サイバーニュース.jp

世界のサイバーなニュースを配信

継続的パープルチーミング:レッドチームとブルーチームの対立を真の防御へ

カテゴリ:

レッドチームとブルーチームの協力でサイバー防御を強化

多くの組織において、レッドチームとブルーチームは依然としてサイロ化されており、互いに対立することがよくあります。攻撃側は侵入に成功したことを誇り、防御側はそれを阻止するために全力を尽くします。しかし、両者の努力が中間で結びつかず、ノイズを生み出すことがあまりにも多いのが現状です。

レッドチームは演習を実施し、結果を公表して次に進みますが、ブルーチームは検証されていない脆弱性アラートやルールに埋もれてしまいます。これは進歩のように見えるかもしれませんが、そうではありません。攻撃側は一度ギャップを特定するだけで、防御側は本質的に盲目な状態で日々戦っています。

パープルチーミングはこの状況を根本的に変えます。レッドチームとブルーチームを競争させるのではなく、協力させることで、テストを共有プロセスに、検証を測定可能な証拠に変えます。この協力関係をさらに価値あるものにする鍵は、侵害および攻撃シミュレーション(BAS)であり、これによりリアルタイムで継続的な検証が可能になります。

攻撃者は防御側が調整するよりも速く進化しており、継続的な検証を通じてのみ、このギャップを埋めることができます。

パープルチーミングは単なる色ではない:真のサイバー防御の鍵

パープルチーミングは「より友好的なレッドチーミング」ではありません。それは根本的により効果的なワークフローであり、すべての攻撃実行を防御改善へと継続的に転換させます。そのワークフローは以下の通りです:

  • レッドチームが攻撃:脅威アクターを正確にエミュレートし、防御が機能するか、どこで破綻するかを明らかにします。
  • ブルーチームが対応:どのコントロールが発動し、どれが沈黙し、その理由を追跡します。
  • 両チームが再実行:ギャップが解消されるまで、修正、再実行、洗練を繰り返します。

このループこそが、チームを真にパープルにするものです。SANSの主任インストラクターであるクリス・デール氏がBASサミットで述べたように、「レッド対ブルーの対立を減らし、収束を望んでいます。お互いを良くしていきたいのです。」パープルチーミングは、この収束を現実のものにします。

競争を協力に置き換えることで、パープルチーミングはテストを検証と改善の継続的なサイクルに変えます。この分野では、リスクが高く、スピードと精度が生存を左右するため、これは単なるより良い考え方ではなく、唯一論理的な前進方法です。

手動作業からの脱却:BASが継続的パープルチーミングを強化する方法

手動のパープルチーミングは遅いです。新しい脅威キャンペーンごとに、スクリプト作成、ステージング、チューニングに何時間もかかります。キルチェーンが準備できる頃には、新しいキャンペーンがすでに進行中である可能性があり、組織が公開レポートに登場しているかもしれません。BASは、伝統的に進捗を遅らせたり停止させたりする手動タスクを自動化することで、この遅延を解消します。

BASは以下を可能にします:

  • MITRE ATT&CKフレームワークにマッピングされたTTPs(戦術、技術、手順)を使用して、現実世界の脅威アクターを継続的にシミュレートします。
  • ライブコントロールに対してシミュレートされたペイロードを安全に実行します。
  • 予防、検出、対応の有効性を即座に評価します。

ここでは、自動化が人間の創造性を置き換えるのではなく、それを増幅させ、より迅速で正確な検証を可能にします。Picusの共同創設者兼CTOであるヴォルカン・エルトゥルク氏がBASサミットで強調したように、「BASは現代のセキュリティにおける電圧テストであり、スタックに流して何が保持されるかを確認する電流です。」BASにより、パープルチーミングは一度きりのイベントではなく、生産的なリズムになります。攻撃。観察。修正。検証。繰り返し。

パープルチーミングを継続的に、一時的ではなくする

Picus Security Validation Platformが継続的なパープルチーミングをどのように支援するかをご覧ください。現実の脅威シミュレーションを自動化し、すべてのコントロールを検証し、レッドチームとブルーチーム間の協力を実証済みの防御力に変えます。デモをリクエストしてください。

重要な戦いを選ぶ

コンプライアンスチェックリストから始めるのではなく、実際に被害をもたらすものから始めましょう。脅威アクターが「クラウンジュエル」にアクセスするために使用するであろう、現実的で影響の大きい攻撃経路に焦点を当てます:内部偵察 → 権限昇格 → ラテラルムーブメント(WMI、PsExec) → 永続化(レジストリ、スケジュールされたタスク) → データ窃取 → 暗号化とバックアップ改ざん(例:シャドウコピー削除)。

その攻撃チェーンを、それを阻止または検出するためのコントロール(ファイアウォール、WAF、メールゲートウェイ、IPS/IDS、EDR/XDRなど)にスコープし、BASで安全にシナリオを実行して、予防、検出、対応を測定します。

スタックを監視します:

