セキュリティ コミュニティは絶えず変化しており、成長し、互いに学び合い、サイバー脅威に対して世界をより適切に配置します。新しいコミュニティの声ブログ シリーズでは、Microsoft Product Marketing Managerナタリア・ゴディラ の創設者であるジェイク・ウィリアムズとの対談レンディション InfoSec.このブログのパート 2 では、Jake が、組織内で赤チームと青チームを構築して発展させる方法について、ベスト プラクティスを共有しています。
ナタリア: 組織がブルー チームを成熟させるためのベスト プラクティスは何ですか?
Jake :何よりもまず、イベント ログにアクセスして確認し、役立つと思われるすべてのログ記録をオンにします。私は現在、フォーチュン 500 の上下でブルー チームと仕事をしており、「これはイベント ログのどこにありますか?」と尋ねます。そして彼らは、「私のエンドポイント検出および応答 (EDR) プラットフォームがそれをキャッチするかもしれないと思う」と言っています。 Windowsはそれをキャッチします。構成されている場合、Windows は話している内容を検出します。これは 100 を超えるイベント ログであり、それらの多くは空であり、データが取り込まれたものはログに記録できる最良のものをログに記録していません。その理由の多くは、ログが大きくなることです。
2 つ目のサイバー セキュリティのベスト プラクティスは、グループ ポリシー オブジェクト (GPO) を使用して、イベント ログのサイズを大幅に増やすことです。セキュリティ イベント ログは 20 メガバイトに固定されていると思います。これを人々に説明する方法は、私はインスタント レスポンダーになったことがないということです。
3 番目に、実際に監査ポリシーを確認します。見に行ってほしい。システム アーキテクトまたはシステム エンジニアであれば、何が利用できるかを知っておく必要があります。監査の観点から何が利用できるかを知らないことは、レストランに行ってメニューを読んでいないのに、「ハンバーガーがあると聞いたので、それを食べます」と言うようなものです。そして、あなたは他に何があり得るのか見当もつきません。メニューを読んでください。利用可能な監査ログを見つけて、それらのサイズを大幅に増やします。
私たちは人々に一方をやらせましたが、他方はしませんでした。数年前、彼らが電話をかけたこの悲痛な事件があり、私は最終的にフライアウェイチームに参加しました.彼らが電話したとき、私たちは「どのような監査を利用できますか?」と尋ねました。オンにしてイベント ログのサイズを大きくするように指示したところ、その 2 つのうちの 1 つが実行されました。私が現場に着いてそのサーバーに入ると、18 秒間のセキュリティ イベント ログがありました。 18秒。彼らがいくつかのものをオンにしたのは素晴らしいことでしたが、同時に、18 秒のアクティビティではなく、一般的なログが必要でした。それはただ悲痛でした。
ナタリア: レッドチームへのガイダンスは何ですか?どのようなベスト プラクティスを検討する必要がありますか?
ジェイク:セクシーになろうとするのはやめて。 Black Hat や ShmooCon などの主要なセキュリティ カンファレンスが開催されるたびに、レッド チームの担当者が戻ってきて、「この非常にクールで非常に素晴らしいテクニックを見た」と言うのです。私は、「攻撃者はそれを使用していますか?」と尋ねます。そして彼らは、「きっとそうなるだろう」と言います。彼らがいるという信頼できる情報が得られたら、その時間を投資します。実際に組織に価値を提供していることを確認し、それが何を意味するのかを理解してください。
2019 年後半、私は大手保険会社に勤務していましたが、彼らの赤チームの規模は青チームの約 3 分の 1 でしたが、これはまったくの間違いでした。 「レポートの例を見せてもらえますか?」と尋ねました。赤チームのリーダーは「いいえ」と言います。私は言いました。私たちは物理的にあなたの本社にいます。」彼は、これらのレポートを経営陣とのみ共有し、経営陣はリスクを理解していると述べました.彼は、彼らがすべてをどのように行っているかを青いチームに伝えれば、すぐに赤いチームを捕まえると言いました.
