赤チームの一般的な用語を理解することは、赤チームの攻撃をよりよく理解するのに役立ちます。
基づいて:RedTeam Development and Operations
許可リスト#
許可リスト
許可リストはホワイトリストとも呼ばれ、ホワイトリストに含まれる内容は信頼できるものです。ホワイトリストは特定のリソースへのアクセス権を付与するために使用され、ホワイトリストによって指定されたルールに基づいて、ユーザー、IP、ファイル拡張子、ドメイン名など、複数のルールを指定できます。ホワイトリストのルールに一致するものだけがリソースにアクセスできます。ブラックリストと比較して、良好なルールリストを作成することは通常より良い実践と見なされ、ホワイトリストはデフォルト拒否のルールを通じてセキュリティを強化します。
想定侵害#
"侵害があったと仮定する"モデル
このモデルは、赤と青の攻防の前に何らかの程度のアクセス権が得られていると仮定します。各組織はこの演習モデルを異なる理解を持っており、未成熟な組織は通常「誰かがネットワークに侵入できると仮定するのは異常だ」と主張します。「それを証明してください」と要求する人々は、この攻防シナリオを評価しないことが多いです。しかし、脅威を評価する際に「侵入できるかどうか」という仮定は非常に重要です。これが重要なターゲットでない場合、「侵害があったと仮定する」モデルを使用することで時間とお金を節約でき、赤チームはより多くのターゲットを探索できます。より成熟した組織はこのモデルを重視し、より複雑な攻撃脅威から多くの脅威シナリオを引き出します。
青チーム#
青方
つまり青チームで、赤チームの対立チームで、主に防御作業を担当します。青チームは通常、青チームのメンバー、組織の管理者、組織内部の技術者で構成されます。内部ネットワークでは、感知デバイスを通じて赤チームからのトラフィックを検出します。
青チーム#
青チーム
脅威の侵入を防ぐチーム、防御側。
コマンドとコントロール (C2)#
C2
C2 は攻撃者のリモートコントロールシステムを指します(Cobalt Strike が C2 です)。C2 には主なサーバーとクライアントがあり、クライアントは主サーバーに接続してペイロードを生成し、ペイロードをターゲットサーバーにアップロードします。ターゲットサーバーが実行されると、シェルが反響し、ターゲットサーバーを制御し、任意のコマンドを実行できます。
C2 の階層は通常、インタラクティブ、ショートホール、ロングホールの 3 つに分かれます。時にはそれらは第 1、2、または 3 層としてマークされます。各階層には特有の特徴はなく、使用方法が異なるだけです。
- インタラクティブ(インタラクティブ層)
一般的なコマンド、列挙、スキャン、データ漏洩などに使用されます。この層のインタラクションは最も多く、最大の露出リスクに直面します。通信障害、プロキシ障害、または青チームの行動によりアクセスを失うことを計画します。アクセスを維持するために十分なインタラクティブセッションを実行します。インタラクティブであるとはいえ、クライアントに大量のデータパケットを送信することを意味するわけではありません。良識を使い、インタラクションを操作を実行するのに必要な最小限に抑えます。
- ショートホール(短距離層)
インタラクティブセッションを回復するためのバックアップオプションとして使用されます。ターゲットと統合された隠密通信を使用します。コールバック時間は遅くなります。1-24 時間のコールバック時間は一般的です。
- ロングホール
短距離と同様ですが、より低く、より遅いです。コールバック時間は非常に遅く、24 時間以上のコールバック時間は一般的です。
異なる C2 カテゴリは C2 が露出されるのを防ぐために設計されており、異なる C2 は混用されません。
コントロールセル#
制御ユニット,ホワイトセル,紫チーム
攻防演習中に審判の役割を果たし、青チームと赤チームを調整し、試合を進行させ、参加環境とネットワークを制御し、演習ルールを策定し、ROEルールの実施状況を監視します。
拒否リスト#
拒否リスト、ブラックリスト
ブラックリストは、ブラックリストに載ったものは特定のリソースへのアクセスを拒否され、通常は有害なコンテンツをフィルタリングするために使用されます。
参加 / 演習管理グループ (ECG)#
参加/演習管理グループ
ECG は演習中のすべての活動を担当します。ECG は 1 人または 2 人の上級管理者(例:最高情報責任者または最高執行責任者)、IT 部門のメンバー、紫チームおよび赤チームの連絡員で構成されます。必要に応じて追加のメンバーを加えることができます。すべての人は Trusted Agents(信頼できるエージェント)と見なされます。
データ漏洩#
データ漏洩、情報窃取
