コンテンツにスキップ

攻撃者エミュレーション演習🔗

サービス概要🔗

攻撃者エミュレーション演習は、脅威インテリジェンスを活用し、お客様の組織がお客様の業界を標的とすることが知られている特定の攻撃者に対して、検知、防御、対応能力を試すものです。特定の攻撃者の戦術、技術、手順(「TTPs」)を模倣することで、演習の目的は以下の通りです。

  • 特定の攻撃者が目標や目的を妨げられることなく達成できてしまうような、セキュリティコントロールやアラートの不備を特定します。

  • お客様の防御担当者が、既知の脅威や一般的なTTPからの侵害の兆候に慣れ、見抜けるように訓練します。

Secureworksは、攻撃者エミュレーション演習に2つのレベルを用意しており、サイバー攻撃の各フェーズを通じて模倣された脅威の全体像に焦点を当てるか、侵害後の内部ネットワークにのみ焦点を当てるかを、以下の表の通り選択できます。
攻撃者エミュレーション演習 - Lite 境界防御やソーシャルエンジニアリング対策にあまり重点を置かず、主に内部ネットワーク内での検知、防御、対応能力の仮定を検証したい組織向けに、「攻撃者エミュレーション演習 – Lite」は、侵害されたエンドポイントやVPNや仮想デスクトップ環境を通じた認証情報の侵害など、侵害が前提となる状況から2週間にわたり実施されます。Liteオプションは、短期間の演習を希望する組織にも適しています。
攻撃者エミュレーション演習 - Standard Standardレベルの攻撃者エミュレーション演習では、境界資産や外部フットプリントの評価、初期アクセスのためのソーシャルエンジニアリングキャンペーンから始まり、最終的には事前打ち合わせで設定された目標や目的を達成するためにコンサルタントが内部ネットワークで活動するなど、攻撃の全フェーズにわたる検知、防御、対応能力を検証します。

攻撃者エミュレーション演習が標準的なペネトレーションテストと異なる主な特徴は、以下の3点です。

  • ビジネスに影響を与える目標を持つ実際の攻撃者を、脅威インテリジェンスに基づいて模倣します。

  • 多くのセキュリティ対策を回避する秘匿性の高い攻撃手法を用いることで、ブルーチームが検知・防御を強化し、既存のデバイスを高度な手法に対応できるよう調整します。

  • 様々な技術やツールを組み合わせた複合的な攻撃を実施し、以下の要素が含まれる場合があります。

    • オープンソースインテリジェンス(「OSINT」)の収集
    • フィッシングやビッシングなどのソーシャルエンジニアリング
    • 外部境界への攻撃
    • マルウェアの実行およびコマンド&コントロール
    • 内部ネットワーク攻撃およびラテラルムーブメント

サービス手法🔗

攻撃者エミュレーション演習は、MITRE ATT&CKフレームワークの各戦術フェーズに従って実施され、TIBER、CBEST、iCASTなどの手法と整合し、独自・商用・オープンソースのツールやデータを組み合わせて、検知、防御、対応能力の完全な評価を実現します。手法の概要は以下の通りです。

  • 脅威インテリジェンスの収集: Secureworksは、公開情報の調査やSecureworks Counter Threat Unit™ (CTU)からの情報を活用し、演習で模倣可能な実際の攻撃者を選定するための脅威インテリジェンスデータを収集します。

  • 演習計画: 脅威インテリジェンス収集フェーズで得られたデータを分析し、選定した攻撃者の戦術、技術、手順を模倣する攻撃シナリオを策定します。コンサルタントはお客様と提案シナリオについて協議し、演習のスコープや準備事項を決定します。お客様のセキュリティ成熟度に応じて、Secureworksは模倣対象の攻撃者情報をブルーチームと共有し、演習中のハンティングの指針とすることも可能です。

  • 演習実施: シナリオが確定し、模倣する戦術、技術、手順が決まったら、計画の実行を開始します。以下はシナリオの主なセグメント例です。

  • 境界突破: 計画フェーズで策定したソーシャルエンジニアリングキャンペーンや、発見された脆弱性の悪用により、セキュリティ境界を突破して内部ネットワークやリソースへのアクセスを試みます。これには、ユーザーのワークステーションや公開サーバーの侵害、クラウド上のサービスやリソースへの直接アクセスによる情報取得や内部ネットワークへの足掛かりの確保が含まれます。

  • 内部アクセス: 境界突破後、標的環境内での永続化を試み、他のシステムやリソースへのラテラルムーブメントを行い、権限昇格の経路を発見して目標達成を目指します。演習は実際の攻撃者と異なり時間制約があるため、Secureworksが所定時間内に境界突破できない場合は、侵害が前提となるモデルに切り替えて内部アクセスフェーズに進みます。

  • 目標・目的の遂行: ラテラルムーブメントや権限昇格により標的環境での影響範囲を拡大した後、攻撃者は目標や目的の達成に着手します。Secureworksは、演習前に設定した目標や目的の秘匿達成を試みます。これには知的財産の取得、機密データの持ち出し、開発運用パイプラインの侵害・汚染、その他攻撃者が組織を標的とする理由となる目的が含まれます。演習では、現行のセキュリティコントロールや担当者が、攻撃者の目標達成前に抑止・排除できるかを評価します。Secureworksコンサルタントが環境から排除された場合、残り時間を再侵入に費やすのではなく、以降の活動を監視するフェーズに進むことを推奨します。これにより、キルチェーン後半の全体像を把握し、潜在的なセキュリティの不備を特定できます。

成果物🔗

演習のアクティブな作業が完了した後、Secureworksは演習中に収集したデータやログの徹底的なレビューと分析を行います。

Secureworksは、目標や目的がどのように達成されたかを詳細に記録します。この記録をもとに、侵入経路、使用した技術やツール、悪用した脆弱性やシステム、テスターが環境内でたどった経路、そしてお客様の組織が脅威をどの程度検知、防御、対応できたかなどの詳細を含むレポートを作成します。演習中の活動はMITRE ATT&CKフレームワークに紐付けて説明し、脅威モデルの理解を深めます。レポートには、スクリーンショットやコードスニペット、その他の証拠などの補足資料を含む完全なストーリーが記載されます。

スコーピング情報🔗

説明 演習期間
攻撃者エミュレーション演習 - Standard 4週間
攻撃者エミュレーション演習 - Lite 2週間
アドオン: 追加期間* 1週間から

*ご希望に応じて演習期間を追加することが可能です。ただし、スコーピングコールで演習の目標や目的に追加期間が必要と判断された場合は、追加期間が必須となる場合があります。

本サービスの詳細なサービス説明はこちらをご参照ください: 攻撃者エミュレーション演習

スケジューリングおよび予約情報🔗

本サービスのスケジューリングに関する情報は、サービススケジューリングをご参照ください。