コンテンツにスキップ

攻撃者シミュレーション演習🔗

サービス概要🔗

攻撃者シミュレーション演習は、お客様の組織がお客様の環境と現実的な脅威モデルに合わせて特定の目標と目的を持つ、未知で高度な攻撃者を検知、防御、対応する能力を試すものです。Secureworksのレッドチームは、必要に応じてカスタマイズされたツールや手法を用いて、独自の攻撃者の役割を担います。帰属困難な戦術・技術・手順(TTP)を持つ独自の攻撃者による現実的な攻撃をシミュレートすることで、本演習の目的は以下の通りです。

  • 攻撃者が目標や目的を妨げられることなく実行できてしまうような、セキュリティコントロールやアラートの不備を特定する。
  • お客様の防御担当者が未知の脅威による侵害の兆候を見抜く訓練を行う。
  • 攻撃の基本要素に深く踏み込む必要がある戦術や技術に対して、検知や防御に関する仮定を検証する。

攻撃者シミュレーション演習は、主に中程度のセキュリティ成熟度を持つ組織を対象としていますが、Secureworksは2つのティアとカスタマイズオプションを提供しており、現在のセキュリティ成熟度に関わらず防御担当者の訓練を支援します。これにより、演習の高度化や、内部ネットワークのみ(侵害後の状況)に焦点を当てたい組織向けのオプションも可能です。以下の表は、2つのティアの違いを示しています。
攻撃者シミュレーション演習 - Lite 境界防御やソーシャルエンジニアリング対策にあまり重点を置かず、主に内部ネットワーク内での検知・防御・対応能力の仮定を検証したい組織向けに、「攻撃者シミュレーション演習 – Lite」は、侵害が発生した前提(例:エンドポイントや認証情報の侵害、VPNや仮想デスクトップ環境経由)で2週間実施されます。短期間の演習を希望する組織にも適したオプションです。
攻撃者シミュレーション演習 - Standard Standardティアでは、攻撃の全フェーズ(境界資産・外部フットプリントの評価、初期アクセスのためのソーシャルエンジニアリングキャンペーン、最終的に内部ネットワークでの目標達成)をカバーし、組織の検知・防御・対応能力を検証します。
攻撃者シミュレーション演習は高度な攻撃者を想定していますが、組織の要望やセキュリティ目標に応じて、より一般的なTTPを採用するなど、難易度の調整やカスタマイズも可能です。

攻撃者シミュレーション演習が標準的なペネトレーションテストと異なる主な特徴は以下の3点です。

  • 経営層やマネジメント層にも響く、実際のビジネスに影響を与える目標を設定する。
  • 多くのセキュリティ対策を回避する秘匿性の高い攻撃手法を用い、ブルーチームが検知・防御能力を向上させ、既存デバイスの高度な攻撃検知チューニングを支援する。
  • 様々な手法やカスタマイズされたツールを組み合わせた複合的な攻撃を実施し、以下の要素を含む場合があります。
    • オープンソースインテリジェンス(OSINT)収集
    • フィッシングやビッシングなどのソーシャルエンジニアリング
    • 外部境界への攻撃
    • マルウェアの実行およびC2(コマンド&コントロール)
    • 内部ネットワーク攻撃およびラテラルムーブメント
    • 無線ネットワーク攻撃(追加オプション)
    • 物理的セキュリティ攻撃(追加オプション)

サービス手法🔗

攻撃者シミュレーション演習は、MITRE ATT&CKフレームワークの各戦術フェーズに従い、独自・商用・オープンソースのツールを組み合わせて実施し、検知・防御・対応能力を包括的に評価します。演習手法の概要は以下の通りです。

  • 偵察(Reconnaissance): Secureworksは、OSINT収集と呼ばれるプロセスで、パブリックな情報源を受動的に調査し、組織に関するデータを収集します。また、公開資産やサービスに関する情報を得るための能動的な偵察も行い、侵害の可能性がある経路や、後続フェーズで利用可能なデータを探ります。

  • 計画と準備(Planning and Preparation): 偵察フェーズで収集したデータを分析し、効果的なソーシャルエンジニアリングキャンペーンの立案や、発見された脆弱性の成功可能性・検知リスク・テスト目標達成への有効性を戦略的に評価します。

  • 境界突破(Perimeter Breach): 計画フェーズで策定したソーシャルエンジニアリングキャンペーンや、発見された脆弱性の悪用により、セキュリティ境界を突破し、制限された内部ネットワークやリソースへのアクセスを試みます。これには、ユーザーのワークステーションや公開サーバーの侵害、クラウドサービスやリソースへの直接アクセスなどが含まれます。

  • 内部アクセス(Internal Access): 境界突破後、Secureworksは環境内での永続化を試み、他のシステムやリソースへのラテラルムーブメントを行い、権限昇格の経路を発見して目標達成を目指します。

本演習は実際の攻撃者と異なり時間制約があるため、Secureworksが事前に定めた期間内に境界突破できなかった場合は、侵害が発生した前提で内部アクセスフェーズに進みます。侵害前提のシナリオは、事前のキックオフミーティングで決定可能であり、C2マルウェアによるエンドポイント侵害や、VPNアクセスを伴う認証情報の侵害など複数の選択肢があります。

  • 目標・目的の遂行(Follow-through on Goals and Objectives): ラテラルムーブメントや権限昇格により影響範囲を拡大した後、攻撃者は目標や目的の実行に移ります。Secureworksは、演習前に設定した目標や目的(知的財産の取得、機密データの持ち出し、開発運用パイプラインの侵害・汚染など)を秘匿的に達成しようとします。

本演習では、現行のセキュリティコントロールや担当者が、攻撃者が目標を達成する前に排除・阻止できるかを評価します。Secureworksのコンサルタントが環境から排除された場合、残り時間で再侵入を試みるのではなく、後半のキルチェーンや潜在的なセキュリティギャップを把握するため、以降のアクティビティを監視するフェーズに進むことを推奨します。

成果物🔗

演習のアクティブなオペレーション完了後、Secureworksはエンゲージメント期間中に収集したデータやログの徹底的なレビューと分析を行います。

Secureworksは、目標や目的がどのように達成されたかを詳細に記録します。この記録をもとに、侵入の詳細、使用した手法やツール、悪用した脆弱性やシステム、テスターが環境内でたどった経路、組織が脅威をどの程度検知・防御・対応できたかなどを含むレポートを作成します。演習中のアクティビティはMITRE ATT&CK®フレームワークに紐付けて説明し、脅威モデルの理解を深めます。レポートには、スクリーンショットやコードスニペット、その他の証拠などの補足資料を含む完全なストーリーが記載されます。

スコーピング情報🔗

説明 演習期間
攻撃者シミュレーション演習 - Standard 4週間
攻撃者シミュレーション演習 - Lite 2週間
追加オプション:期間延長* 1週間から
追加オプション:物理的セキュリティ攻撃コンポーネント - 1拠点** -
追加オプション:無線 - 1拠点 -

*ご希望に応じて演習期間の延長が可能です。ただし、スコーピングコールで決定された目標や目的によっては、追加期間が必須となる場合があります。

** 物理的なソーシャルエンジニアリングの特性上、追加のスコーピングが必要です。これには、Secureworks物理セキュリティテストチームのメンバーとのスコーピングテレカンファレンスや、お客様およびSecureworks双方の法的保護の追加が含まれます。

本サービスの完全なサービス説明はこちらをご参照ください: 攻撃者シミュレーション演習

スケジューリングおよび予約情報🔗

本サービスのスケジューリングに関する情報は、サービススケジューリングをご参照ください。