コンテンツにスキップ

攻撃者エミュレーション演習(レッドチーム演習 - インテリジェンス主導)🔗

サービス概要🔗

攻撃者エミュレーション演習は、脅威インテリジェンスを活用し、お客様の組織がお客様の業界を標的とすることが知られている特定の攻撃者に対して、検知・防御・対応能力を試すものです。特定の攻撃者の戦術・技術・手順(「TTPs」)を模倣することで、演習の目的は以下の通りです。

  • 定義された攻撃者が目標や目的を妨げられることなく達成できてしまうような、セキュリティコントロールやアラートの不備を特定します。

  • お客様の防御担当者が、既知の脅威や一般的なTTPからの侵害の兆候に慣れ、見抜けるように訓練します。

Secureworksは、攻撃者エミュレーション演習に2つのレベルを用意しており、サイバー攻撃の各フェーズを通じて模倣された脅威の全体像に焦点を当てるか、侵害後の内部ネットワークにのみ焦点を当てるかを、以下の表の通り選択できます。
攻撃者エミュレーション演習 - Lite

(レッドチーム演習 - インテリジェンス主導 - 侵害前提)		 境界防御やソーシャルエンジニアリング対策にあまり関心がなく、主に内部ネットワーク内での検知・防御・対応能力の仮定を検証したい組織向けに、「攻撃者エミュレーション演習 – Lite」は、侵害されたエンドポイントやVPNや仮想デスクトップ環境を通じた認証情報の侵害など、侵害前提の状況から2週間にわたり実施されます。短期間の演習を希望する組織にも適したオプションです。
攻撃者エミュレーション演習 - Standard

(レッドチーム演習 - インテリジェンス主導)		 Standardレベルの攻撃者エミュレーション演習では、境界資産や外部フットプリントの評価、初期アクセスのためのソーシャルエンジニアリングキャンペーン、最終的には内部ネットワークに移行し、事前のキックオフミーティングで設定された目標や目的の達成を目指すなど、攻撃の全フェーズをカバーして、お客様の検知・防御・対応能力を評価します。

攻撃者エミュレーション演習が標準的なペネトレーションテストと異なる主な特徴は3つあります。

  • ビジネスに影響を与える目標を持つ実際の攻撃者を、脅威インテリジェンスに基づいて模倣します。

  • 多くのセキュリティ対策を回避する秘匿的な攻撃手法を用いることで、ブルーチームが検知・防御を強化し、既存のデバイスを高度な手法に対応できるように調整します。

  • 様々な技術やツールを組み合わせた複合的な攻撃を実施し、以下の要素を含む場合があります。

    • オープンソースインテリジェンス(「OSINT」)の収集
    • フィッシングやビッシングなどのソーシャルエンジニアリング
    • 外部境界への攻撃
    • マルウェアの実行およびコマンド&コントロール
    • 内部ネットワーク攻撃およびラテラルムーブメント

サービス手法🔗

攻撃者エミュレーション演習は、MITRE ATT&CKフレームワークの各戦術フェーズに従って実施され、TIBER、CBEST、iCASTなどの手法とも整合し、独自・商用・オープンソースのツールやデータを組み合わせて、検知・防御・対応能力を包括的に評価します。手法の概要は以下の通りです。

  • 脅威インテリジェンスの収集: Secureworksは、公開情報の調査やSecureworks Counter Threat Unit™ (CTU)からの情報活用を通じて、演習で模倣可能な実際の攻撃者を選定するための脅威インテリジェンスデータを収集します。

  • 演習計画: 脅威インテリジェンス収集フェーズで得られたデータを分析し、選定した攻撃者の戦術・技術・手順を模倣する攻撃シナリオを策定します。コンサルタントはお客様と提案シナリオについて協議し、演習実施のためのスコープや準備事項を決定します。お客様のセキュリティ成熟度に応じて、模倣対象の攻撃者情報をブルーチームと共有し、演習中のハンティングの指針とすることも可能です。

  • 演習実施: シナリオが確定し、模倣する戦術・技術・手順が整理されたら、計画の実行を開始します。以下はシナリオの主なセグメント例です。

  • 境界突破: 計画フェーズで策定したソーシャルエンジニアリングキャンペーンや、発見された脆弱性の悪用により、セキュリティ境界を突破して内部ネットワークやリソースへのアクセスを試みます。これには、ユーザーのワークステーションや公開サーバーの侵害、クラウド上のサービスやリソースへの直接アクセスなどが含まれます。

  • 内部アクセス: 境界突破後、Secureworksは対象環境内で永続化を確立し、他のシステムやリソースへのラテラルムーブメントを行い、権限昇格の経路を探索します。これは目標や目的の達成を促進します。演習は実際の攻撃者と異なり時間制約があるため、事前に定めた期間内に境界突破ができない場合は、侵害前提モデルに切り替えて内部アクセスフェーズに進みます。

  • 目標・目的の遂行: ラテラルムーブメントや権限昇格によって影響範囲を拡大した後、攻撃者は目標や目的の達成に着手します。Secureworksは、演習前に設定された目標や目的の秘匿的な達成を試みます。これには知的財産の取得、機密データの持ち出し、開発運用パイプラインの侵害・汚染など、攻撃者が組織を標的とする理由となる目的が含まれます。演習では、現行のセキュリティコントロールや担当者が、攻撃者の目標達成前に脅威を抑止・排除できるかを評価します。Secureworksコンサルタントが環境から排除された場合、残り時間を再侵入に費やすのではなく、その後のアクティビティを監視するフェーズに進むことを推奨します。これにより、キルチェーン後半の全体像を把握し、潜在的なセキュリティの不備を特定できます。

成果物🔗

演習のアクティブなオペレーション完了後、Secureworksは演習中に収集したデータやログの徹底的なレビューと分析を実施します。

Secureworksは、目標や目的がどのように達成されたかについて、包括的なドキュメントを作成します。このドキュメントをもとに、侵入経路、使用した技術やツール、悪用した脆弱性やシステム、テスターが環境内でたどった経路、そしてお客様の組織が脅威をどの程度検知・防御・対応できたかなどの詳細を含むレポートを作成します。演習中のアクティビティはMITRE ATT&CKフレームワークに紐付けて記載し、脅威モデルの理解を深めます。レポートには、スクリーンショットやコードスニペット、その他の証拠などの補足資料を含む、完全なストーリーが記載されます。

スコーピング情報🔗

説明 演習期間
攻撃者エミュレーション演習 - Standard
(レッドチーム演習 - インテリジェンス主導)		 4週間
攻撃者エミュレーション演習 - Lite
(レッドチーム演習 - インテリジェンス主導 - 侵害前提)		 2週間
アドオン:追加期間* 1週間から追加可能

*ご希望に応じて演習期間を追加できます。ただし、演習の目標や目的によって追加期間が必要と判断された場合は、スコーピングコール時に追加期間が必須となる場合があります。

本サービスの詳細なサービス説明はこちらをご参照ください: 攻撃者エミュレーション演習

スケジューリングおよび予約情報🔗

本サービスのスケジューリングに関する情報は、サービススケジューリングをご参照ください。