攻撃的セキュリティテストについての洞察
セキュリティの専門家が直面するプロセスと課題についての研究。
― 1 分で読む
攻撃的セキュリティテストは、悪意のある人たちが利用する前にソフトウェアの弱点を見つけるために使われるんだ。これらのテストは、ペネトレーションテスターやエシカルハッカーとして知られるスキルのあるプロたちによって実施されることが多いんだけど、こういう専門家が足りないから、すべてのソフトウェアをセキュリティの問題でテストするのが難しいんだ。だから、研究者たちはテストプロセスをもっと簡単で効率的にする方法を模索しているよ。そのためには、ハッカーたちの考え方や彼らが直面する課題を理解することが大事なんだ。
この記事では、セキュリティプロフェッショナル12人を対象にした研究を紹介して、彼らの仕事や直面する問題を理解しようとしてる。彼らの経験を分析することで、セキュリティツールの効率を改善し、新たな探究の領域を見つけるための洞察や提案を提供することを目指しているんだ。
セキュリティテストの必要性
どんどん多くのデバイスが公衆ネットワークに接続されるようになると、攻撃のリスクも増えていく。すべてのソフトウェアが欠陥なしであればいいんだけど、現実はそうじゃない。セキュアなソフトウェアを開発して防御的なセキュリティテストを行うことは長期的には重要だけど、今すぐに既存のソフトウェアの問題を見つけて修正する必要があるんだ。
ペネトレーションテストは、セキュリティ上の欠陥を見つけて修正するための実用的な解決策の一つだよ。このテストは、欠陥が悪用される前に脆弱性を発見することを目指している。ただ、こういうテストを実施するためのスキルのあるセキュリティ専門家が不足しているのが問題なんだ。この不足を解消するためには、既存のテスターの効率を向上させるためのより良いツールが必要なんだ。
既存の研究はあるけど、セキュリティ評価がどのように行われているか、ハッカーがどの攻撃を行うかを選ぶ際のプロセスについての詳細な情報が不足している。これらの実践を理解することは、有用なツールを作成し、セキュリティテストに関わるプロセスを改善するために重要なんだ。
研究課題
この研究の焦点を定めるために、3つの重要な研究課題を設定したよ。方法論のセクションでは、我々の研究アプローチを説明しているんだ。
1. 一般的なセキュリティテストはどうなってる?
この記事では、ハッカーによって行われるさまざまなタイプのセキュリティ評価、そのプロセス、そして自動化の役割について説明するよ。
2. ハッカーはどのように作業を行う?
参加者の背景や経験を探求するんだ。その結果、彼らのトレーニングや仕事を導く思考プロセスに光を当てることができる。
3. 改善できる面倒なまたは時間がかかる部分は?
このセクションでは、効率が向上できると特定された領域について話し、研究者やツール開発者のニーズに基づいてグループ化するよ。
関連研究
ほとんどの研究は、安全なソフトウェア開発や防御的テストに焦点を当てていて、攻撃的セキュリティテストはあまり注目されてこなかった。我々の研究は、セキュリティ評価の際にハッカーがどのように動作するかを理解することを目指しているんだ。
過去の研究では、中小企業におけるサイバー脅威に関する経験が見られたけど、我々は攻撃されている企業よりもハッカー自身に焦点を当てている。セキュリティプロフェッショナルの考え方や仕事の進め方に関する研究が不十分だったことを強調するんだ。
多くの出版物がペネトレーションテストについて論じているけど、オペレーターの思考プロセスや決定には深く踏み込んでいない。我々の研究は、セキュリティ専門家が仕事をどう進め、直面する課題を探ることによってこのギャップを埋めるんだ。
ハッカーになるには
我々の研究の参加者は、ハッキングの分野への旅を共有して、多くの共通テーマを明らかにしたよ。
学歴
ほとんどのインタビュー対象者は大学のバックグラウンドがあって、多くはITや関連分野の学位を持っているんだ。かなりの数がITセキュリティの高度な教育を受けている。この傾向は、セキュリティトレーニングの重要性への認識の高まりを反映しているよ。
ITセキュリティ以前の経験
インタビュー対象者は、ITでの経験があったからこそセキュリティ分野に移行できたと言ってたよ。ITの広い知識と専門的なスキルの組み合わせが役立つと見なされているんだ。
常に最新情報をキャッチ
すべての参加者は、自己学習の重要性を認識していて、ソーシャルメディア、オンラインコース、カンファレンス、同僚たちを利用してトレンドや新しい脆弱性に対応しているんだ。
CTF参加
多くのプロフェッショナルがCTF(キャプチャ・ザ・フラッグ)競技に参加していて、これが仕事に役立つスキルを提供しているって。これらのイベントは教育的でありつつ、コミュニティとの交流の場でもあるんだ。
ハッカーはどう働くの?
プロジェクトによって異なるけど、特定のタイプのペネトレーションテストには明確な要件と戦略があるよ。様々なセキュリティ評価の概要を紹介するね。
セキュリティテストの種類
脆弱性評価: これらのテストは広範なカバレッジを目指していて、既知の脆弱性をスキャンすることが多い。対象が多いため、高度な自動化が必要なんだ。
ペネトレーションテスト(ペンテスト): これらは特定のターゲットに深く掘り下げている。ソフトウェア内の新しい脆弱性を探すことに焦点を当てていて、特にカスタムアプリケーションに対して手動で行われることが多い。
内部ネットワークテスト: これらは社内のネットワークのセキュリティを評価するもので、攻撃者がすでにいるという前提で、機密データを見つけたりアクセスを増やしたりすることが目的なんだ。
運用技術(OT)テスト: これらのテストは発電所のような重要なインフラに焦点を当てていて、潜在的なリスクを最小化するためにクライアントとの厳格な調整が必要だよ。
レッドチーミング: このアプローチは、企業への攻撃を模擬してその対応をテストすることを含む。目的は特定されていて、戦術にはソーシャルエンジニアリングやステルス技術が含まれるんだ。
ブラックボックス対グレーボックスセキュリティテスト
テストアプローチの大きな違いは、クライアントから提供される情報のレベルだよ。
ブラックボックステスト: これは、システムへの洞察なしに始めて、テスターのスキルだけで脆弱性を見つけることを含む。
グレーボックステスト: ここでは、いくつかの情報が共有されていて、より焦点を絞ったアプローチが可能になるんだ。
全体的に、参加者たちはグレーボックステストの方が効率を改善できると提案しているよ。
一般的なテストワークフロー
インタビュー対象者は、異なるタイプのテストのための典型的なワークフローを説明した。多くのタスクが探索的テストとより構造化されたチェックリストアプローチの両方を含んでいるんだ。
ウェブペネトレーションテストでは、テスターはしばしば認証チェックに焦点を当てて、ユーザーのアクセスが適切に制限されているか確認しているよ。一般的な脆弱性チェックに対して自動化ツールも広く使われている。
内部ネットワークテストは通常、静かに始まって、より目立つ活動にエスカレートする段階的アプローチを取る。テスターは、アクセス可能なデータから資格情報を集め、その後、ネットワーク内を横移動していく。
一般的なツール
インタビュー対象者はさまざまなツールを使用していて、それぞれの長所と短所がある。多くは既存のソリューションに依存しているけど、ごく少数は特定のタスクのためにカスタムツールを作成しているんだ。
自動化ツールの設定は、特に時間の制約がある場合に手間がかかることもある。ソーシャルエンジニアリング攻撃のように、微妙な人間の判断が必要な一部の領域では、自動化が不適切と見なされていたよ。
ハッカーはどう考える?
