GitLab のパープルチーミング
「レッドチーム」と「ブルーチーム」という用語は、計画されたセキュリティ演習中の攻撃者と防御者の役割を表すために使用されます。コラボレーションと透明性がコアバリューの 2 つである GitLab では、力を合わせて一般に「パープルチーミング」と呼ばれることを実施することを好みます。
GitLab チームメンバーは、進行中のパープルチームオペレーションについて議論する Slack の #purple-team-ops チャンネルで、貢献、コメント、閲覧、または私たちと交流できます。
パープルチーミングの目標
パープルチームオペレーションは、現実世界の攻撃を検知し対応する組織の能力を、GitLab がよりよく理解するのに役立ちます。このより深い理解があれば、本物の代わりに 模倣された 攻撃中に得たハンズオン体験に基づいて、これらの防御を引き続き強化できます。
ハイレベルでは、オペレーションの目標は一般的に以下のいずれかのカテゴリに分類されます:
- 既存の防御能力の有効性を測定する(SIEM は侵害された管理者アカウントを検知できますか?)
- 侵害に対応する手順を実践し洗練させる(ランブックは理にかなっていますか?何か自動化できますか?)
- 特定タイプの脅威を検知し対応する能力を理解する(ランサムウェアオペレーターに標的にされたら何が起こりますか?)
パープルチームオペレーション
フラッシュオペレーション
これらは非常に短く(1〜2 週間)、関連する脅威の特定から始まります。一般的に、レッドチームのメンバーがブルーチームのメンバーと会って、計画と実行を行います。
- 脅威インテリジェンスチームと協力して、協力的に探求する価値のある 1 つ以上の関連 TTP(ツール、技術、手順)を特定します。
- TTP を実行する時間を調整します。通常は仮想マシン内で行い、ブルーチームが検知(または非検知)を確認します。
- 検知が作成または改善され、GitLab にとってより良いセキュリティ結果がもたらされます。
- レポートで協力し、セキュリティ部門内(および該当する場合はより広い会社内)で共有することで、全員が認識できるようにします。
パープルチーム演習のリクエスト
GitLab 内の他のチームで、私たちに対応してほしいパープルチームのシナリオがある場合は、内部 Issue トラッカーで Issue を作成できます。purple-01-request-for-purple-team という Issue テンプレートを使用してください。これは、私たちが支援するために必要なすべての情報を提供する手順を案内します。
Issue を作成すると、レッドチームがリクエストをレビューし、必要に応じてフォローアップの質問をします。利用可能なキャパシティがある場合、Issue を Epic に昇格させ、演習に関するすべての作業をそこで実施し、適切なマイルストーンに割り当てます。これにより、進捗をリアルタイムで確認できます。
レッドチームは四半期ベースで運用負荷を計画しているため、パープルチームのリクエストを他の進行中のイニシアチブと比較する必要があります。しかし、私たちの目標は、外部のパープルチームのリクエストをできるだけ頻繁に満たすことです。
リクエストが特に時間的制約がある場合は、必ず Issue にその旨を含めてください。すぐに私たちの注意が必要な場合は、Slack の #security-help でも私たちに ping できます。
追加のリソース
レッドチームリソース も参照してください
bfd74782)