パープルチーム演習は、Talos インシデント対応リテーナーサービスに含まれているサービスです。Talos の専門家が、攻撃者よりも先にセキュリティホールを見つけられるよう、お客様を支援します。
レッドチーム(攻撃側)とブルーチーム(防御側)の両方の役割を担当する Talos のパープルチームが、お客様の信頼できるアドバイザーとして提供するサービスです。1 つの模擬攻撃シナリオを共同で作成して実行し、お客様の現在のインシデント対応能力がどのように機能するかを記録します。これを基に現在のセキュリティギャップを評価し、今後の強化に役立てていただくためのレポートを作成します。
お客様の組織の現在のセキュリティインシデント対応プログラムは、模擬攻撃に耐えられるでしょうか?現在の TTP の検出機能をテストする必要はないでしょうか?何から始め、何をテストすればよいかわからない、あるいは、プログラムにどのようなギャップがあるかわからない場合もご安心ください。Talos インシデント対応チーム(Talos IR)がお客様のパートナーとなり、パープルチームの専門知識と演習を提供します。内容はお客様の組織に合わせてカスタマイズしたものであり、現在の予防、検出、対応能力をプロアクティブにテストして強化するためにご活用いただけます。
パープルチーム演習では、外部にいるレッドチームが Advanced Persistence Threat(APT)の攻撃者として行動します。一方、Talos IR のブルーチームがお客様の防御チームと協力して攻撃者の活動を検出し、既存のセキュリティ手順に従って攻撃に対応します。
Talos IR のパープルチームについて詳しくお知りになりたい方は、7 月 27 日正午(米国東部時間)から配信される次回の『Talos IR On Air』をご視聴ください。Talos の Twitter と LinkedIn でライブ配信されます。配信終了後しばらくすると、録画が YouTube にアップされます。
シスコが提供するパープルチーム演習は、あらゆる規模の組織にとって有益です。サイバーセキュリティ インシデントが発生する前にサイバーセキュリティリスクの現状をプロアクティブにテストし、チームの TTP を強固なものにして、全体的なセキュリティ知識を高めることができます。
合同チームにとってのパープルチームの価値
シスコがお客様のパートナーとなり、パープルチームの専門知識と演習を提供します。内容はお客様の組織に合わせてカスタマイズしたものであり、現在の検出と対応能力をプロアクティブにテストして強化するためにご活用いただけます。パープルチーム演習は、攻撃(レッド)チームと防御(ブルー)チームによる共同の取り組みです。レッドチームは攻撃者の TTP を模倣します、一方、経験豊富な Talos IR の対応者で構成されたブルーチームが、お客様の組織の防御チームと協力して攻撃を検出し、対応にあたります。演習中にブルーチームは、組織内にすでにあるセキュリティの TTP ポリシーと手順を使用し、利用可能なセキュリティツールをテストします。こうした実戦的な模擬演習は、トレーニングやリソースのギャップを事前に把握し、組織のセキュリティ意識を高め、将来への備えを強化するのに役立ちます。
また、組織が現在のセキュリティツールセットの弱点を把握し、セキュリティ投資を最適化することにも役立ちます。セキュリティギャップを特定し共有することで、より洞察力のあるデータが得られ、これを将来のサイバーセキュリティ ソリューションへの投資の根拠とすることができます。情報に基づいて、どこにリソースを割り当てるかの意思決定を行うことで、効果のないサイバーセキュリティ ソリューションにリソースを浪費してしまうリスクが軽減し、セキュリティへの投資を最適化して現在および将来のニーズを満たすことができます。
パープルチーム演習は、ブルーチームとレッドチームのメンバー間で知識を交換する貴重な機会にもなります。
- レッドチームは、現状のさまざまなセキュリティ対策についてブルーチームから多くのことを学び、そうした対策を回避する新しい方法を見つけようとします。
- 一方、ブルーチームは、特定のツールや攻撃スクリプトなど、攻撃者が環境を侵害するために使用する具体的な手法に関する洞察を得ます。
組織に雇用されている内部の防御担当者は、パープルチームから直接得られた体験を生かして監視能力と検出能力の最新化と最適化を図り、新たなプロセスを構築することができます。
テストのアプローチと手順
パープルチーム演習は MITRE ATT&CK フレームワークを中心に設計されています。攻撃者が一般的に使用する TTP を検出、阻止するために、共通の用語で TTP を定義するものです。
演習では、Talos レッドチームと Talos インシデント対応チームがお客様のチームと協力し、一般的な攻撃と、それをどうやって検出するかについて知識を交換します。Talos IR の対応者は、お客様のセキュリティチームと密に連携して、Talos レッドチームが実行するすべての手法を適切に特定し、防御側の対策を検証します。パープルチームがワークショップ形式で関わることにより、社内セキュリティチームのメンバー間の信頼が高まり、実際の脅威に対する組織全体のレジリエンスを向上させるための土台が構築されます。Talos IR は明確に定義された手順を用いてお客様の組織のセキュリティチームと協力し、Talos レッドチームが実行するすべての手法を適切に特定し、記録された活動を検証します。
