「サイバーセキュリティ レッドチーム実践ガイド」を読んだ
昨今のサイバー攻撃検知や防御の事情を知りたくなりました。
攻撃を検知したり防御するためには、敵の攻撃方法を知る必要があります。
ということで、以前から気になっていた下記の本を読んでみたので、復習を兼ねて記事にしたいと思います。
- 作者:Peter Kim
- 発売日: 2019/01/29
- メディア: 単行本(ソフトカバー)
目次
ペネトレーションテスト本との違い
著者が以前に出版している「サイバーセキュリティテスト完全ガイド ~Kali Linuxによるペネトレーションテスト~ 」と、今回の「サイバーセキュリティ レッドチーム実践ガイド」の内容は類似しているので、どちらを買おうか迷う人もいるのではないかと思います。
サイバーセキュリティテスト完全ガイド ~Kali Linuxによるペネトレーションテスト~
- 作者:Peter Kim
- 発売日: 2016/08/01
- メディア: 単行本(ソフトカバー)
私も同様に迷っており、本屋で内容を確認した上で「サイバーセキュリティ レッドチーム実践ガイド」を購入しました。
ペネトレーションテストでは、「特定のシステムにスコープを定め、脆弱性を見つけて、攻撃が成功することを立証し、レポートすること」を目的としています。対してレッドチームの活動では、「脆弱性を見つけて攻撃を立証、レポートすること」が目的ではありません。
レッドチームの活動は、「特定の企業や組織に対して、実際の攻撃者と同様の攻撃を行い、攻撃を適切に検知/対応できるかどうかをテストすること」を目的としています。
目的が違うので、従業員のスキルや人間の脆弱性、業務の運用方法なども攻撃の対象に含まれます。目的が異なるので、レポートの観点も異なるようです。
また、ペネトレーションテスト本は2016年の本なのに対し、本書は2019年の本なので、「情報がアップデートされているだろう」という期待もあってレッドチーム本を購入しました。
気になった箇所
本の流れに沿いつつ、気になった箇所を振り返ります。
目次全体の情報はこちら
サイバーセキュリティレッドチーム実践ガイド Peter Kim(著/文) - マイナビ出版 | 版元ドットコム
対象の偵察
ShodanやCensysでの検索、従業員のメールアドレスや対象企業が利用しているサブドメインの探索といった事前の情報収集方法が記載されていました。
その他にもGithubのリポジトリから情報を探したり、AWS S3の情報を探索する方法も紹介されており、現代の技術に合わせて偵察領域が広がっていることを感じました。
Webアプリへの攻撃
収集した情報を活用しつつ、Webアプリを攻撃します。
XSSなど定番の攻撃から、NoSQLインジェクションやテンプレートエンジンの攻撃、SSRFやXXEなど、最近の情勢に合わせた内容が取り上げられていました。
ネットワーク内での横展開
EmpireやResponder、Powershellなどを活用しながらネットワーク内で横展開する手法が記載されていました。
侵入後の調査
特別なツールを使わなくても、Windows標準のコマンドで攻撃に役立つ様々な情報が取得できることを知りました。
Windowsのコマンドはほとんど知りませんでしたが、覚えないといけないですね。
権限昇格
Empireを始めとしたツールで、権限昇格を狙える箇所の調査、権限昇格の実行方法が解説されていました。
また、Windowsの権限昇格についての参照情報が記載されていたので、こちらを活用して基礎を学習をしようと思います。
Windowsのドメイン環境
Windows標準のコマンドや、その他ツールを使ってActiveDirectoryの検索や、攻撃経路の調査を行っていました。こちらでもEmpireが大活躍していました。
KerberosやActiveDirectory、ドメインコントローラのようなWindows環境について知識が足りないので、もっと勉強が必要です。
ソーシャルエンジニアリングやフィッシング
ソーシャルエンジニアリングやフィッシングは、今でも効果の高い手法だそうです。
2要素認証を突破する考え方など、こちらも現在の状況に合わせた内容が記載されていました。
Microsoft WordやExcelのマクロを悪用した攻撃も紹介されており、こちらでもEmpireが大活躍でした。Empireは一度検証してみたいですね。
物理的なアクセス
セキュリティロックの突破、WiFi環境への攻撃に使う道具が紹介されていました。各種法律に触れるので、この部分は日本で学習するのは難しそうです。
ターゲット企業の端末に、攻撃用の端末を取り付けて外部からアクセスしたり、WiFiの認証情報を傍受したりするあたりは、「MR. ROBOT」や「Silicon Valley」の世界でした。
最後に
本書では、「従業員の脆弱性や業務の運用」をスコープに含めた、レッドチームとしての攻撃手法や考え方が記載されています。個別のシステムに対する攻撃手法については、ペネトレーションテスト本の方が詳しそうだったので、そちらの本も読んでみたいと感じました。
まずは1週目を読んだだけですが、レッドチーム活動の全体像をなんとなく理解できたと思います。
本書の中に、「実際に手を動かすための環境の作り方」についても記載があったので、2週目は実際に手を動かしながら学習を進めたいと思います。
税込み3,700円と安くはない本ですが、内容がとても充実しており、値段以上の価値がある本だと感じました。
次にすること
- Empireを使ってみる
- 本書の内容のうち、環境構築が簡単なものについて手を動かす
- 本書の攻撃を検知、防御する方法を検討する