セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。最新の Voice of the Community ブログ シリーズの投稿では、Microsoft 製品マーケティング マネージャーのNatalia Godylaが、Hacker House の共同創設者、CEO、およびライターであるMatthew Hickeyと対談しています。このブログ投稿では、Matthew がパープル チームの利点について語り、成功するチームを構築するためのベスト プラクティスを提供します。
ナタリア: 紫のチームとは何ですか? また、赤と青のチームをどのように橋渡しするのですか?
マシュー:従来の役割には、防御側として機能する青チームと、攻撃側として機能する赤チームが含まれます。青のチームは、ネットワークを保護したいと考えています。赤いチームは、ネットワークの侵害に取り組んでいます。彼らは、青いチームの防御のセキュリティ上の欠点を強調したいと考えています。 2 つのチームは、情報資産を保護し、情報リスクを排除するという同じ目的に常に取り組んでいるとは限りません。それぞれのチームがそれぞれのチームの目的 (1 つは侵害を防止すること、もう 1 つは侵害を成功させること) に焦点を合わせているためです。
パープル チームは、ビジネスに価値を提供するために、ブルー チームとレッド チームを 1 つのチームに統合したものです。紫色のチームが成功すると、通常はテーブルの反対側で働く 2 つのグループの人々が、サイバーセキュリティを一緒に改善するという統一された目標に向けて協力しています。セキュリティテストプロセスから多くの競争力を奪う可能性があります.紫のチームは赤と青のチームに取って代わることができ、小規模な組織では費用対効果が高くなります。大企業の場合は、青のチーム、赤のチーム、紫のチームを検討することをお勧めします。紫色のチームは、組織が直面している攻撃に関する知識の向上と、攻撃を打ち負かすためのより優れた防御の構築の両方に取り組んでいます。
ナタリア: なぜ企業は紫色のチームを必要とするのですか?
マシュー:コンピューターのハッキングは、はるかにアクセスしやすくなっています。インターネット上の 1 人の賢い人がエクスプロイトまたはツールを作成して共有すると、他のすべての人がそのプログラムをダウンロードして使用できるようになります。高い参入障壁はありません。 SQL インジェクション攻撃を悪用し、企業の評価額から数百万ドルを奪う高校生がいます。ハッキング情報はより広く拡散されるため、システムを防御する人々がよりアクセスしやすくなります。攻撃者の行動を理解し、それらの行動をモデル化する方法も大幅に改善されました。たとえば、 MITRE ATT&CK フレームワークは、攻撃者の行動とその動作をシミュレートするために、ほとんどのレッド チームによって活用されています。
赤と青のチームが紫のチームとして協力すると、MITRE ATT&CK などのフレームワークに対する単体テストと同様の方法で評価を実行し、攻撃者の行動に関するこれらの洞察を使用して、ネットワークのギャップを特定し、重要な資産の周りにより良い防御を構築できます。 .攻撃者の手法を採用し、システムと連携してより包括的な評価を構築すると、攻撃者にはない利点が得られます。これらの利点は、ビジネス インテリジェンスと人材からもたらされます。
ナタリア: すべてを 1 つのチームにまとめるメリットは何ですか?
マシュー:紫色のチームの利点には、スピードとコストの削減が含まれます。通常、紫色のチームは内部リソースとして構築されるため、外部の専門家にアドバイスを求めることを減らすことができます。メールでアラートを受け取った場合、紫色のチームはそれらをかき分けて、次のように言うことができます。これを修正する必要があります。」数週間から数か月続く本格的なシミュレートされたエンゲージメントを定期的に実行するのではなく、フレームワークに対する特定の攻撃者の動作と機能を継続的に単体テストすることも、多くの企業にとって大幅な時間の短縮になります。
レッド チームは、最高のフィッシング攻撃を構築したいと考えて不意を突かれることがよくあります。青いチームは、コントロールが正しく機能していることを確認したいと考えています。紫色のチームは、お互いに透明性が高く、専門知識と脅威の理解を共有しているため、より短い時間枠でより多くのことを達成できます。プロセスとプラクティスが効果的であることを確認するために、1 つのチームが暗闇の中に置かれる、シミュレートされたシナリオ駆動型の演習の世界をときどき掘り下げる必要があります。
ナタリア: 紫のチームはどのようにセキュリティ保証を提供しますか?
