「オレンジチーム」とは何ですか?
Googleにはオレンジチームと呼ばれる非公式の「仮想」チームがあり、彼らは公式のセキュリティチーム外のスタッフで構成されており、独自のスキルを開発し、Googleのセキュリティを向上させるためにさまざまなホワイトハット活動に従事していました。 (一種のディック・ファインマンのチームがロスアラモスをローミングしているようなもの)
悲しいことに、オレンジチームの役割と運用のパラメーターを定義することで、安全かつ効果的に1つを確立するための詳細情報を特定するのに苦労しました。
誰でも手伝ってくれる?
- オレンジチームとそのメンバーの役割をより明確に定義しますか?
- 許容できるプラクティスを定義してください。
要するに、チームメンバーが組織のセキュリティを危険にさらすことなく、安全にセキュリティに貢献できることを確認しますか?
これを行う企業はたくさんあります。通常、組織はチームの範囲を定義し、活動、トレーニング、監督を明確に定義します。
私はこれを、誰もが利用できるツールとプロセスを使用して仲間のセキュリティを向上させることに積極的に取り組んでいる人々を許可するセキュリティ意識チャンピオンプログラムの一部として行われるのを見てきました。この新しいレベルのトレーニングは、仲間間のセキュリティのリーダーであることに対する「報酬」の一種です。
チャンピオンズプログラムを利用することで、従業員に目標を設定し、「ハッキング」の部分だけに惹かれているのではなく、本当にセキュリティに関心を示している従業員を獲得できます。
その後は、組織が何に取り組みたいかによります。私はフィッシングチーム(仲間をフィッシングします!)、物理的セキュリティチーム(建物に侵入することは不可能です!)、およびアプリケーションセキュリティチーム(製品を壊す!)を見てきました。
具体的には、Googleのオレンジ色のチームのスコープが何であるか、または彼らが何をしたかについてはそれほど多くの情報はありませんが、一般的には2種類の侵入テストがあり、1つは実行する必要があります。外部に公開されているシステムが安全であることを保証する明白なものと、システムが内部から安全であることを保証するそれほど明白でないものです。
このように考えてみてください。システムの内部知識を持ち、標準のセキュリティレベルでシステムにアクセスできる人が何をすることができるのかは、悪いことです。それは必ずしも悪質な従業員から身を守ることではありません(それは大企業の目標の一部ですが)、自分のアーキテクチャを正直に保つことです。あなたは悪いことを不可能にしたい原則的にもだ、誰もがルールを曲げないだろうと思っているからだけではない(それが悪意のある目的であろうと単なる怠惰であろうと)。
私がインターネットで聞いたことに基づく私の理解は、グーグルのオレンジチームはそのようなものであり、彼らが本質的に考えられるあらゆる手段を使ってグーグルをハッキングしようとするということです(あなたの質問に対して、私は生産を引き起こすのに足りないと思います目に見える効果)、外部からは利用できない内部APIへの呼び出しを含む。
多くのチームとチームメンバーがさまざまな内部リソースへのさまざまなレベルのアクセス権を持つことになっている大企業では、この種の侵入テストは内部システムアーキテクチャのセキュリティの向上に役立ちます。そして、はい、私はこの種のビジネスに「邪悪な従業員」の要因が大きく迫っていると確信しています...間違った人がコンパイラまたは人気のあるブラウザに少しのコードを挿入した場合にどうなるか想像してください。
また、それは本当に楽しい仕事です! :P