レッドチームが想定外の脆弱性を発見するとき

多くの組織は自分たちがセキュアであると考えている——しかし、レッドチームがそうでないことを証明するまで。私の28年のオフенсивセキュリティの経験の中で、実際の攻撃者による戦術が企業の防御システムに適用されると、どれほど迅速に自信が崩壊するかを目にしている。レッドチームの作戦はシステムをテストするだけでなく、決心した、洗練された、攻撃者の視点から達成可能なアクセスの限界を突き出す。多くの場合、交戦規則は広く、サーバーサイドの攻撃だけでなく、ソーシャルエンジニアリング、ワイヤレス、物理的なテクニックも許可される。私たちが作戦で発見することは、壊滅的なレベルのアクセスが可能であるということである。

私と私のチームは、ネットワークの足がかりを獲得し、特権を昇格させて、商業用の爆発炉、ドライバーのコード署名インフラストラクチャ、給与システム、機密の知的財産、銀行のホストシステム、CCTVシステム、CFOの受信トレイ、MRI/X線マシンの結果、機密の医療情報を含むファイル共有、CEOの2番目の自宅がVPNで企業ネットワークに接続されている、多くのActive Directoryフォレストの完全なハッシュダンプにアクセスし、制御することができた。

クラウドリソースを妥協した後、私たちはオンプレミスネットワークに切り替え、オンプレミスからクラウドベースの足がかりに作戦を切り替えた。時々、大きなターゲットほど簡単であることがある——情報セキュリティの予算の規模に関係なく。これは、攻撃者と防御者之间の非対称性によるものである。より大きな規模ほど、意図せず公開された弱点の機会が増える。これらは理論的なリスクではない。実在するものであり、多くの組織がこのレベルの妥協に脆弱であることを認識していない。

足がかり

外部からの侵入は、より深い妥協の扉を開く初期のアクセスポイント——足がかり——から始まる。私たちの仕事では、足がかりを4つの主なタイプに分類する。

1. ソーシャルエンジニアリング

一般的ではあるが、私たちが最も報われないと考えるものである。ユーザーをリンクをクリックしたり、資格情報を明らかにしたりするように欺くことは効果的だが、洗練された攻撃者のスキルを反映していない。まだ、私たちは攻撃者がCFOのメールを偽装して「緊急」のワイヤー送金を開始したり、ヘルプデスクのプロトコルをバイパスするためにAI生成のボイスクローンを使用したりしている。

2. パスワードスプレー

この低速なテクニックは依然として最も効果的なものの1つである。一般的なパスワードを大規模なユーザーリストに推測することで、攻撃者はロックアウトを避け、多くの場合成功する。私たちは、パブリックソースからスクラップした数千のユーザー名に対して「Summer2025!」というパスワードを使用してネットワークを侵害した。企業ユーザーの1,000人に1人以上がそれを選択する可能性がある——「summer」や「2025」や「25」という文字列をブロックする単語の適用がなければ。より長いパスワードポリシーの場合、「Summertime2025!」という例を推測する。

3. MFAの弱点

マルチファクターアウテンティケーションは不可欠ですが——完璧ではない。すべてのセキュリティコントロールと同様に、徹底的で一貫した展開が重要である。私たちはプッシュ疲労、条件付きアクセスのループホール、古い登録リンクを使用してMFAをバイパスした。ある場合、私たちは6か月前に侵害された受信トレイで見つかったリンクを使用して、自分のデバイスを登録した。

4. 利用可能な脆弱性

カスタムWebアプリは特に脆弱である。私たちは、SQLインジェクションからパストラバーサル、オブジェクトのデシリアライゼーションバグ、基本的なユーザーがチェックアウト時に自分で価格を設定できるロジックの欠陥まで、すべてを利用してきた。古くなった商用ソフトウェアコンポーネントは、パッチされなければリモートコードの実行につながる可能性がある。

現実の確認：コンプライアンスvs.露出

セキュリティ監査は多くの場合、陽気な絵を描く。しかし、レッドチームはスクリプトの外側で動作する。レッドチーム作戦の交戦規則は、標準のペネトレーションテストよりも広い——目標のある攻撃者をシミュレートする。
多くのエンゲージメントでは、クライアントは複数の会社からの過去のペネトレーションレポートの宝庫を持っているが、ほとんど「侵入」の実証がない。私たちがこの認識を修正することは珍しくない——基本的な非認証の外部からのペネトレーションテストから重要なレベルのアクセスを達成することによって。認識されたリスクと実際のリスクの間のギャップは広い。品質の高い、網羅的なペネトレーションテストは、目標ベースのレッドチーム作戦よりも、セキュリティの姿勢が未熟な組織にとってより貴重である。

AIのオフенсивセキュリティにおける役割

AIはまだレッドチームの人間の工夫を置き換えていないが、ワークフローを加速させている。私たちは、概念実証のエクスプロイトを構築するために、攻撃面を分析するために、フィッシング作戦中に声のシミュレーションを行うために、そして本物のようなフィッシングキャンペーンを構築するために生成AIを使用している。パブリックバグバウントーリストでトップランクを獲得したエージェントオフенсивAIの台頭は、来るべきものの兆しである。

防御者のための共感

私たちの攻撃的な役割にもかかわらず、私たちは防御者を深く尊重している。非対称性は実在する——防御者は24時間365日完璧でなければならない；攻撃者は1つのミスだけが必要である。したがって、私たちのレポートは脆弱性、キルチェーン、スクリーンショット、実際の影響だけを強調するのではなく、テスト中に遭遇した肯定的な実践を最優先に記載する。私たちは、これらを発見するよりもそれらを書くことを楽しんでいる。私たちはあなたのチームの一員として教育し、是正するために——あなたをさらすために——ここにいる。

結論：想定外のことは多くの場合、目の前にある

レッドチームは欠陥を発見するだけでなく——組織に不快な真実に直面させる。セキュリティのファサードは多くの場合、壊れやすいシステム、ミスコンフィギュレーション、見過ごされたリスクを隠している。私たちが想定外のことを発見するのは、批判するためではなく——強化するためである。

セキュリティでは、現実の確認は選択肢ではない——それが「紙の上ではセキュア」 とフロントページの侵入の間にある唯一のものである。