赤対青対青。 紫チーム

CyberStart
CyberStart

Follow

5/21, 2019 – 4 min read

サイバーセキュリティの役割といえば、3色の「チーム」に分類される傾向にあります。 ここでは、それぞれの業務内容、必要なスキル、各チームの関わり方などを解説します。

移動します! www.cyberstart.com/blog では、さらに多くのヒントやコツ、業界のサポートが得られますので、ぜひご覧ください。

レッドチーム

ネットワークを攻撃し、脆弱性を見つける。レッドチームの役割は、Webベース、コンピュータまたは携帯電話にインストールされているかどうかにかかわらず、アプリケーションに侵入しようとするハッカーをシミュレートするために採用されます。 Penetration Testerと呼ばれる「ハッカー」。

仕事のスタイル。 レッドチームの専門家は通常フリーランスで、ターゲット企業に雇われ、(ブルーチームが作成した)防御をテストします
しかし、一部の企業は社内にレッドチームを持ち、ネットワークをテストし、より良くする方法を提案します

主な目的:
-ターゲットシステムのセキュリティを侵害する
-バグや脆弱性を利用する
-ブルーチームの防御能力を査定する(および検出を避ける)

どのようにしているか。
次に、これを利用して攻撃したり、ソーシャル・エンジニアリング戦術(フィッシング、プレテクティング、おとり捜査、見返りなど)を適用して従業員を操り、ネットワークにアクセスするための情報を増やしたりします。
また、青チームの追跡を外すために囮を作ることもあります。
赤チームの攻撃は物理的なものもあります。 レッドチームは、クライアントのインフラの物理的な場所に(尾行などによって)アクセスし、どこまで行けるかを確認することができます。

ブルーチーム

攻撃者がいれば、防御者もいるのです。 ブルーチームは、セキュアなネットワークインフラを設定し、それを監視して、あらゆる攻撃に対応する責任を負っています。

主な役割 自社のセキュリティオペレーションセンター(SOC)内のセキュリティアナリスト

仕事のスタイル。 ブルーチームは、自社のSOC内のセキュリティアナリストなど、組織内で働くことが多い。 企業はブルーチームのためにアウトソーシングすることができますが、表面的にはコストを削減できても、独自の課題と制限があります。

主な目的:
-システムの防御を成功させる
-レッドチーム/外部ハッカーを検知し、対抗し、制限する
-インシデントと対応方法を理解する
-疑わしいトラフィックに気づく
-異なる媒体によるフォレンジックテストを分析し実施する
-現在の「脅威分子」やオペレーションについて調べ、知識を適用する

方法:ブルーチームはシステムをうまく守るために多くのスキルを必要とします。 フォレンジックに重点を置いたSOC(セキュリティ・オペレーション・センター)の役割を担い、インシデント対応部隊をカバーし、セキュリティ情報およびイベント管理(SIEM)システムで作業できることが必要である。 また、脅威の情報(一般的には侵害の指標)を調査し、SIEMシステムのルールや、侵入検知システム、侵入防止システム(IDS/IPS)などのルールベースのデバイスを介してネットワークに適用できる能力も必要です。

主な日々の活動としては、トラフィック分析やデータ分析の実行、ログデータの分析とレビュー、ライブ侵入の検出とネットワークの可視化のためのSIEMSの使用、現在の悪意のある脅威の行為者をよりよく検出するためのこれらのSIEMS内でのカスタムルールの作成などがあります。

パープル チームは新しい共同アプローチで、ブルーとレッド両方のチームの組み合わせで各チームの真ん中に座ります。 紫チームのメンバーは、赤と青のチームを監督し最適化することで、より大きなコミュニケーションチャネルを確立し、より協力的な文化を育むことができるようにします。 紫チームは通常、組織内のシニアセキュリティアナリスト、脅威インテリジェンスアナリスト、または上級管理職から構成されます。 紫チームは赤チームと青チームの両方と一緒に働き、弱点を特定し、両チームの内部動作の改善を提案する。
– 赤と青のチーム間のコラボレーションを促進する
– 赤と青の両チームと一緒になって弱点を特定する
– 両チームの内部構造の改善を提案する
– 両チームからまとめて最大の成果と出力を確保する

方法:紫のチームは、赤と青の両チーム、およびコラボレーションの潜在能力の有効性に基づき、セキュリティ管理を強化して組織のサイバー能力を最大化する

紫のチームはこれらの向上を監督する。 例えば、侵入テスト担当者がセキュリティアナリストに、新しい敵対者を検出するためにSIEMルールを更新する方法を伝えたいとすると、紫チームはこのタスクが正常に完了することを確認します。

最終的に、紫チームは赤と青の両チームからまとめて最大の成果とアウトプットを確保します。

さて、各チームの仕事内容がわかったところで、あなたはどのチームの一員になりたいですか?