この演習の最大の成果は、レッド チームのためにレッド チームをやめるにはどうすればよいかということでした。赤チームが青チームに価値を提供している状況をどう変えるか?セキュリティは組織のサービス プロバイダーであり、レッド チームは最終的にブルー チーム(顧客) によって推進される必要があります。赤いチームの目標は、自分たちのエゴのために忍び寄って見つからないようにすることではありません。目標は、脆弱性、パッチの欠落、構成の誤りを特定すること、または監視対象範囲のギャップを見つけることです。そのお客様はブルーチームです。私は、青のチームが赤のチームに任務を課し、「これがあなたから必要なものです」と言っていると考えています。レッドチームのハッキング、セクシー、クールなものは二の次です。
ナタリア: 赤チームと青チームにはどのようなトレーニングをお勧めしますか?
Jake :もし私がブルーチームなら、システムログで何が起こっているかについて最先端を行くつもりです。私はツールよりもテクニックに関心があります。検出の観点から何が利用できますか?ブルーチームのメンバーが外に出て、エクスプロイトを通過する方法、エクスプロイトを実行する方法を理解しようとすることに、必ずしも興味があるわけではありません。レッドチームのようなものです。
赤いチームの場合は、会議に送ります。人々はこれを聞きたがりませんが、レッドチームの経験が 1 年以上ある人にとっては、どのレッドチームのコースよりもカンファレンスの方が効果的です。その理由はネットワークです。あなたはネットワークを作り、これらの非公開の Slack グループやメーリング リストに参加し始めます。誰もが知っている。あなたはそれらの新しい技術について聞くつもりです.私は、正式なトレーニングよりも、ネットワーキングの機会に参加させることを重視しています.
ナタリア: 赤チームと青チームはパンデミック後も何を考え続けると思いますか?セキュリティ業界に長期的な影響を与えるのはどのような変化ですか?
Jake :これは赤チームと青チームの両方に当てはまり、攻撃面を理解することです。これまでのどの年よりも多く見られたのは、サービスとしてのソフトウェア (SaaS) である必要があります。私たちは、国のどの地域に応じて、24 時間または 48 時間から 2 週間まで、在宅勤務に移行しました。いずれにせよ、多くの人々にとって非常に速いので、長期的なセキュリティへの影響を実際に検討することなく、物事を成し遂げるために多くの変更を加えました.
私はすでにクライアントと、私たちが家に帰ったときに彼らがしたことを振り返り、記念する方法について話し合っています. 3 月下旬、私が話をしたほとんどの CISO は、年末になっても自宅にいるとは思っていませんでした。彼らは、これは 1 か月か 2 か月の状況だと考えていたので、1 か月間受け入れる準備ができていたリスクは、私たちが永久に付き合うリスクとは大きく異なって見えます。
ホリデー シーズンのスタンドダウン タイムに入る人々にとって、今こそこれらの変更のいくつかを行う時です。レッドチーム側のもう 1 つの重要な点は、自分の範囲を把握し、範囲を把握し、範囲を把握することです。 Salesforce にデータがあるからといって、Salesforce をハッキングできるわけではありません。レッドチームは、法的に何ができるか、倫理的に何をすべきかを知り、全員がそこに足並みをそろえるようにする必要があります。ブルー チーム側から、Salesforce テナントのセキュリティをどのように評価してもらいたいかを考えます。完全なリモート環境に移行する際に行ったアーキテクチャの変更と、それらのうちのどれだけを再検討する必要があるかを理解することで、これで終わりだと思います。そして答えはそれらの多くです。変更管理の欠如が多くの違反を引き起こしていることは周知の事実だと思います。
ナタリア: 赤と青のチームがサイバーセキュリティを強化するのに役立つ最後の言葉はありますか?
Jake :赤と青の両方が脅威インテリジェンスを使用する必要があります。これは、すべての組織が専任のサイバー脅威インテリジェンス (CTI) アナリストを必要としているという意味ではありません。別の脅威インテリジェンス フィードを購入するという意味ではありません。私が見ているのは、起こりうることではなく、起こっていることを知っていることに基づいて優先順位を付ける必要があることです.これらは2つの非常に異なるものです。私たちに起こりうる悪いことの範囲を見ると、次のように思います。自分の組織と他の組織の両方で、実際に何が起きているのでしょうか?
医療など、別の業界を標的とする脅威について知った場合、注意を払う必要がありますか?答えは明らかにイエスです。そうすべきです。ある業界での大きなプッシュだからといって、それがあなたにもたらされないという意味ではありません.すべての条件が同じであれば、私は自分の業界でより優先順位を付けるつもりですが、他の業界でも何が起こっているかについては、砥石に耳を傾ける必要があります。
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイトをご覧ください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityまたはLinkedInでフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments