【CODE BLUE 2024】ステファン・フリードリ / Stefan Friedli - 講演関連資料 / Presentation resources -

2025年2月8日 11:30

●講演概要 / Abstract

[ja] Googleをハッキングする - 社内レッドチームの運営と成長の教訓

レッドチームは、成熟したセキュリティ組織にとってスパーリング・パートナーのような存在である。適切に活用すれば、インシデントの防止、守備側の対応時間の短縮、そして製品やシステム、さらには組織全体のセキュリティ態勢の向上に寄与する。現実の脅威インテリジェンスに基づいて実際の攻撃者をシミュレートすることにより、敵の視点から世界を見渡すユニークな機会を提供する。また、実際のインシデントが発生した際に迅速かつ決定的に対応すべきことを、冷静で安全な環境下で練習することができる。
レッドチームの構築・維持・成長には、非常に興味深い課題が伴う。最も関連性の高い脅威アクターを選んでシミュレートするという明白な課題から、インプラントやその他の繊細なツールを安全に管理するという微妙な課題、さらには高度な技術的知見を経営幹部やステークホルダーに効果的に伝える方法にいたるまで、さまざまな難題が存在する。
この講演では、これらの課題に焦点を当て、それがなぜ難しいのかを掘り下げ、Googleのチームのケーススタディや、世界中の内部レッドチームの構築を支援した多くのチームとの対話に基づいて、それらをどのように解決していくべきかについて考察する。

codeblue.jp

[en] Hacking Google - Lessons learned running and growing an internal red team

Red Teams are the sparring partner of a mature security organization. Used correctly, they can prevent incidents, increase response times for defenders, and help to improve the overall security posture of products, systems, and entire organizations. By simulating real adversaries based on real-world threat intelligence, they provide a unique opportunity to see the world through an enemy's eyes. To practice in a calm and safe environment what needs to be done quickly and decisive when a real incident occurs.
Building, maintaining, and growing a red team presents a lot of interesting challenges. From more obvious ones, such as picking the most relevant threat actors to simulate, to more subtle ones, such as maintaining implants and other delicate tooling safely, or how to communicate highly technical findings with high level executives and stakeholders effectively.
In this presentation, we will take a closer look at these challenges, what makes them hard, and how to approach solving them based on case studies from my own team at Google, and from conversations with many teams across the globe we had the privilege of supporting in building their internal red teams.

codeblue.jp

●略歴 / Bio

[ja] ステファン・フリードリ

ステファン・フリードリは、20年間にわたり情報セキュリティ分野で活動しており、特にレッドチーミングとペネトレーションテストに注力している。Googleに2019年に入社する前は、スイスの金融機関や大規模な産業・政府機関に対してアドバイザーおよびコンサルタントとして従事していた。現在はGoogleでレッドチームを率いている。

codeblue.jp

[en] Stefan Friedli

Stefan Friedli has worked in the field of information security for 20 years, with a strong focus on red teaming and penetration testing. He has been an advisor and consultant for Swiss financial institutes and large industrial and government entities before joining Google in 2019, where he is leading the red team today.

codeblue.jp

●事前インタビュー / Pre-Event Interview

[ja] インタビュー

Q1 あなたがこのトピックに取り組むようになったきっかけは何ですか？
子供の頃からテクノロジーに魅了されていました。祖父が電子技師であり、模型の鉄道が趣味だったので、物を分解して（理想的には）再び組み立てることが普通だと思って育ちました。
この考え方は年を重ねるにつれて変わらず、興味はコンピューターへと移りました。56kモデムを手に入れてインターネットにアクセスできるようになると、私の前には全く新しい世界が広がり、私は何時間もPhrack Magazineやニュースグループを読んで過ごしました。私は、テクノロジーが何をするのかを理解するだけでなく、もともとその目的ではなかったことをさせることができるというアイデアに非常に惹かれました。
数年後、Eコマースやデジタル化の取り組みが盛んになる中、オンラインでよく話していた仲間から、スイス初のペネトレーションテスト会社を立ち上げたと連絡を受け、すでに楽しんでいたことをフルタイムでできる機会を提供されました。こうして、約20年前にオフェンシブセキュリティのプロとしてのキャリアが始まりました。

Q2 研究の過程でどのような点で苦労しましたか?
この20年間で世界は大きく変わり続けており、情報セキュリティは社会の運営においてますます重要なものとなっています。これらの変化に適応することは、この業界にいる中で最も興味深く、かつ最も難しい部分でもあります。
5年前にGoogleに入社したとき、外部のコンサルタントとしての役割から社内チームを運営することへと注力をシフトしました。これにより、世界中の多くのユーザーのためにセキュリティ改善を推進する多くの機会が生まれましたが、それと同時に大きな責任も伴いました。私のチームが行っている仕事は、インターネットをより安全な場所にするために貢献していると信じており、この機会を最大限に活かしていきたいと考えています。

Q3 CODEBLUEの参加者、参加を検討している人に向けてメッセージをお願いします。
長期間にわたって社内のレッドチームを成功裏に運営することには、一見わかりにくい多くの課題があります。技術的に優れた演習を実施できるチームを作ることと、そこで仕事が終わるわけではありません。チームのモチベーションと健康を維持し、結果が適切な是正措置につながり、実際のセキュリティ改善やリスク意識の向上をもたらすには、関係者やパートナーとの調整と協力が不可欠です。私は、レッドチームをより包括的な視点で運営することについてお話しします。これからこの道を歩もうとしている方や、すでに取り組んでいる方々が、私たちが学んだことを自身の活動に役立てていただけるようにしたいと考えています。

[en] Interview

Q1 What led you to making this presentation?
Technology has always fascinated me since I was a kid. My grandfather was an electronics engineer and model train enthusiast, so I grew up with the mindset that it was normal to take things apart and
（ ideally ）put them back together.
This mindset stuck with me as I got older and my fascination shifted to computers. Once I got my hands on a 56k modem and was able to access the internet, an entire world opened up to me and I would spend hours reading Phrack Magazine and newsgroups. I was intrigued by the idea to not only understand what technology does, but to be able to make it do things that it wasn't originally intended to do.
A few years later, as E-Commerce and other digitalisation efforts became more prominent, I was approached by some peers I had been talking to online a lot and who had just started Switzerland's first penetration testing company, offering me the opportunity to do something I already really liked doing full-time. That's how my professional journey into Offensive Security got started almost 20 years ago.

Q2 What were some challenges you faced during this research?
The world has changed a lot in these two decades and as it keeps changing, information security has become a lot more critical to the way our societies work. Adapting to these changes is both the most interesting and the most challenging part of being in this industry.
When I joined Google five years ago, I shifted my attention from being an external consultant to running an internal team. This opened up a lot of opportunities to drive security improvements for a massive number of users across the world, but it also comes with a lot more responsibility. I believe that the work my team is doing is contributing to making the internet a safer place for everyone and I want to make sure we make the most of this opportunity.

Q3 What message would you like to convey to those considering attending this talk?
Running an internal red team successfully over an extended period of time comes with a number of challenges that are not obvious. It is one thing to build a team that has the technical ability to perform successful exercises, yet the work does not end there. Making sure the team stays motivated and healthy and that results tie into remediation efforts and lead to actual security improvements and better risk awareness requires coordination and collaboration across stakeholders and partners is crucial.
I've set out to talk about running a red team in a more holistic way to help others who embark on this journey – or are already underway – can take some of the things we have learned and apply them to their own efforts.