隠密トンネルを通じてターゲットから機密情報を抽出するプロセスです。
侵入、維持、実行#
侵入、維持、実行
赤チーム攻撃の 3 つのステップ
侵入#
ターゲットの内部ネットワークへのアクセス権を取得します。赤チームはターゲットネットワークへのアクセス権を取得する必要があり、内部ネットワーク環境に入ることができ、その後の STAY IN と ACT が可能になります。合法的な侵入や侵入があったと仮定して内部ネットワークへのアクセス権を直接取得できます。
維持#
内部ネットワークに持続的な接続を確立します。赤チームは内部ネットワークで通常、権限を維持し、青チームに発見されないようにし、接続が切断されるのを防ぎます。
実行#
内部ネットワークの浸透段階を開始し、より多くのターゲットや機密データを取得し、演習の目標を達成します。
IOC(侵入指標)#
侵入指標
IOC(Indicator of Compromise)は、コンピュータネットワークセキュリティにおいて悪意のある活動を識別し検出するために使用される特定の手がかりや指標を指します。これらの手がかりや指標には、悪意のあるソフトウェアの特徴、システムやアプリケーションの異常な動作、システムファイルの変更、ネットワークトラフィックの異常な動作、ユーザーアカウントの異常な活動などが含まれます。
IOC は、コンピュータやネットワークシステム内のセキュリティの脆弱性や攻撃行為を検出し特定するために使用され、将来のセキュリティ脅威を防ぐためにも役立ちます。システムやアプリケーションが攻撃を受けたり悪意のあるソフトウェアに感染した場合、IOC はセキュリティ専門家が迅速に脅威を特定し、位置を特定し、排除するのを助けます。さらに、IOC は侵入検知システムやセキュリティ情報およびイベント管理システムなど、他のセキュリティシステムと統合することができ、システム全体のセキュリティ性能を強化します。
一般的な IOC には以下が含まれます:
-
ハッシュ値:悪意のあるソフトウェアのユニークなハッシュ値を比較して識別および分析します。
-
IP アドレスとドメイン名:感染したコンピュータと通信サーバーのネットワークアドレスを識別し、攻撃元とコマンドおよびコントロール(C2)サーバーを特定します。
-
異常な動作:正常な動作と異常な動作を比較し、ファイルの変更、プロセス、スケジュールされたタスクなどを通じてシステム内の活動を監視します。
-
脅威インテリジェンス:ハッカーのフォーラムや脆弱性の通知など、悪意のある活動に関する公開情報を使用して、可能な攻撃者、攻撃方法、ターゲットを理解します。
敵方勢力#
敵方勢力
操作ログ#
操作ログ
赤チームのオペレーターが演習中にターゲット環境に対して生成した攻撃ログです。
操作影響#
操作影響
赤チームが演習中に達成した目標と効果には、ターゲット環境に対する戦略、戦術、操作レベルの影響、および任務の成功度の評価が含まれます。
操作影響は、異なる攻防任務によって異なる場合があり、具体的な状況によって異なります。たとえば、ネットワークペネトレーションテストでは、操作影響には機密情報の取得、脆弱性を利用したシステムへの侵入、権限維持のためのバックドアの設置などが含まれます。赤チーム演習では、操作影響にはビジネスプロセスの覆し、重要なデバイスの破壊、機密データの窃取などが含まれます。
セキュリティ操作規範#
セキュリティ操作規範
攻撃者が防御者を敵と見なして対抗するためのセキュリティ意識であり、敵方情報が観察する可能性のある重要な情報に注意を払い、これらの重要な情報が敵方に利用される可能性があるかどうかを考慮し、特定の措置を講じて敵が重要な情報を利用するのを排除または減少させます。赤チームテストにおいて、OPSEC の役割は、青チームが注意を払う可能性のある行動を理解し、露出を最小限に抑えることです。
サマリー会議、高層#
サマリー会議、高層
演習終了後の最初の会議で、この時点で赤チームの攻撃サマリーレポートは出ていません。会議は管理層を対象とし、参加者にはターゲット組織の重要なメンバーが含まれるべきです。赤チームテストの結果は、組織の将来の運営に影響を与える可能性があり、脆弱性修正や人員変更のための資金が必要です。赤チームテストの結果を使用して組織のセキュリティ姿勢を改善し脅威に対処する場合、管理意識と認識が重要です。
サマリー会議、技術#
サマリー会議、技術
技術会議は、赤チーム、青チーム、組織間の双方向の技術情報交換のプロセスです。この交流では、赤チームと青チームは、実行プロセスと結果(すべての関連詳細を含む)の高度に詳細な技術レビューを提供します。これはトレーニングと教育の組み合わせであり、すべての側面が学ぶ最も価値のある機会の 1 つです。
ペネトレーションテスト#
ペネトレーションテスト
一定の時間内にターゲットシステムの脆弱性を発見し、ビジネスリスクの観点から、ペネトレーションテストは攻撃面を減少させます。発見された脆弱性を修正することで攻撃面が減少します。ペネトレーションテストは通常、組織全体が脅威にどのように対処するかには焦点を当てません。
権限維持#
権限維持
ターゲット環境でネットワークアクセス権を維持するプロセスであり、さまざまな技術を利用してネットワーク接続を維持します。
赤チーム#
赤方
赤色グループは、赤チーム攻撃部分を構成するコンポーネントを指し、指定されたターゲットに対する戦略と戦術的反応をシミュレートします。赤色グループは通常、赤チームのリーダーとオペレーターで構成され、通常は「赤チーム」と呼ばれ、「赤色グループ」とは呼ばれません。
赤チーム#
赤チーム
攻撃チームであり、脅威または敵の視点から攻撃をシミュレートします。
赤チーム演習#
赤チーム演習
赤チーム演習は、戦術、技術、プロセス(TTP)を使用して現実の脅威をシミュレートするプロセスであり、スタッフ、プロセス、環境を保護するための技術の有効性をトレーニングし、測定することを目的としています。
ビジネスリスクの観点から、赤チーム演習は、トレーニングまたは測定を通じて脅威に対処する能力を理解することに重点を置いています。演習中には通常、技術的な発見が明らかになりますが、これは重点ではありません。赤チーム演習は、防御戦略や仮定の脆弱性や欠陥を特定するために、セキュリティ操作の防御戦略や仮定に挑戦することを目的としています。トレーニングまたは測定を通じてセキュリティ操作を改善することが赤チーム演習の目標です。
赤チームリーダー#
赤チームの運営および行政責任者として、赤チームの参加、予算、リソース管理を行い、参加、能力、技術に対する監督と指導を提供します。すべての法律、規制、ポリシー、戦闘規則を遵守することを確保します。
赤チームオペレーター#
赤チーム選手
赤チームの攻撃者であり、攻撃を実施する責任があります。
演習の攻撃者として、赤チームリーダーの指導に従い、赤チームの戦術、技術、プロセス(TTP)を用いて任務に参加し、赤チームに技術研究と能力サポートを提供します。任務の各段階で詳細なログを記録し、最終報告書の作成にログと情報のサポートを提供します。
参加ルール#
参加ルール
演習ルールであり、赤チーム、クライアント、システム所有者、および実行参加者間の責任、関係、ガイドラインを確立し、任務が効果的に実行されることを確保します。
脅威#
脅威
事故を引き起こす可能性のある潜在的な原因であり、システムや組織に危害を及ぼす可能性があります。情報セキュリティにおける脅威には、無許可で情報にアクセスしたり、破壊したり、漏洩させたり、変更したり、サービスを中断させる可能性のある状況やイベントが含まれます。組織の運営(任務、責任、イメージ、評判)、組織のリソース、個人、他の組織または国家に不利な影響を与える可能性のあるすべての状況やイベントが含まれます。
脅威モデル#
脅威モデル
脅威モデリングは、潜在的な脅威や適切なセキュリティ対策の欠如を特定し、それらを列挙し、これらの脅威を軽減するための対策を優先順位付けするプロセスです。
脅威シミュレーション#
脅威シミュレーション
組織への脅威侵入のシナリオをシミュレートし、実際の侵入の効果を模倣します。
脅威シミュレーションは、特定の脅威の戦術、技術、プロセスをシミュレートするプロセスです。
脅威シナリオ#
脅威シナリオ
シナリオは、防御ソリューションがどのように実行され、安全任務に関連するプロセス、手順、ポリシー、活動、人物、組織、環境、脅威、制約、仮定、サポートに適合するかに焦点を当てます。シナリオは通常、脅威の役割がターゲット環境内のシステムやネットワークとどのように相互作用するかを説明し、実際の侵入効果をシミュレートします。簡単に言えば、防御側が結果、出力、または防御能力を証明するためにどのように動的に操作を実行するかに関する質問に答えます。
TTPs#
戦術、技術、プロセスのセットです。
脆弱性評価#
脆弱性評価、リスク評価
情報システムの体系的な検査を行い、組織のセキュリティ対策が十分であるかどうかを判断し、セキュリティの欠陥を特定し、データを提供してセキュリティ対策の有効性を確認し、実施後に対策の十分性を確認します。ビジネスリスクの観点から、脆弱性評価は攻撃面を最小限に抑え、発見された脆弱性を修正し、最終的に攻撃面を減少させます。
Web シェル#
Web シェルは、Web サーバー上で実行されるコマンドラインインターフェースであり、攻撃者が Web アプリケーションを介してサーバーと対話し、システムコマンドを実行することを可能にします。攻撃者は Web シェルを使用してサーバーの機密情報を取得したり、ファイルを変更したり、悪意のあるコードをアップロードしたりすることができます。