発見事項がないことはリスクがないことを意味しない。
最近のCSOへの記事で、私は現在のSOCモデルの限界とリハーサルの重要性について述べてきました。今回は、ますます明らかになってきていることに焦点を当てたいと思います。それは、パープルチーミングがその深みを失ってしまったということです。
私たちは、レジリエンスのための最も強力なツールの1つを、安心感を与えるが、プレッシャーが現実のものとなったときに組織がどのように対処するかについてはほとんど明らかにしない、取引的な演習に変えてしまいました。
ケアと注意は、私たちの世界では希少な資産となっています。サイバーセキュリティの消費側と供給側の両方で、注意散漫が支配しています。クライアントは複雑さと新規性に引き込まれ、一方でサービスプロバイダーは締め切りと成果物に引き込まれています。
その間に、攻撃者は—ますますAIによって強化され—より速く、より静かに、そしてより断固としたものになっています。
脅威が加速するとき、表面的なテストはもはや十分ではありません。
発見事項がないことはリスクがないことではない
私はこのパターンをあらゆる場所で見てきました。パープルチームのエンゲージメントが一連の印象的な成果を生み出します。レポートは良く見えます。発見事項は期待と相関しています。リーダーシップは安心感を覚えます。
しかし、ある結果はしばしばその結果として扱われ、まるで発見事項がないことがリスクがないことを意味するかのようです。これは欠陥です。
業界のデフォルトのアプローチは、時間的プレッシャー、商業的制約、そして狭すぎるスコープによって形作られています。これはどれも悪意によるものではなく、単にシステムがそのように進化してきたというだけです。プロバイダーは契約されたものを提供し、クライアントはレポートを深みのしるしとして受け取ります。
省略は、時間的プレッシャーや精神的余裕の欠如によって引き起こされることが多く、目に見えません。そして、目に見えない省略こそが最も危険な種類です。
「破られるはずがなかった」2つのクライアント
最近、私たちは2つの非常に成熟した組織と仕事をしました。書類上では、両者とも破ることができないものに近く見えました。
標準的なパープルチームを実行する代わりに、私たちは彼らとエンゲージメントを共同で設計しました。私たちは、断固とした攻撃者がそうするように問題を見つめ、暗黙知を率直に共有しました—私たち自身のものと彼らのものの両方を。重要なことに、関わった全員が実施されている制御を可視化していました。それは監査ではなく、真のサイバーセキュリティパートナーシップでした。
そして両組織は侵害されました—深く—侵害の兆候がほとんどないままに。
あるケースでは、侵害の指標は1つだけでした。「ドメイン管理者」です。それがどのように起こったかについては何もありませんでした。次に何をすべきかについても何もありませんでした。本能的または自動的な対応はありませんでした。その背後にプレイブックのない赤いランプが点灯しただけです。
別のケースでは、SOCは複数のシグナルを検知しましたが、時間内に行動することは決してありませんでした。行動のない検知は単なるノイズです。
その経験は謙虚なものでした。そしてそれは率直な質問を強制しました。「あなたたちは私たちを見た。だから何?」
それが本当のテストです。SOCが何かを見るかどうかではありません。それが何かをするかどうか—損害を止めるのに十分速く、十分正確に—です。
標準的なパープルチーミングではそこに到達できない
パープルチーミングはこれらの現実を明らかにする規律であるべきですが、現在のモデルがそうすることはまれです。サービスプロバイダーは、バイパス、エクスプロイト、「勝利」に焦点を当てる傾向があります。クライアントは、チケットのクローズ、エンゲージメントの完了、そしてレポートの取得に焦点を当てます。
どちらのマインドセットも、深い思考に必要な余地を作り出しません。
もし私たちが仕事を急いでいたら、私たちが見つけたものを決して見つけられなかったでしょう。時間的プレッシャーは、ほとんどの組織が認識している以上に結果を形作ります。テストが標準的な9時から5時までに制約されると、チームが実際の侵害につながる条件をどこまで探求できるかが制限されます。
レジリエンスは「ブレーキ」の瞬間である
あなたが運転していて、前の車が突然ブレーキをかけるのを見たと想像してください。認識は役立ちますが、衝突を避けるのはあなたの即座の反応です。その瞬間には保険プランは重要ではありません。コンプライアンスレポートやダッシュボードも同様です。
警戒とリハーサルだけが重要です。
サイバーレジリエンスも同じように機能します。年に1回のシミュレーションを実行することで行動するために必要な本能を構築することはできません。それを構築するのは繰り返しによってです。特定のシナリオがどのように展開するかをテストすることによってです。敵対者がどのように侵入するかだけでなく、どのように移動し、エスカレートし、回避し、そして流出させるかを検証することによってです。
これが真のパープルチーミングの核心です。
AIはどちらの組織にも役立たなかった
両クライアントはSOCにAIを組み込んでいました。そしてそれは何の違いももたらしませんでした。
AIは分析を加速できますが、直感、設計、または行動するために必要な判断を置き換えることはできません。シグナルが現れたときに何をすべきかを組織がリハーサルしていない場合、AIは全員が次に何が起こるかを知らないことに気づく瞬間を加速するだけです。
これが、今日の多くのテストが日和見的な攻撃にのみ対処している理由です。それは手の届きやすい成果を片付けます。しかし、組織犯罪がこれらの組織を欲していたら、彼らはそれらを手に入れていたでしょう。そしてそれは書きやすい文ではありません。
誤った自信を生み出すモデル
標準的なテストモデルは関係者全員を罠にかけます:
- 一度限りのテストは誤った自信を生み出します。
- スコープは想像力を制限します。
- 時間的プレッシャーは深みを排除します。
- 商業構造はコラボレーションを思いとどまらせます。
- ツールは能力の錯覚を与えます。
- コンプライアンスは、厳格さの現実の代わりに厳格さの外観を奨励します。
これが、パープルチーミングがしばしば「飛び出す、安定させる、シュートを引く、着地時に転がる」になる理由です。しかし、困難なシナリオはどうでしょうか?部分的な展開はどうでしょうか?複雑な障害はどうでしょうか?それがレジリエンスが構築される場所です。
そして今日、レジリエンスは唯一の意味のある指標です。
新しいマインドセット:遅く、一貫性があり、関与し、成果主導
- ミッションの共同所有権。
- 両側で共有される暗黙知。
- 制御への完全な可視性。
- 設計されたシナリオ、購入されたものではない。
- 繰り返しとリハーサル。
- 考える余地。
- 規律あるシンプルさ。
- バイパスではなく「だから何?」への焦点。
これはシステム思考です。エンジニアリングです。心理学です。それは、あらゆる意味で、標準モデルよりも困難な作業です。
しかし、両側が互いを押し上げ、目的がレポートを作成することではなく現実を明らかにすることであるとき、一見不可能なことが可能になります。
パープルチーミングは侵入することについてです、確かに。しかしそれはその後に何が起こるかについてでもあります。一貫性と成果に焦点を当てた異なるアプローチがなければ、組織はテストに合格し続けながら実践では失敗し続けるでしょう。