マシュー:サイバーセキュリティの保証とは、サーバー、アプリケーション、またはサポートする IT インフラストラクチャなど、ビジネスにとっての情報リスクが何であるかを理解するプロセスです。保証作業とは、基本的に、システムが組織にとって快適なレベルのセキュリティまたはリスク管理を備えているかどうかを実証することです。 100%間違いのないシステムは世界にありません。予期しない攻撃が常に発生します。保証プロセスは、攻撃をより複雑にし、攻撃者がやってのけるのにコストがかかるようにすることを目的としています。多くの攻撃者は日和見主義であり、抵抗に遭遇するとより簡単なターゲットに移動することが多く、強い抵抗は紫色のチームから来ます。紫のチームは、典型的にはサイロ化されたチーム間で共有される可視性と洞察を高めることにより、構築したものが最新のネットワークの脅威に耐えるのに十分な回復力があるというレベルの保証を提供するために使用されます。
ナタリア: パープル チームを成功させるためのベスト プラクティスは何ですか?
マシュー:ゼロデイ エクスプロイトの専門家や世界最高のプログラマーである必要はありませんが、サイバーセキュリティのコア コンピテンシーと、攻撃者がどのように振る舞うか、侵入テストがどのように構成されているかなどの基本的な基本事項を理解している必要があります。どのツールを何に使用し、どのようにファイアウォールまたはイベント ログを確認するか。パープル チームは、マルウェアをレビューしてその目的を理解し、エクスプロイトをレビューしてその影響を理解し、nmap や mitmproxy などのツールを使用して脆弱性をスキャンできる必要があります。また、イベント ログを解釈し、ハッキングの攻撃側をファイアウォール ルールやポリシーの適用などの防御に変換する方法も理解する必要があります。人々は私のところに来て、こう言います。インターネット制御メッセージ プロトコル (ICMP) の送信をブロックします。」
ハッカーを雇って紫色のチームに参加させることは以前はタブーでしたが、ハッカーは優れた防御者になることがよくあります。ハッキングは問題解決の考え方であるため、ハッキングを受け入れてください。情報はそこにあり、攻撃者はすでにそれを知っています.あなたもそれを知っているかもしれないので、ハッカーを雇ってください。ハッカーの行動がいかに有益であるかを説明する際に、ハッカーはインターネットに対する免疫システムであると人々が言うのを聞いたことがあります。ハッカーはそこで何が起こっているかを追っていて、攻撃を見てこう言う人になるでしょう。この新しい 9.8 CVSS スコアリングの脆弱性は 2 時間前に発生したため、パッチを適用することをお勧めします。攻撃者はこれに非常に迅速に対応するでしょう。」コンピュータへの侵入は段階的に行われ、論理的なプロセスです。攻撃者は鎧の弱点を見つけます。彼らは鎧に別の弱点を見つけました。彼らはそれら2つを組み合わせます。彼らはいくつかのソースコードにアクセスできます。システムから資格情報を取得します。彼らは次の星系に飛び乗ります。攻撃者が行っていることのワークフローを理解すると、どのシステムがホスト侵入、強化された監視、およびその理由を必要とするかをよりよく理解できるようになります。ハッカーは、組織としてのリスクを処理し、チームがどの脅威に対処する必要があるかについての洞察を提供できます。
ナタリア: マネージャーは、紫色のチームのトレーニングと教育のニーズをどのようにサポートする必要がありますか?
マシュー:従業員が適切なトレーニングを受け、仕事に適したツールを使用できるようにするのは難しい場合があります。博覧会のフロアを歩いていくと、ファンシーな照明を備えた何百ものボックスと、100 万の製品ポートフォリオがあります。その博覧会会場からすべてのボックスを購入することもできますが、そのボックスがどのように機能するかを操作し、そのデータを解釈する適切な人がいなければ、何の役にも立ちません.ネットワーク上で何が起こっているかについての目と耳であるため、人々はいくつかの点でテクノロジよりも重要です。リスクの高いアラートを 50 回送信するシステムがあり、誰もそれらのアラートを受信して反応していない場合は、ライトが点滅する高価なボックスを手に入れただけです。
紫色のチームに誰かを雇っている場合は、彼らが会議に出席したり、業界の同業者とネットワークを組んだり、トレーニングや教育に投資したりできるようにサポートされていることを確認してください。彼らが学び、より多くの洞察にさらされるにつれて、常により良い結果が得られ、従業員もより価値があると感じるようになります.敵対的な行動と、コンピューター ハッキングを使用して企業に確実な結果を提供する方法について知りたい場合は、 ハンズオン ハッキング: 何を期待できますか? をお読みください。ハッカーハウスによる。
もっと詳しく知る
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments