レッドチームの攻撃により潜在的な脆弱性に対策
潜在する脆弱性に対するサイバー攻撃
サイバー攻撃に対して倫理的な観点から攻撃者に対する反撃ができなません。例外的に国や法制度の違いで可能なこともあります。
先手必勝、では困る。攻撃者の優位性
普通の通信化攻撃者からの通信かを判別することは大変難しいです。
セキュリティ対策は常に先手有利で、攻撃側の都合で攻撃は開始され防御側は攻撃を中断できません。そして攻撃者は反復的に攻撃でき、脆弱性を把握するなどし攻撃能力の向上が可能です。
防御側は常に受け身となり非常に不利な状況となりえます。
脆弱性の検出と追加
本来システムは様々なモジュールが結合し、それらは脆弱性を持たないよう設計構築されており、既知の脆弱性は常に修正され排除していると思われます。
しかしシステムの成長・拡大により折角それまで脆弱性を排除したシステムに、新たな脆弱性を取り込んでしまうことがありえます。脆弱性のないシステムは機能追加や改修がないシステムであれば実現可能ですが、現実的にはあまりないと思われます。
サイバー攻撃と防御
サイバー攻撃とは脆弱性を攻撃するものです。それに対する防御は攻撃される前に脆弱性をなくすこととなります。
防御側が行う防御の概念はサイバー攻撃の防御は攻撃される前に脆弱性をつぶすこととなります。定型的な対応では既知の脆弱性にしか対応できないため、未知の脆弱性に対応するためにレッドチームを利用するという手法があります。
で、レッドチームって?
セキュリティ脆弱性を検証するための攻撃役で、高いサイバーセキュリティを必要とする軍隊や諜報機関に設置されています。セキュリティ専門企業に設置されていることもあります。
ブルーチームは実際にサービスのセキュリティを担当し、サイバー攻撃に対応する防御側です。
ペネトレーションテスト
侵入・貫通テストのことです。Web開発において結合試験を貫通試験と呼ぶことがりあますが、それに準じてか複数の防御壁を結合する場合にも貫通試験と呼ぶことがあります。
レッドチームによる侵入は事前情報無しに攻撃するため、実際の攻撃のような脅威となります。
そのため現実的なテストが可能となります。
一般的な侵入テストは事前にテスト実施することが伝えられますが、レッドチームによる侵入テストは事前に知らされず突然開始されます。
攻撃の際には脆弱性スキャンをほぼ行わないません。これから攻撃しますよと防御側に伝えているようなもののためです。そして攻撃の期間が長く、2週間から半年に及ぶこともあるようです。
これらは防御側であるブルーチームの対応能力を表面化する目的があると考えられます。
模擬攻撃
レッドチームによる模擬攻撃はシステムに対する脆弱性利用だけでなく、ソーシャルエンジニアリング分析まで行うことがあります。
模擬攻撃が終了した後に、脆弱性を検出できたか・検出できた場合に防御移行へのプロセス・効果的な改善方法をレッドチーム・ブルーチーム双方の行動から検討します。
TTDとTTM
TTD(Time to Detect)とは、出現から認識されるまでの時間です。
TTE(Time to Engage)とは、インシデントからエンジニア関与までの時間です。
TTF(Time to Fix)とは、状況の修正に必要な時間です。
TTM(Time to Migrate)は、これらを足し合わせたものとなります。
TTFとTTDは自動化することで短くできます。一方で高性能なマルウェアなどが出現するとTTDより短い時間で感染拡大するため防御が困難となります。
ペネトレーションテスト実行標準
このような侵入テストの実施には幅広い知識・技術が必要となり、優秀なテスターの育成など様々な課題があります。
この課題解決のため以下のようなペネトレーションテスト実行標準が策定されました。
7つの定義
- エンゲージメント前のインタラクション
- 情報収集
- 脅威モデリング
- 脆弱性分析
- 搾取
- ポストエクスプロイト
- 報告
技術的ガイドライン
あくまで基本的な情報であり、このようにしなければならなという指示ではないとの注意が記載されている。
詳細は以下の英語サイトを参照
The Penetration Testing Execution Standard (pentest-standard.org)
まとめ
貫通テストが必要となる条件とは?
十分な期間とコストが必要と考えられるため、高度なセキュリティが必要な場合に実施することが考えられます。
Discussion