定義

レッドチーム評価は敵対者の視点から見た組織の全体像、すなわち総合的な見方を必要とする目標ベースの敵対的アクティビティです。この評価プロセスは、技術、物理、またはプロセスベースの手段により、さまざまな重要資産を処理する複雑な組織のニーズを満たすことを意図しています。

レッドチーム評価を行う目的は、実世界の攻撃者が一見無関係に見えるエクスプロイトを組み合わせて目標を達成する手口を示すことです。この評価は、世界最高クラスの洗練されたファイアウォールでさえ、攻撃者が暗号化されていないハードドライブをデータセンターから持ち出せるようになっていればほとんど意味を持たない、ということを示すには効果的な方法です。重要データを保護するためには、単一のネットワーク・アプライアンスに頼るよりも、多層防御アプローチを取り、人、プロセス、テクノロジーを継続的に向上させる方法の方が優れています。

Red Teaming | Black Duck

レッドチームのしくみ

個々の脆弱性自体は些細に見えても、攻撃の経路の中で組み合わせたとき、重大な損害をもたらす可能性があります。

レッドチームの一般的な戦術

レッドチームは、セキュリティの1つの側面または狭い範囲に焦点を当てる従来のペネトレーション・テストでは見逃される組織のリスクを明らかにします。レッドチームでは、従来のテストにとどまらず一般的に以下のような点について評価を行います。

  • 電子メールや電話によるソーシャル・エンジニアリング個人や組織を簡単に調査しただけで、フィッシング・メールの説得力ははるかに大きくなります。この簡単にできる手法が、しばしばゴールに結びつく複合アタックの第一歩になります。
  • ネットワーク・サービスのエクスプロイト。攻撃者はパッチを適用していないか、あるいは構成に問題があるネットワーク・サービスを悪用(エクスプロイト)して、以前にアクセスできなかったネットワークや重要情報にアクセスできるようになる可能性があります。多くの場合、攻撃者は将来アクセスが必要な場合に備えて、永続的なバックドアを残します。
  • 物理的な施設のエクスプロイト。人は本来、対立を避ける傾向があるため、多くの場合、セキュリティで保護された施設でも、誰かの後に続いてドアを通り抜けるなどの簡単な方法で入り込むことができます。バッジをスキャンしていない人のためにドアを開けたまま待ってあげたのはいつが最後ですか?
  • アプリケーション層のエクスプロイト。組織のネットワーク境界を見たときに攻撃者が最初に目にするものは、多くの場合、Webアプリケーションです。Webアプリケーション脆弱性のエクスプロイト(クロスサイト・スクリプティング(XSS)SQLインジェクションクロスサイト・リクエスト・フォージェリ(CSRF)など)により、攻撃者はさらなる攻撃を実行するための足がかりを得ることができます。

法律事務所のレッドチーム(英語)

ケース・スタディをダウンロード

レッドチーム評価の前に考慮すべき3つの質問事項

レッドチームによる評価は、それぞれ異なる組織要素に対応しますが、必ず事前調査、列挙、攻撃が含まれます。レッドチームによる評価を実施する前に、組織の主要なステークホルダーに相談して懸念事項を把握してください。今後の評価の目標を定める際に検討すべき質問事項を以下に示します。

  1. 評判や収益に関わる重大な損害(顧客の重要データの漏洩や長期間のサービス停止)が引き起こされると、組織にどのような影響があるか?
  2. 組織全体で使用する共通インフラストラクチャは何か(ハードウェアとソフトウェアの両方を考慮する)? 言い換えると、すべてが依存している共通コンポーネントはあるか?
  3. 組織全体で特に価値の高い資産(データおよびシステム)は何か、またそれが侵害された場合にどのような影響があるか?