オフェンシブセキュリティとは何ですか?| IBM

オフェンシブセキュリティとは何ですか?

オフェンシブセキュリティ（OffSec）」とは、悪意のある行為者が実際の攻撃で使用するのと同じ手口を使用して、ネットワーク・セキュリティを害するのではなく、むしろ強化する、さまざまなプロアクティブなセキュリティ戦略のことです。一般的なオフェンシブセキュリティー手法には、レッド・チーミング、侵入テスト、脆弱性評価などがあります。

オフェンシブセキュリティオペレーションは、多くの場合、倫理的ハッカー、つまりITシステムの欠陥を発見し修正するためにハッキング・スキルを駆使するサイバーセキュリティの専門家によって実行されます。機密データを盗んだり、マルウェアを落としたりするためにシステムに侵入する本物のサイバー犯罪者とは異なり、倫理的ハッカーは許可を得た上で模擬的な侵入を行う。彼らは実際の被害を引き起こす手前で止まり、偽の攻撃から得られた調査結果を組織の防御強化に役立てます。

歴史的に、オフェンシブセキュリティーとは、攻撃者を行き止まりのディレクトリに誘い込むなど、攻撃者を困らせるための戦略も指します。このような対立的な方法は、今日の情報セキュリティの状況ではあまり見られません。

オフェンシブセキュリティの価値

オフェンシブセキュリティがなぜ重要であるかを理解するには、それをディフェンシブセキュリティと比較すると役立ちます。

ウイルス対策ソフトウェアやファイアウォールなどの防御的なセキュリティ対策は、設計上事後対応型です。これらのツールは、既知の脅威をブロックするか、不審な動作を検出するために構築されています。SOARプラットフォームのような高度なディフェンシブセキュリティツールの中には、進行中の攻撃への対応を自動化できるものもあります。

防御的なセキュリティ戦術は、進行中のサイバー攻撃を阻止するのに役立つが、こうした手法はセキュリティ・チームに多大な作業負荷をもたらします。アナリストはアラートとデータを分類して、実際の脅威と誤報を区別する必要があります。さらに、防御的なセキュリティ対策は既知の攻撃ベクトルからしか保護できないため、組織は新たな未知のサイバー脅威にさらされることになります。

オフェンシブセキュリティーは守備的セキュリティーを補完セキュリティチームは OffSec 戦術を使用して、他のセキュリティ対策が見逃す可能性のある未知の攻撃ベクトルを発見して対応します。また、オフェンシブセキュリティーは防御的なセキュリティよりも積極的です。オフェンシブセキュリティー対策では、サイバー攻撃が発生したときにそれに対応するのではなく、攻撃者が悪用する前に欠陥を発見して対処します。

つまり、オフェンシブセキュリティーは、防御的なセキュリティをさらに効果的にする情報をもたらします。また、セキュリティチームの負担も軽減されます。これらの利点により、一部の高度に規制されたセクターでは、オフェンシブセキュリティーが業界標準となっています。

オフェンシブセキュリティー戦術

オフェンシブセキュリティー専門家が使用する戦術、技術、および手順 (TTP) は、脅威アクターが使用するものと同じです。これらの TTP を使用することで、OffSec の専門家は、実際のハッカーが既存のセキュリティプログラムのテスト中に使用する可能性のある潜在的な脆弱性を根絶できます。

主なオフェンシブセキュリティー戦術には以下のようなものがあります：

脆弱性スキャン

脆弱性スキャンは、組織の IT 資産の脆弱性を検出するための自動プロセスです。これには、専用ツールを使用してコンピューターシステムの脆弱性をスキャンすることが含まれます。

脆弱性スキャナーは、特定のソフトウェアバージョンに関連する既知の脆弱性を資産から検索できます。また、一般的な SQL インジェクション文字列やその他の悪意のある入力にアプリがどのように応答するかを確認するなど、よりアクティブなテストを実行することもできます。

ハッカーは多くの場合、脆弱性スキャンを使用して、攻撃中に悪用できる脆弱性を特定します。次に、OffSec の専門家は、同じ脆弱性スキャナーを使用して、ハッカーが脆弱性を占拠する前にこれらの脆弱性を見つけて解決します。このプロアクティブなアプローチにより、組織は脅威の先を行き、防御を強化することができます。

ペネトレーションテスト

ペネトレーションテスト (「ペネトレーションテスト」) は、コンピュータシステムの脆弱性を見つけるために模擬サイバー攻撃を使用することです。基本的に、侵入テスターは人間の脆弱性スキャナーとして機能し、本物のハッカーを模倣してネットワークの欠陥を検索します。侵入テスターは攻撃者の視点を採用しているため、多くの場合、悪意のある攻撃者がターゲットとする可能性が最も高い脆弱性を正確に特定できます。

人間のセキュリティの専門家は侵入テストを実行するため、完全に自動化されたツールが見逃す可能性のある脆弱性を検出できます。ペネトレーションテスターは発見した欠陥を悪用するため、誤検知が発生する可能性は低くなります。サイバー犯罪者が欠陥を悪用できるのであれば、サイバー犯罪者も悪用できるのです。また、侵入テストはサードパーティのセキュリティサービスによって提供されることが多いため、社内のセキュリティチームが見逃してしまう可能性のある欠陥を発見できることがよくあります。

レッドチーミング

「敵対的シミュレーション」としても知られるレッドチームは、専門家のグループが現実世界のサイバー犯罪者の TTP を使用して、コンピューターシステムに対して模擬攻撃を開始する演習です。

侵入テストとは異なり、レッドチームは敵対的なセキュリティ評価です。レッドチームは、(実際の損害を引き起こすことなく) 攻撃ベクトルを積極的に活用して、どこまで攻撃できるかを確認します。レッドチームは、彼らを阻止しようとするセキュリティエンジニアのブルーチームとも対決します。これにより、組織はインシデント対応の手順を実地テストする機会を得る。

組織は社内にレッドチームを雇用するか、サードパーティと契約してレッドチーム演習を実施します。技術的な防御と従業員の意識の両方をテストするために、レッドチームの運用ではさまざまな戦術が使用される場合があります。一般的なレッドチームの手法には、ランサムウェアの模擬攻撃、フィッシングやその他のソーシャル・エンジニアリングのシミュレーション、さらにはテールゲーティングのような現場での侵害テクニックが含まれます。

レッドチームは、持っている情報の量に応じて、さまざまな種類のテストを実施する場合があります。ホワイトボックステストでは、レッドチームはターゲットシステムの内部構造とソースコードに対する完全な透明性を持っています。ブラックボックステストでは、レッドチームはシステムに関する情報を持たないため、現実世界のハッカーと同様に、外部から侵入する必要があります。グレーボックステストでは、レッドチームは、ネットワークデバイスの IP 範囲など、ターゲットシステムに関する基本的な知識を持っている可能性がありますが、それ以外の知識はほとんどありません。

オフェンシブセキュリティースキルとツール

オフェンシブセキュリティーへの取り組みには、実践的なハッキング経験、プログラミング言語の知識、Web アプリケーションのセキュリティに関する知識が不可欠です。これらの分野での専門知識を証明するために、オフェンシブセキュリティーの専門家は、多くの場合、オフェンシブセキュリティー認定プロフェッショナル (OSCP) や認定倫理ハッカー (CEH) などの認定資格を取得します。

OffSec チームは、オープンソースセキュリティテスト方法マニュアル (OSSTMM) やペネトレーションテスト実行標準 (PTES) などのオープンソースプロジェクトを含む、確立された倫理的なハッキング手法にも準拠しています。

オフェンシブセキュリティーの専門家は、次のような一般的なオフェンシブセキュリティーツールにも熟練しています。

Metasploit: IT システムに対するエクスプロイトを開発および自動化するためのフレームワーク主にペネトレーションテストや脆弱性評価に用いられます。

Kali Linux： ペンテストとデジタル・フォレンジック用に設計されたLinuxオペレーティング・システム。

Burp Suite: 脆弱性をスキャンし、Web トラフィックを傍受および変更し、攻撃を自動化できる Web アプリケーションセキュリティテストツール。

Wireshark: ネットワークトラフィックをキャプチャして検査し、ネットワーク通信におけるセキュリティ問題の特定に役立つネットワークプロトコルアナライザー。

Nmap: ネットワーク検出、ポートスキャン、サービス識別に使用されるネットワークスキャンツール。

Aircrack-ng: Wi-Fi ネットワークセキュリティをテストするためのツールスイートで、パケットの盗聴、ハンドシェイクのキャプチャ、パスワード暗号化の解読機能を備えています。

John the Ripper: パスワードハッシュに対してブルートフォース攻撃を実行するパスワードクラッキングツール。

sqlmap: Web アプリの SQL インジェクションの脆弱性を悪用するプロセスを自動化するツール。