  • 何が発動したか? — それらのコントロールは機能しました。
  • 何が沈黙したか? — これを最優先の修正事項とします。
  • 行動/技術ではなくシグネチャでアラートを発したものは何か? — これはノイズです。検出が技術にマッピングされるように再調整します。

検証された優先順位に基づいてループを閉じる

BASによって実行されるすべての攻撃シミュレーションは証拠を生成し、それが明らかにしたギャップに即座に対応することを可能にします。これにより、予防と検出の両方をすり抜けたものを優先順位付けできます。これらは、防御がブロックまたは検出できなかった真のリスクです。

同様に、既存のコントロールがすでに軽減している脆弱性の優先順位を下げることもできます。すべてのCVSSクリティカルな脆弱性をパッチする必要はありません。特に、補償コントロールがすでに導入され、積極的に悪用を防止している場合はそうです。

残りのすべてのギャップを調査し、次の3つの要素を使用して評価します:

  • 影響:悪用された場合、損害はどれほど重大か?
  • 検出可能性:既存のツールでどれほど簡単に検出できるか?
  • ビジネスコンテキスト:この露出は環境のどこに位置し、悪用された場合、どの資産に影響するか?

今日の複雑な環境では、すべてを一度に修正することは非現実的であり、不可能に近いでしょう。最も重要なギャップ、つまり、実際の侵害につながる可能性のある、最も影響が大きく、最も検出されにくいものに焦点を当てましょう。このプロセスは、露出と対応の間のループを短縮します。

量ではなく現実を測定する

真に改善されたものに焦点を当てます:

  • BAS導入前後の検出時間
  • 修正を検証し、その有効性を確認するまでの平均時間
  • 検出および防止されたTTPs(戦術、技術、手順)の割合

これらの指標は、レッドチームとブルーチームの協力が真に進歩を推進しているのか、それとも単に形式的な作業を行っているだけなのかを示します。サッターヘルス社の攻撃的セキュリティ&脅威インテリジェンスリーダーであるハイメ・ロドリゲス氏が述べたように、「これはいつでもどこでも実行できる継続的な検証ループです。」目標は、単に攻撃を実行することではありません。露出と保証の間のギャップを埋め、実際の防御が継続的に検証され、セキュリティ目標と一致していることを確認することです。

AIを慎重に活用する

AIは現在、脅威レポートを迅速に読み取り、数分で完全なエミュレーション計画を生成できます。これは大きな進歩ですが、重大なリスクも伴います。ヴォルカン・エルトゥルク氏は、「大規模モデル(LLM)にペイロードの構築を依頼すると、誤ったものを実際にシミュレートしてしまう可能性があります」と警告しました。

より賢明なアプローチは次のとおりです:

  • AIを使用して脅威インテリジェンスを解析し、TTPsにマッピングします。
  • 安全性と品質のために、キュレーションされたBASライブラリでペイロードを維持および更新します。
  • 実行前に必ずチームが計画をレビューします。

AIは人間の判断を置き換えるのではなく、支援すべきです。計画を立案することはできますが、何を実行するのが安全かを決定するのはセキュリティチームです。そうすることで、AIは、セキュリティチームが手動で含める脅威をマッピングする従来の48時間のマッピングサイクルを不要にします。

成功の再考

レッドチームが依然として「ドメイン管理者権限の取得」を成功と見なしているなら、おめでとうございます、あなたは2015年に立ち往生しています。ブルーチームが依然として「アラートの発動」を祝っているなら、あなたも危険な過去に生きています。今日、成功は各スプリントから得られる継続的な証拠によって測定されます:

  • どのTTPsがエミュレートされたか?
  • どの検出が調整されたか?
  • どの修正が再検証されたか?

セキュリティの成熟度は、導入したツールの数ではなく、それらが機能することをどれだけ頻繁に検証するかです。

その成果:継続的な信頼

数ヶ月間のBASを活用したパープルチーミングの後、いくつかの根本的で劇的な変化が見られます:

  • チームは仮説的なリスクについて議論していません。
  • 経営陣は、すでに必要なデータを持っているため、保証レポートを要求していません。
  • すべてのパッチ、すべての軽減策、すべてのルールには、テストされ、検証され、証明された具体的な理由があります。

この時点で、継続的な検証は第二の天性となり、チームのセキュリティマインドセットに根本的な変化をもたらします。クリス・デール氏の基調講演は、「セキュリティは侵害時に失敗するのではなく、影響の時点で失敗する」という力強い声明を残しました。BAS主導のパープルチーミングは、仮定や希望ではなく、防御を厳密にテストし、真実を明らかにし、チームが行動できるようにすることで、その影響を防ぐために構築されています。

今すぐデモをリクエストして、脅威中心のパープルチーミングを導入し、現実的な脅威アクターの行動に対する準備状況を検証し、露出と保証の間のループを閉じましょう。

元記事: https://www.bleepingcomputer.com/news/security/continuous-purple-teaming-turning-red-blue-rivalry-into-real-defense/

投稿をさらに読み込む