レッドチームが必要な理由:PoC エクスプロイトが重要な理由

Red Teams and the Value of Open Source PoC Exploits

2021/11/10 SecurityBoulevard — レッド・チームとは、優れたサイバー・セキュリティを構成するうえで必要な要素である。(ISC)2 Security Congressで講演した、セキュリティ研究者の Richard Tychansky は、レッド・チームは攻撃的なセキュリティであると説明している。レッド・チームのプロセスにおいては、いくつかの段階的なステップを踏む必要があると、彼は言う。

  • 組織とレッドチーム (社内/社外を問わず) は、演習の目標に合意する。
  • レッド・チームは偵察を行い、ネットワークサービス/Web アプリケーション/従業員ポータルなどの、対象となるシステムをマッピングする。
  • ターゲット・システム内の脆弱性を特定し、通常はフィッシング技術やクロス・サイト・スクリプティング (XSS) などを活用する。
  • レッド・チームは、有効なアクセス・トークンが確保されると、それ利用してさらなる脆弱性を調査する。 さらなる脆弱性が発見された場合、レッド・チームはターゲットにアクセスするために必要なレベルまで、アクセスをエスカレートさせる。
  • それが達成されると、レッド・チームはターゲットのデータまたは資産に到達する。

レッド・チームの活動開始

レッド・チームでは、クラウドであれオンプレミスであれ、敵対者を理解した上で、その敵対者を模倣する必要がある。Richard Tychansky によると、レッド・チームは実際の敵対者のようにデータを欲しがる。しかし、レッド・チームのプロセスが成功するためには、セキュリティの欠陥を利用する能力が必要となる。

Tychansky は、「ダークウェブのマーケット・プレイスは、PoC エクスプロイトの1つの供給源である。また、GitHub で CWE と PoC を入力するだけで、驚くほど多くの情報を得ることができる。きっと、驚くべきものが見つかるだろう」と述べている。Reddit/Twitter/Exploit Database なども、PoC に関する優れた情報源だ。その理由は、自身で自分の作った CWE (Common Weakness Enumeration) や PoC により、名声を得たい人々がいるとことにある。

Tychansky は、「セキュリティ研究者と話をするときや、オープンソース・インテリジェンス分析のためのインプットを作成するときには、各種の情報を全て確認したいはずだ。また、使用しているライブラリやフレームワークも確認して、セキュリティに関連するものを見つけられるようにすべきだ。レッド・チームを結成するなら、これらの情報は、検知すべきものであり、また、日常的に見ておくべきものとなる」と述べている。

ダークウェブを利用する

レッド・チームに必要な情報分析を提供してくれる、商用の PoC ソースもあるが、オープンソースを選ぶほうが良いと Tychansky は述べている。彼の見方は、それを産業スパイ的な行動の1つの形態と考え、高度な敵対的優位性を得るために、独自のツールを構築すべきというものだ。

セキュリティ・ツールを探すためにダークウェブを利用するのは、矛盾しているようにも思えるが、ダークウェブの上位のマーケットプレイスから、現実的なセキュリティを学習できる。たとえば、すべてにおいて二要素認証 (2FA) が使用され、前払いが要求されると、Tychansky は述べている。

しかし彼は、最近のダークウェブでは、販売されている PoC の数が減ってきているとも認めています。多くのベンダーが、エクスプロイトを一品物で提供している。国家ぐるみでエクスプロイトや脆弱性を買い漁り、市場を乗っ取ることで、倫理的なハッカーやセキュリティ研究者がアクセスしづらくなっている。

Tychansky は、「それにより、マルウェアの仕入れに成功した国家が増えていると言われている。また、レッド・チームが必要とするツールを、手に入れることが難しくなっているのもそのためだ。私たちは、攻撃的なテストを行うため、世の中にある最新かつ最高のものを使う必要がある」と述べている。ダークウェブが PoC エクスプロイトのソースとしての価値を失っていく中で、GitHub は実際に動作するオープンソース PoC のゴールド・スタンダードとなっている。

Tychansky は、「報酬が得られないセキュリティ研究者や、誰かに断られたセキュリティ研究者を探す必要がある。彼らは、自身の CWE や CVE を公開して、誰かのアクセスを待っている」と述べている。

レッド・チームが期待されるのは、攻撃者よりも先に、システムの脆弱性や弱点を見つけ出すことだ。オープンソースの PoC ツールを利用することで、セキュリティ研究者は共同コミュニティを構築し、欠陥に関する情報を共有し、脅威となるアクターや国家の先を行くことができる。

Wikipedia で調べてみると、「レッドチームは、強い文化や固定された方法で問題解決するような組織に対して、特に有効である」と定義されています。また、米軍のレッドチームは、2001年9月11日の攻撃に至った短所を防ぐために、2003年から頻繁に使用されるようになったとのことです。そして、我々の世界におけるレッドチームですが、「侵入テストの担当者は、組織のセキュリティを評価する。多くの場合、対象組織の職員には知らされない。 このタイプのレッド・チームは、演習、ロールプレイング、または発表された評価よりも、セキュリティ準備状況のより現実的なイメージを提供する。 レッド・チームは、特定の運用環境内でアクティブなコントロールと対策を引き起こす可能性がある」と記されています。

%d bloggers like this: