banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。
ホームアーカイブ图文

レッドチームシナリオ用語

#红队359
AI 翻訳
この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示
AI が生成した要約
3840x2244 Yu jing artwork features cats, lanterns, rooftops, cranes, mountains, cityscape, and birds. Red Team terms include Allow-List, Assumed Breach, Blue Cell, Blue Team, and Command and Control (C2). Blue Team defends against threats, C2 is attacker's remote control system, and OPFOR is enemy forces. Red Team simulates attacks to improve security awareness. Threat models identify potential threats, while TTPs are tactical procedures. Webshell allows attackers to execute commands through web applications.

一般 3840x2244 余景艺术作品 猫 灯笼 建筑 屋顶 起重机(机器) 山脉 天际线 太阳 日落 水 云 城市景观 城市风景 鸟

赤チームの一般的な用語を理解することで、赤チームの攻撃をよりよく理解するのに役立ちます。

基づいて:RedTeam Development and Operations

許可リスト#

許可リスト

許可リストはホワイトリストとも呼ばれ、ホワイトリストに含まれる内容は信頼できるものです。ホワイトリストは通常、特定のリソースへのアクセス権を付与するために使用され、ホワイトリストによって指定されたルールに基づいて、ユーザー、IP、ファイル拡張子、ドメイン名など、複数のルールを指定できます。ホワイトリストのルールに一致するものだけがリソースにアクセスできます。ブラックリストと比較して、良好なルールリストを作成することは通常、より良い実践と見なされ、ホワイトリストはデフォルト拒否のルールを通じてセキュリティを強化します。

仮定侵入#

"仮定侵入"モデル

このモデルは、赤チームと青チームの攻防の前に、ある程度のアクセス権が得られていると仮定します。各組織はこの演習モデルに対して異なる理解を持っており、未成熟な組織は通常「誰かがネットワークに侵入できると仮定するのは異常だ」と主張します。「証明してください」と要求する人々は、この攻防シナリオを評価しないことが多いです。しかし、「侵入できるかどうか」を評価する際にはこの仮定が非常に重要です。これが重要なターゲットでない場合、「仮定侵入」モデルを使用することで時間とお金を節約でき、赤チームはより多くのターゲットを探索できます。成熟した組織はこのモデルを重視し、より複雑な攻撃の脅威から多くの脅威シナリオを引き出します。

青チーム#

青チーム

青チームは赤チームの対立チームであり、主に防御作業を担当します。青チームは通常、青チームのメンバー、組織の管理者、組織内の技術者で構成されます。内部ネットワークでは、感知デバイスを通じて赤チームからのトラフィックを検出します。

青チーム#

青チーム

脅威の侵入を防ぐチーム、防御側です。

コマンドと制御 (C2)#

C2

C2 は攻撃者のリモート制御システムを指します(Cobalt Strike が C2 です)。C2 には主サービスとクライアントがあり、クライアントは主サービスに接続してペイロードを生成し、ペイロードをターゲットサーバーにアップロードします。ターゲットサーバーが実行されると、シェルが反発し、ターゲットサーバーを制御し、任意のコマンドを実行できます。

C2 の階層は通常、インタラクティブ、ショートホール、ロングホールの 3 つに分かれます。これらは時々第 1、2、または 3 層としてマークされます。各階層には特有の特徴はなく、使用方法が異なるだけです。

  • インタラクティブ(インタラクティブ層)

一般的なコマンド、列挙、スキャン、データ漏洩などに使用されます。この層のインタラクションは最も多く、最大の露出リスクに直面します。通信障害、プロキシ障害、または青チームの行動によってアクセスを失うことを計画します。アクセスを維持するために十分なインタラクティブセッションを実行します。インタラクティブであるとはいえ、クライアントに大量のデータパケットを送信することを意味するわけではありません。良識を持って、インタラクションを操作を実行するのに必要な最小限に抑えます。

  • ショートホール(短距離層)

インタラクティブセッションを回復するためのバックアップオプションとして使用されます。ターゲットと統合された隠密通信を使用します。コールバック時間は遅くなります。1〜24 時間のコールバック時間は一般的です。

  • ロングホール

短距離と同じですが、より低く、遅いです。コールバック時間は非常に遅く、24 時間以上のコールバック時間は一般的です。

異なる C2 カテゴリは C2 が露出されるのを防ぐことを目的としており、異なる C2 は混用されません。

コントロールセル#

コントロールユニット,ホワイトセル,紫チーム

攻防演習中に審判の役割を果たし、青チームと赤チームを調整し、試合を進行させ、参加環境とネットワークを制御し、演習ルールを策定し、ROEルールの実施状況を監視します。

拒否リスト#

拒否リストブラックリスト

ブラックリストは、ブラックリストに載せられたものは特定のリソースへのアクセスを拒否します。通常、特定の有害なコンテンツをフィルタリングするために使用されます。

参加 / 演習制御グループ (ECG)#

参加/演習制御グループ

ECG は演習中のすべての活動を担当します。ECG は 1 人または 2 人の上級管理者(例:CIO または COO)、IT 部門のメンバー、紫チーム、および赤チームの連絡員で構成されます。必要に応じて、さらに多くのメンバーを追加できます。全員は Trusted Agents(信頼できるエージェント)と見なされます。

データ漏洩#

データ漏洩情報窃取

隠密トンネルを通じてターゲットから機密情報を抽出するプロセスです。

入る、留まる、行動する#

入る留まる行動する

赤チーム攻撃の 3 つのステップです。

入る#

ターゲットの内部ネットワークへのアクセス権を取得します。赤チームはターゲットネットワークへのアクセス権を取得する必要があり、そうすることでターゲット内部環境に入ることができ、後の STAY IN と ACT が可能になります。合法的な侵入や仮定侵入を通じて内部ネットワークへのアクセス権を直接取得できます。

留まる#

内部ネットワークに持続的な接続を確立します。赤チームは内部ネットワークで通常、権限を維持し、青チームに発見されないようにし、接続が切断されるのを防ぎます。

行動する#

内部ネットワークの浸透段階を開始し、より多くのターゲットや機密データを取得し、演習の目標を達成します。

IOC(侵入指標)#

侵入指標

IOC(Indicator of Compromise)は、コンピュータネットワークセキュリティにおいて、悪意のある活動を識別および検出するために使用される特定の手がかりや指標を指します。これらの手がかりや指標には、マルウェアの特徴、システムやアプリケーションの異常な動作、システムファイルの変更、ネットワークトラフィックの異常な動作、ユーザーアカウントの異常な活動などが含まれます。

IOC は、コンピュータやネットワークシステム内のセキュリティの脆弱性や攻撃行動を検出および特定するために使用され、将来のセキュリティ脅威を防ぐためにも役立ちます。システムやアプリケーションが攻撃を受けたり、マルウェアに感染した場合、IOC はセキュリティ専門家が迅速に脅威を特定、特定し、排除するのを助けます。さらに、IOC は侵入検知システムやセキュリティ情報およびイベント管理システムなど、他のセキュリティシステムと統合することができ、全体のシステムのセキュリティ性能を強化します。

一般的な IOC には以下が含まれます:

  1. ハッシュ値:マルウェアのユニークなハッシュ値を比較することで、識別および分析が可能です。

  2. IP アドレスとドメイン名:感染したコンピュータや通信サーバーのネットワークアドレスを特定し、攻撃元やコマンドおよび制御(C2)サーバーを特定します。

  3. 異常な動作:正常と異常な動作を比較することで、ファイルの変更、プロセス、計画されたタスクなど、システム内の活動を監視します。

  4. 脅威インテリジェンス:ハッカーのフォーラムや脆弱性通知など、悪意のある活動に関する公開情報を使用して、可能な攻撃者、攻撃方法、ターゲットを理解します。

敵方勢力#

敵方勢力

操作ログ#

操作ログ

赤チームのオペレーターが演習中にターゲット環境に対して生成した攻撃ログです。

操作影響#

操作影響

赤チームが演習中に達成した目標と効果には、ターゲット環境に対する戦略、戦術、操作レベルの影響、および任務の成功度の評価が含まれます。

操作影響は異なる攻防任務によって異なる場合があり、具体的な状況によって異なります。たとえば、ネットワーク浸透テストでは、操作影響には機密情報の取得、脆弱性を利用したシステムへの侵入、権限維持のためのバックドアの設置などが含まれます。赤チーム演習では、操作影響にはビジネスプロセスの覆し、重要なデバイスの破壊、機密データの窃取などが含まれます。

セキュリティ操作規範#

セキュリティ操作規範

攻撃者が防御者を敵と見なして対抗するためのセキュリティ意識であり、敵方情報が観察する可能性のある重要な情報に焦点を当て、それらの重要な情報が敵方に利用される可能性があるかどうかを考慮し、特定の措置を講じて敵が重要な情報を利用するのを排除または減少させます。赤チームテストにおける OPSEC の役割は、青チームが注意を払う可能性のある行動を理解し、露出を最小限に抑えることです。

参考:OPSEC と C2 についての考察

まとめ会議、高層#

まとめ会議、高層

演習終了後の最初の会議であり、この時点で赤チームの攻撃まとめ報告は出ていません。会議は管理層を対象としており、参加者にはターゲット組織の重要なメンバーが含まれるべきです。赤チームテストの結果は、組織の将来の運営に影響を与える可能性があり、脆弱性修正や人員変更のための資金が必要です。赤チームテストの結果を使用して組織のセキュリティ姿勢を改善し、脅威に対処する場合、管理意識と認識が重要です。

まとめ会議、技術#

まとめ会議、技術

技術会議は、赤チーム、青チーム、組織間の双方向の技術情報交流のプロセスです。この交流では、赤チームと青チームが実行プロセスと結果(すべての関連詳細を含む)の高度に詳細な技術レビューを提供します。これはトレーニングと教育の結合であり、すべての側面が学ぶ最も価値のある機会の 1 つです。

浸透テスト#

浸透テスト

一定の時間内にターゲットシステムの脆弱性を発見し、ビジネスリスクの観点から、浸透テストは攻撃面を縮小します。発見された脆弱性を修正することで攻撃面が減少するため、浸透テストは通常、組織全体が脅威にどのように対処するかには焦点を当てません。

権限維持#

権限維持

ターゲット環境でネットワークアクセス権を維持するプロセスであり、さまざまな技術を利用してネットワーク接続を維持します。

赤チーム#

赤チーム

赤色グループは、赤チーム攻撃部分を構成するコンポーネントを指し、指定されたターゲットに対する戦略と戦術の反応をシミュレートします。赤色グループは通常、赤チームのリーダーとオペレーターで構成され、通常「赤チーム」と呼ばれ、「赤色グループ」とは呼ばれません。

赤チーム#

赤チーム

攻撃チームであり、脅威や敵の視点から攻撃をシミュレートします。

赤チーム演習#

赤チーム演習

赤チーム演習は、戦術、技術、プロセス(TTP)を使用して現実の脅威をシミュレートするプロセスであり、スタッフ、プロセス、および環境を保護するための技術の有効性をトレーニングおよび測定することを目的としています。

ビジネスリスクの観点から、赤チーム演習は、トレーニングや測定を通じて脅威に対処するセキュリティ操作の能力を理解することに重点を置いています。演習中には通常、技術的な発見が明らかになりますが、これは重点ではありません。赤チーム演習は、セキュリティ操作の防御戦略と仮定に挑戦し、防御戦略の脆弱性や欠陥を特定することを目的としています。トレーニングや測定を通じてセキュリティ操作を改善することが赤チーム演習の目標です。

赤チームリーダー#

赤チームの運営および管理責任者として、赤チームの参加、予算、リソース管理を行い、参加、能力、技術に対する監督と指導を提供します。すべての法律、規制、ポリシー、および戦闘ルールを遵守することを確認します。

赤チームオペレーター#

赤チームオペレーター

赤チームの攻撃者であり、攻撃を実施する責任があります。

演習の攻撃者として、赤チームリーダーの指導に従い、赤チームの戦術、技術、プロセス(TTP)を使用して任務に参加し、赤チームに技術研究と能力サポートを提供します。任務の各段階で詳細なログを記録し、最終報告書の作成にログと情報のサポートを提供します。

参加ルール#

参加ルール

演習ルールであり、赤チーム、クライアント、システム所有者、および実行参加者間の責任、関係、ガイドラインを確立することを目的としており、任務の効果的な実行を確保します。

脅威#

脅威

事故を引き起こす可能性のある潜在的な原因であり、システムや組織に危害を及ぼす可能性があります。情報セキュリティにおける脅威には、情報への不正アクセス、破壊、漏洩、改ざん、サービスの中断を引き起こす可能性のある状況やイベントが含まれます。これにより、組織の運営(任務、責任、イメージ、評判)、組織のリソース、個人、他の組織または国家に悪影響を及ぼす可能性があります。

脅威モデル#

脅威モデル

脅威モデリングは、潜在的な脅威や適切なセキュリティ対策の欠如を特定し、それらをリストアップし、これらの脅威を軽減するための対策を優先順位付けするプロセスです。

脅威シミュレーション#

脅威シミュレーション

組織への脅威侵入のシナリオをシミュレートし、実際の侵入の効果を模倣します。

脅威シミュレーションは、特定の脅威の戦術、技術、プロセスをシミュレートするプロセスです。

脅威シナリオ#

脅威シナリオ

シナリオは、防御ソリューションがどのように実行され、安全任務に関連するプロセス、手順、ポリシー、活動、スタッフ、組織、環境、脅威、制約、仮定、およびサポートに適合するかに焦点を当てます。シナリオは通常、脅威の役割がターゲット環境内のシステムやネットワークとどのように相互作用するかを説明し、実際の侵入の効果を模倣します。簡単に言えば、これは防御側が結果、出力、または防御能力を提供するためにどのように動的に操作を実行するかという質問に答えます。

TTPs#

戦術、技術、プロセスの集合です。

脆弱性評価#

脆弱性評価リスク評価

情報システムに対する体系的な検査を行い、組織のセキュリティ対策が十分であるかどうかを確認し、セキュリティの欠陥を特定し、データを提供してセキュリティ対策の有効性を確認し、実施後に対策の十分性を確認します。ビジネスリスクの観点から、脆弱性評価は攻撃面を最小限に抑え、発見された脆弱性を修正し、最終的に攻撃面を減少させます。

ウェブシェル#

Webshell は、Web サーバー上で実行されるコマンドラインインターフェースであり、攻撃者が Web アプリケーションを介してサーバーと対話し、システムコマンドを実行することを可能にします。攻撃者は Webshell を使用してサーバーの機密情報を取得したり、ファイルを変更したり、悪意のあるコードをアップロードしたりすることができます。

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。