この記事では、レッドチームの運用を行うためのチームワーク、ツール、および方法論について説明します。 Red Teamの運用により、プロの外部侵入者グループによる攻撃を最も自然にシミュレートして、インフラストラクチャの脆弱性を特定できます。
赤チームと青チーム
レッドチームという用語は軍事環境に由来し、「友好的な」攻撃チームを定義します。 対照的に、ディフェンダーのチーム-ブルーチームがあります。
Red Teamの運用と従来のペンテストの違いは、主にアクションの規制と保護側のリードにあります。 また、「クラシック」ペンテストでは、「ホワイトリスト」、実行される作業の制限時間、システムとの相互作用のレベルがよく使用されます。 Red Teamの運用を行う場合、実際には制限はありません。インフラに対する実際の攻撃は、外部境界の攻撃から、物理アクセスの試行、「ハード」社会技術的手法(リンクを修正せず、たとえば完全な逆シェル)まで行われます。
Blue Teamのタスクは、ブラインドインフラストラクチャ保護を提供することです:防御チームは、攻撃または実際の攻撃者との違いについて警告されません-これは、防御システムと、攻撃を検出およびブロックし、インシデントを調査する専門家の能力の両方をチェックするための最良の要因の1つです。 操作が完了したら、開発された攻撃ベクトルと記録されたインシデントを比較して、インフラストラクチャ保護システムを改善する必要があります。
Red Teamのアプローチは、標的型攻撃であるAPT(Advanced Persistent Threat)と最も密接に関連しています。 Red Teamチームは、IT / ISインフラストラクチャの構築とシステムの侵害の両方の経験が豊富な経験豊富な専門家で構成される必要があります。
Red Teamの運用の特徴:
- 期間 攻撃は数か月間実行されます。
- ハードコア。 攻撃者は、インフラストラクチャにかなり厳しい影響を与える可能性があり、一部のインフラストラクチャコンポーネントの障害につながる可能性があります。
- 使い慣れた侵入テストパターンの欠如。 (ケーススタディ-監査施設の1つでACSシステムをバイパスしている間、チームは社外の重要なデータを含むオフィス機器の取り外しを自然に、作業マネージャーと連携して実行しました)。
レッドチーム-これらは、侵入テストを含むあらゆる手段でシステムにアクセスしようとする試みです。 物理的アクセス; 通信回線、無線および無線周波数システムのテスト。 ソーシャルエンジニアリングシナリオによる従業員テスト。
Red Teamの運用コンセプトにより、侵入テストを可能な限り現実的に実行できます。
チームアプローチ
レッドチームは軍事作戦に似ています。攻撃の目標またはオブジェクト、責任範囲、およびチームメンバーの役割が決定されます。 多くの場合、レッドチームでは、インサイダーはチームとして行動し、社内からデータを送信したり、補助的な機能を実行したりできます。
役割の明確な分布、操作上の相互作用のシステム、およびデータ分析により、
- チームリーダー-リーダーシップ。
- フィールド調査員-攻撃のアクティブフェーズ。
- インサイダー-この役割は存在しない可能性があります。
- アナリスト-データの分析と正規化。
ツールキット
特定のケースでの特定のツールの使用は、アプリケーションまたはサービスの仕様によるものであり、従来の侵入テストとはわずかに異なります。 Red Teamの運用を行う場合、チームの相互作用と結果の体系化の問題が発生します-これらは、手動モードで特定されたさまざまな分析ツールと脆弱性のレポートです-これらはすべて、適切な順序と体系的なアプローチなしで、何かを見逃す可能性がある膨大な情報を表しています可能性のあるダブルを「レイク」することが重要です。 また、レポートを減らしてレポートを正規化し、1つのビューにまとめる必要もあります。
通常、Red Teamの運用は、特殊なツールの使用を必要とするかなり大規模なインフラストラクチャを対象としています。
- 作業領域を分割して結果を報告する可能性のある、周辺のインベントリを実行するためのスキャナーとユーティリティ。
- 侵入テスト用のデータ処理システム。
- 分析および脆弱性管理ツールを使用します。
- 社会技術キャンペーンを実施するためのシステム。
専用ソフトウェア:
ご注意
シェアウェア版または無料版を含む配布バージョンが表示されます。 一部のディストリビューションは、輸出ポリシーの制限により、特定の地域では利用できない場合があります。
コバルトストライク
Cobalt Strikeは、侵入テストフレームワークです。 これは、Armitageの高度な類似物であり、Metasploit FrameworkのGUIアドオンです。 組み込みのスクリプト言語の高度なシステムにより、最も効果的な攻撃が可能になります。
ドラディス
Dradis Frameworkは、情報セキュリティの分野でのコラボレーションとレポート作成を簡素化するオープンソースプラットフォームです。 Dradisは、情報の集中ストレージを提供するスタンドアロンのWebアプリケーションです。 Community Edition(無料)とProfessional Edition(59ドルから)の2つのバージョンがあります。 プロバージョンには、統合機能、レポートシステム、サポート(優先度を含む)、利用可能な方法論など、より多くの機能があります。 プラグイン/アドオンの形で機能を拡張することが可能です。
ファラデーIDE
ファラデーは最も強力なコラボレーション環境であり、真のマルチプレイヤー侵入テストです。 ArchAssault、Archlinux、Debian、Kali、OSX、Debianでの作業をサポートします。 それはリアルタイムで動作し、1つまたは別のpentesterから送信された結果を即座に処理します。 このフレームワークでは、ゲーミフィケーションの概念が定められており、専門家には、固定された脆弱性の数と質のスキルを測定する機会が与えられます。
ネッソス
Tenable Network Securityが開発した最も人気のある脆弱性スキャナーの1つ。 2005年までは無料のオープンソースソフトウェアでしたが、2008年には製品の有料版がリリースされました。
Openvas
OpenVAS(オープン脆弱性評価システム、オープンソース脆弱性評価システム、元はGNessUs)は、ホストの脆弱性のスキャンと脆弱性の管理を可能にするいくつかのサービスとユーティリティで構成されるフレームワークです。
SEツールキット
社会工学攻撃を実行するための古典的なマルチツールであるソーシャルエンジニアリングツールキット(ソーシャルエンジニアリングのセット)。
ゴフィッシュ
オープンソースのフィッシングフレームワーク。 大規模なフィッシング攻撃を許可します。
Logstash / Elasticsearch / Kibana
幅広いデータ収集、分析、および保管タスクのためのソリューション。
コメントでは、提示されたソフトウェアとRed Teamオペレーションの実装の両方について、あなたの質問に答える準備ができています。