業界を問わず、多くの組織がサイバー攻撃の大幅な増加を経験しており、特に重要なインフラプロバイダーやクラウドベースの企業が標的となっています。Verizonが最近発表した2025年データ侵害調査報告書によると、確認された侵害は前年比で18%増加し、脆弱性の悪用が初期アクセス手段として34%増加しています。
攻撃の量と影響が増す中、多くの組織はセキュリティツールとコンプライアンス基準を最初の防御線として採用しています。これらはサイバーリスクを軽減するために重要で必要な要素ですが、それだけでは万能薬ではありません。効果的なセキュリティには人、プロセス、そして技術が必要ですが、特に人が主要な推進力として機能しなければなりません。ツールやチェックリストは、それを実行する実践者の能力に依存しています。
これにより、セキュリティ機能のすべての役割において攻撃的なオペレーショントレーニングに投資することの重要性が高まります。攻撃的なオペレーションはしばしばレッドチームやペネトレーションテスターの専用領域と見なされますが、その狭い視点はその価値を制限します。倫理的ハッキング、ペネトレーションテスト、その他の攻撃的スキルは、セキュリティチームの多くの役割に利益をもたらす重要な洞察を提供します。これは、脅威アクターがどのように考え、行動するかについての深い理解を実践者に提供し、組織のセキュリティ姿勢を直接強化する基礎的な知識です。
この形の没入型で高影響なトレーニングへの投資を優先するCISOは、労働力をスキルアップさせ、進化する脅威に適応する準備が整ったより機敏なチームを作り出すことができます。内部からの視点として、ハッキングを学ぶことがどのようにして4つの非攻撃的なセキュリティ役割に利益をもたらすかを以下に示します。
新しい実践者: 脅威の状況を把握する#
サイバーセキュリティの労働力は、他の業界とは異なり進化しています。世界的な人材不足を補うための努力により、近年、数百万の新しい実践者がこの分野に参入しました。これにより人員は増加しましたが、スキルの開発は依然として遅れています。私たちのSANS GIAC 2025年サイバー労働力調査報告書によると、セキュリティリーダーの52%が、利用可能な専門家の数ではなく、適切なスキルを持つ個人の不足が主な課題であると示しています。
特に従来のIT役割や非セキュリティのバックグラウンドを持つ新しい実践者は、攻撃的なトレーニングに触れることで大いに利益を得ます。攻撃者の戦術、技術、手順(TTP)を報告書やコースウェアで読むことは価値がありますが、シナリオベースのシミュレーションでそれらを実行することには及びません。誤設定されたウェブサーバーの悪用やアクセス制御の回避など、一般的な攻撃経路を積極的に再現することで、実践者は脅威アクターがどのようにコントロールのギャップを利用するかを理解し始めます。この経験は、リスクをより直感的に把握する能力を育み、新参者にセキュリティ問題に戦術的な視点から取り組むことを教えます。
攻撃者の方法論を理解することは、より良い優先順位付けを促します。どの脆弱性が最も悪用されやすいか、どのアラートが本当に悪意のある活動を示しているかを特定するのが容易になります。オープンソースのフレームワークから商用ペイロードまで、攻撃者のツールに触れることで、実践者は現実の脅威の状況がどのようなものかをより具体的に理解できます。この知識は、検出エンジニアリング、トリアージ、修復、その他の様々な取り組みに貢献する準備を加速します。
インシデントハンドラー: 二歩先を行く#
生成AIのTTPへの統合により、一般的な脅威アクターは単一の侵害で取り返しのつかない損害を引き起こす能力をますます高めています。これにより、インシデント対応はこれまで以上に迅速さ、明確さ、正確さを要求されるようになり、誤差の余地は極めて小さくなっています。ツールと自動化は検出を支援しますが、実践者は複雑なセキュリティ環境で運用効率を最大化するために位置づけられていなければなりません。したがって、敵対者がどのように行動するかを理解しているインシデントハンドラーは、単純なプレイブックを超えて意図を持って対応する準備が整っています。攻撃的なトレーニングはこの本能を研ぎ澄まします。特権昇格、持続技術、または横方向の移動をシミュレーション環境で練習することで、ハンドラーは攻撃者の目的を認識し、アラートが発生する前に次のステップを予測することができます。
攻撃者はしばしば繰り返し可能なワークフローに従います。自分自身でこれらの技術を実行したことがある場合、たとえば誤設定されたActive Directoryの権限を悪用したり、トークンの偽装を利用したりすると、検出ツールが見逃す微妙な妥協の指標により敏感になります。さらに、敵対者の行動に関する深い知識は、より迅速な根本原因分析と封じ込めをサポートします。脅威アクターの制約と習慣を知ることで、対応チームは積極的にハントし、影響を受けたシステムをより正確に隔離し、根本的な弱点に対処する修復策を推奨することができます。
フォレンジックアナリスト: デジタルアーティファクトの文脈化#
デジタルフォレンジックは、ログ、メモリダンプ、ファイルシステム、その他のアーティファクトを使用してイベントを再構築する能力に依存しています。フォレンジックツールは可視性を提供しますが、その出力は実際の文脈がなければ明確な意味を持たないことがよくあります。攻撃的な技術を学び、実行したことのあるアナリストは、技術データの背後にある運用パターンを認識する可能性が高くなります。その洞察は、基本的な報告書と実際に攻撃者の活動を反映した報告書の違いを意味するかもしれません。
アナリストがトレーニング環境で悪意のあるペイロードを作成したり、ログメカニズムを回避したりした場合、ツールがフラグを立てている内容の微妙なニュアンスをよりよく解読できます。これにより、偽造されたタイムスタンプ、改ざんされたレジストリキー、または異常なプロセス実行シーケンスを認識するのに役立ちます。アナリストはその後、より強力な仮説を立て、横方向の移動をより正確に追跡することができます。
セキュリティマネージャー: 敵対者の洞察で戦略を検証する#
セキュリティマネージャーは、サイバー防御を組織の優先事項や進化するビジネスリスクに合わせる責任を負うことがよくあります。彼らは直接的に検出ルールを作成したり、インシデントに対応したりするわけではありませんが、彼らの決定はリスク姿勢やプログラムの成熟度に長期的な影響を与えます。適切な倫理的ハッキングプログラムに参加したマネージャーは、他では得られにくい戦略的な明確さを得ることができます。彼らは高品質なペネトレーションテストがどのようなものか、実際の敵対者がどのようにシステムの弱点を悪用するか、そして彼らのチームにどのような盲点があるかを知っています。
その視点は、ツールセットや偽の安心感を提供するコンプライアンスフレームワークに過度に依存することを避けるのに役立ちます。敵対者が低深刻度の脆弱性を連鎖させ、弱い設定を回避し、人間の行動を悪用する方法を理解していると、ベンダーや内部チームに適切な質問をするのに役立ちます。また、より意味のあるレッドチームの目標を定義し、テストの努力からのROIを評価し、修復の努力がポリシー違反ではなく、実際に悪用可能なギャップに焦点を当てることを保証します。
エッジを鋭くする準備はできていますか?私と一緒に、SANSサンアントニオとSANS攻撃的オペレーションズイーストでの2つのライブトレーニングイベントに参加し、SEC560: エンタープライズペネトレーションテストコースで攻撃者の洞察を戦略的優位に変えましょう。最前線でチームの能力を高めましょう。
注: この記事は、SANS主任講師のJon Gorenfloによって専門的に執筆され、寄稿されました。彼の背景とコースについてはこちらで詳しく学べます。
翻訳元: https://thehackernews.com/2025/05/learning-how-to-hack-why-offensive.html