過性のイベントではなく、生産的なリズムとなる。攻撃する。観察する。修正する。検証する。繰り返す。

a.fl_button { background-color:#border:1px solid #3b59aa; color:#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin:4px 2px; cursor: pointer; padding:12px 28px; } .fl_ad { background-color:#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border:1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color:color: #333; line-height: 24px; font-family:font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding:10px 0 10px 10px; } .fl_rig { padding:10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding:0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

パープル・チームを時折ではなく、継続的にする

Picus Security Validation Platformがどのように継続的なパープルチーミングを支援するかをご覧ください。

実際の敵のシミュレーションを自動化し、すべてのコントロールを検証し、レッドチームとブルーチームのコラボレーションを実証済みの防御力に変えます。

デモを見る

重要な戦いを選ぶ

コンプライアンスのチェックリストでリードしてはいけません。実際に燃えるものから始めましょう。

敵対者が貴社の至宝にアクセスするために使用するであろう、現実的でインパクトの大きい攻撃経路に焦点を当てます:

  • 内部偵察 → 権限昇格 → 横断移動(WMI、PsExec) → 永続化(レジストリ、スケジュールされたタスク) → データ流出 → 暗号化とバックアップの改ざん(シャドーコピーの削除など)。

ファイアウォール、WAF、メールゲートウェイ、IPS/IDS、EDR/XDRなど、攻撃を阻止または検知するためのコントロールに攻撃の連鎖をスコープし、BASでシナリオを安全に実行し、予防、検知、対応を測定する。

スタックを見る

  • 何が成功したのか?– これらのコントロールは機能しました。

  • 黙っているのは? – これを最優先の改善策とする。

  • 行動/技術ではなくシグネチャで警告したものは?– これはノイズである。検出が技術に対応するように再調整する。

検証された優先順位に基づいてループを閉じる

BASが実行する攻撃シミュレーションはすべてエビデンスを生成し、発見されたギャップに即座に対処できるようにします。

このようにして、予防と検知の両方をすり抜けたものに優先順位をつけることができます。これらは、防御がブロックまたは検知できなかった真のリスクです。

同様に、既存のコントロールがすでに緩和している脆弱性の優先順位を下げることもできます。CVSSクリティカルな脆弱性のすべてにパッチを当てる必要はありません。

残っているすべてのギャップを調べ、3つの要素で評価する:

  • 影響度:悪用された場合の被害はどの程度か?

  • 検出可能性:既存のツールでどれだけ簡単に検出できるか?

  • ビジネス・コンテキスト:この暴露はあなたの環境のどこに位置し、悪用された場合どのような資産に影響するか?

今日の複雑な環境では、すべてを一度に修正することは、不可能ではないにしても、現実的ではありません。まず最も重要なギャップ、つまり実際の侵害につながる可能性が最も高く、最も検出されにくいギャップに焦点を当てましょう。

このプロセスにより、暴露から対応までのループを短縮することができる。

量ではなく現実を測定する

何が本当に改善されたかに焦点を当てる:

  • BAS 導入前と導入後の検出までの時間

  • 修正を検証し、その有効性を確認するまでの平均時間

  • 検知され、防止されたTTP(戦術、技術、手順)の割合

これらの指標は、レッドチームとブルーチームのコラボレーションが真に進捗を促しているのか、それとも単なる作業に終始しているのかを示してくれる。

サター・ヘルス社のオフェンシブ・セキュリティ&スレット・インテリジェンス・リーダー、ハイメ・ロドリゲス氏はこう言う:「これは、いつでもどこでも実行できる継続的な検証のループです。

ゴールは、単にそのために攻撃を実行することではない。暴露と保証のギャップを埋めることで、実際の防御が継続的に検証され、セキュリティ目標に沿ったものであることを保証するのです。

AIの活用は慎重に

AIは現在、脅威レポートを素早く読み取り、完全なエミュレーション計画を数分で生成することができる。

これは大きな飛躍ですが、大きなリスクも伴います。Volkan Ertürk氏は、「大規模モデル(LLM)にペイロードの構築を依頼すると、間違ったシミュレーションを実際に行ってしまうかもしれません」と警告している。

よりスマートなアプローチとは

  • AIを使って脅威インテリジェンスを解析し、TTPにマッピングする。

  • 安全性と品質のために、ペイロードをBASライブラリで管理・更新する。

  • 実行前に必ずチームで計画を確認すること。

AIは人間の判断を代替するものではなく、支援するものであるべきだ。AIは計画を立案することができるが、セキュリティ・チームは何が実行しても安全かを判断する必要がある。

そうすることで、AIは従来の48時間のマッピング・サイクルを不要にし、セキュリティ・チームが手作業で含まれる脅威をマッピングする必要がなくなります。

成功を再考する

レッドチームがいまだに「ドメイン管理者達成」を測定しているのであれば、おめでとうございます。
青チームがまだ「アラート発射」を祝っているのなら、あなたはまた、過去に危険な生活を送っていることになります。

今日、成功は各スプリントから得られる継続的な証明によって測られる:

  • どのTTPが模倣されたか?

  • どの検知を調整したか?

  • どの修正が再検証されたのか?

セキュリティの成熟度とは、導入したツールの数ではなく、それらが機能することをどれだけ頻繁に検証するかということなのだ。

報酬:継続的な信頼

数カ月に及ぶBAS-poweredのパープルチーミングの後、私たちはいくつかの根本的で劇的な変化を目の当たりにした:

  • チームは仮想リスクについて議論しなくなった。

  • チームは仮説上のリスクについて議論することもなく、経営幹部は必要なデータをすでに入手しているため、保証レポートを要求することもない。

  • すべてのパッチ、すべての緩和策、すべてのルールには、テストされ、検証され、証明された具体的な理由がある。

この時点で、継続的な検証はごく自然に行われるようになり、チームのセキュリティに対する考え方が根本的に変化する。

クリス・デールの基調講演は、力強いステートメントを残した:「セキュリティは侵害された時点で失敗するのではなく、影響を与えた時点で失敗する。

BAS主導のパープル・チーミングは、思い込みや希望ではなく、防御を厳密にテストし、真実を明らかにし、チームが行動できるようにすることで、その影響を防ぐために構築されています。

脅威中心のパープルチーミングを 採用し、現実的な敵の行動に対する準備態勢を検証し、暴露と保証の間のループを閉じるために、今すぐデモをリクエストしてください。

Picus Securityがスポンサーとなり、執筆しました。