セキュリティ専門家の考え方を理解することは、彼らが何をしているかを知るのと同じくらい重要なんだ。インタビューを通じて、彼らの意思決定プロセスに関するいくつかのテーマが浮かび上がったよ。
既知の脆弱性と新しい脆弱性
参加者たちは、既存の脆弱性を探すのと新しい脆弱性を狙うのを明確に区別していた。この違いが、テストへのアプローチや使用するツールに影響を与えるんだ。
脆弱な領域の特定
インタビュー対象者は、経験に基づく直感を使って探索的テストを導くことを説明していた。彼らはリクエストとレスポンスを分析して、脆弱性を示唆する予期しない動作を明らかにするんだ。
不確実性への対処
ハッカーは、テストしているシステムについて完全な情報を持っていない環境で日常的に作業しているよ。彼らは教育的な推測をし、受け取る反応に基づいて戦略を徐々に適応させていく。
タイムマネジメント
効率が重要で、多くの参加者が時間をうまく管理する必要性を指摘していた。彼らは、無駄なタスクを避け、高インパクトの行動に焦点を当てることを目指しているんだ。
品質管理
テスターにとって、特に機密データを扱う場合、仕事の質は大きな関心事だよ。彼らはチェックリストや協力作業を利用して、徹底的なテストを確保しているんだ。
変化への対処
セキュリティの分野は常に進化している。防御が向上するにつれて、ハッカーは戦略を適応させなければならない。一部の領域がより難しくなっていて、プロたちは別のタイプのテストに焦点を移しているんだ。
討論と示唆
我々の発見を振り返りながら、研究と業界の実践の整合性に関する重要なポイントを要約することができるよ。
研究はプロジェクトスコープと一致しなければならない
セキュリティテストが時間とリソースの観点からどのように構成されているかを理解することは、効果的な研究のために重要なんだ。開発はテスターが直面する実際の制約を考慮すべきだよ。
今後の研究の機会
いくつかの領域は、セキュリティ実務者に直接役立てるためのターゲット研究から恩恵を受けることができるんだ:
認可テストの自動化: このプロセスはしばしば時間がかかるから、自動化に関する研究は大きな効率向上を生む可能性があるよ。
グレーボックステストソリューション: 利用可能なソースコードや設定に基づいてテストを自動化する方法の調査が、より効果的なセキュリティ評価の作成に役立つ。
APIテストの自動化: APIのためのテストケースを手動で作成するのは面倒だから、このプロセスを自動化する方法を見つけることが手続きを効率化できる。
情報収集: 重要なデータを収集するための自動化手法を開発することで、内部ネットワークテストやレッドチームの取り組みでの効率が向上するんだ。
スケーラブルなフィッシング手法: 機械学習を利用してフィッシングをパーソナライズすることで、ソーシャルエンジニアリングの戦術の効果を高めることができる。
OTテストのためのヒューマン・イン・ザ・ループ: 敏感な環境での自動化と人間の監視をバランスよく取り入れることで、テストの質と安全性が向上する。
知識コミュニティの研究: セキュリティ専門家が最新情報をキャッチする方法を調査することで、彼らのニーズに合った教育リソースをより良く開発できる。
結論
セキュリティプロフェッショナルの仕事と考え方を探求することで、彼らが直面する課題やセキュリティテストの実践を改善する機会について貴重な洞察を得られる。実務者と研究者の間の継続的な研究と協力が、両方の分野に利益をもたらす進展につながり、最終的にはすべての人々のセキュリティ状況を改善することができるんだ。
タイトル: Understanding Hackers' Work: An Empirical Study of Offensive Security Practitioners
概要: Offensive security-tests are a common way to pro-actively discover potential vulnerabilities. They are performed by specialists, often called penetration-testers or white-hat hackers. The chronic lack of available white-hat hackers prevents sufficient security test coverage of software. Research into automation tries to alleviate this problem by improving the efficiency of security testing. To achieve this, researchers and tool builders need a solid understanding of how hackers work, their assumptions, and pain points. In this paper, we present a first data-driven exploratory qualitative study of twelve security professionals, their work and problems occurring therein. We perform a thematic analysis to gain insights into the execution of security assignments, hackers' thought processes and encountered challenges. This analysis allows us to conclude with recommendations for researchers and tool builders to increase the efficiency of their automation and identify novel areas for research.
著者: Andreas Happe, Jürgen Cito
最終更新: 2023-08-23 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2308.07057
ソースPDF: https://arxiv.org/pdf/2308.07057
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。