パープルチーム演習ではまず初めに、お客様と Cisco Talos が共同で既存のセキュリティ機能に基づいて攻撃シナリオを定義し、その検証を行います。このプロセスで重要な点は、導入されているさまざまなセキュリティ機能の長所と短所を評価し、懸念される領域を明確にすることです。
組織の環境と「至宝」と呼べる最重要資産を保護する観点から、懸念されるリスクに対処できるよう入念に考えたうえで、最終的なシナリオが個別に作成されます。シナリオの詳細を記載した文書を組織の代表者と合意してから攻撃が開始されます。実際に攻撃が行われている間、Cisco Talos チームはさまざまな項目に関する詳細な記録を収集することによって、セキュリティチームの対応を文書化します。具体的には、セキュリティ機能のカバー範囲、TTP を検出して分析するためのテレメトリを利用できるか、そして組織全体のセキュリティ能力などです。
脅威インテリジェンスを演習に組み込むことで、直面している脅威への理解を深め、セキュリティ防御における潜在的な脆弱性を把握することができます。Cisco Talos のインテリジェンスデータは、Talos パープルチームの能力を差別化する重要な要素です。Cisco Talos チームは、お客様が所属する業界や地域に関連する過去の脅威から得られる脅威インテリジェンスデータと、現在の攻撃活動に関する情報を組み込み、お客様に合わせて攻撃シナリオを作成します。お客様の組織を保護するために、Cisco Talos は四半期ごとおよび年次で脅威評価レポートを公開しています。このレポートは、最新の脅威インテリジェンスに基づいてシナリオを構築するための不可欠な要素です。最終的なシナリオは、Talos が実際に分析した具体的な現実の脅威をできるだけ忠実に再現することを目指しており、多くの場合、確認された脅威に関する既存の調査や、直接緊急対応を行った経験を活用しています。
パープルチーム演習の結果は、組織の環境が可視化されているかどうかで大きく変わります。セキュリティ運用チームは、自組織の環境を標的とする脅威を迅速に検出し、早い段階で阻止するために、十分なログと適切に設定されたセキュリティツールを必要とします。検出能力と可視性を検証することで、潜在的なセキュリティギャップに関する洞察が得られ、より適切にインシデントに備えることができます。
以下は、セキュリティ対応の具体的なニーズに応じてパープルチームが使用することのできる標準的なツールの一覧です。
- ウイルス対策、Endpoint Detection and Response(EDR)
- 従来型ファイアウォール、次世代ファイアウォール、Web アプリケーション ファイアウォール
- NetFlow、ネットワークテレメトリ
- 電子メールサーバーのログ、セキュリティアプライアンスのログ
- DNS セキュリティのログ、可視化ツールのログ
- オペレーティングシステムのログ、アプリケーションのログ
- オペレーティングシステムの補助機能のログ
- ネットワークプロキシのログ
- アプリケーションのログ
- データ損失防止のログ
攻撃シナリオの実行
パープルチーム演習の間、Talos IR チームは検出と特定作業にあたるセキュリティチームを積極的に、ただし出過ぎない程度に支援します。Talos レッドチームが事前に定義された攻撃を段階的に実行し、対象のホストまたは環境の一部を侵害すると、Talos IR がお客様のセキュリティチームと協力し、利用可能なすべてのセキュリティ機能で検出された攻撃活動を、ログを相互参照することによって完全に特定します。
攻撃者が使用した各 TTP について、Talos IR チームはセキュリティチームの対応状況を以下のように記録します。
- ログを記録し、アラートを出し、脅威を軽減した。
- ログを記録し、アラートを出した。
- ログを記録し、脅威を軽減した。
- アラートを出し、脅威を軽減した。
- 検出しなかった。
このような詳細な記録を基に、演習後のレポートを作成します。
攻撃シナリオの結果と報告
パープルチーム演習で最後に行うのは、レポートと結果報告会です。レポートには、演習中の全体的な活動、シナリオ構築段階での準備活動、検出と対応の検証結果がまとめられます。この演習レポートは、環境の検出能力を今後強化するための土台となり、企業のセキュリティレジリエンス強化への道を開きます。
パープルチーム演習は Talos の新しいサービスです。ご興味やご質問がございましたら、シスコアカウントチームの担当者にお問い合わせいただくか、Talos IR に直接電子メールでお問い合わせください。
本稿は 2023 年 06 月 29 日に Talos Group のブログに投稿された「How Talos IR’s Purple Team can help you prepare for the worst-case scenario」の抄訳です。