コンテンツにスキップ

攻撃者シミュレーション演習(レッドチーム演習 - フルスペクトラム)🔗

サービス概要🔗

攻撃者シミュレーション演習は、お客様の組織がお客様の環境や現実的な脅威モデルに合わせて特定の目標や目的を持つ、未知で高度な攻撃者を検知、防御、対応する能力を試すものです。Secureworksのレッドチームは、必要に応じてカスタマイズされたツールや手法を用いて、独自の攻撃者の役割を担います。帰属困難な戦術・技術・手順(TTP)を持つ独自の攻撃者による現実的な攻撃をシミュレーションすることで、演習の目的は以下の通りです。

  • 攻撃者が目標や目的を妨げられることなく達成できてしまうような、セキュリティコントロールやアラートの不備を特定する。
  • お客様の防御担当者に、未知の脅威による侵害の兆候を見抜く訓練を行う。
  • 攻撃の基本要素を深く掘り下げる必要がある戦術や技術に対して、検知や防御に関する仮定を検証する。

攻撃者シミュレーション演習は、主に一定のセキュリティ成熟度を持つ組織向けに設計されていますが、Secureworksでは2つのレベルとカスタマイズオプションを用意しており、現在のセキュリティ成熟度に関わらず防御担当者の訓練を支援します。これにより、演習の高度化や、内部ネットワークのみ(侵害後の状況)に焦点を当てたい組織向けの選択肢も提供可能です。以下の表は、2つのレベルの違いを示しています。
攻撃者シミュレーション演習 - Lite

(レッドチーム演習 - フルスペクトラム - 侵害前提)		 境界防御やソーシャルエンジニアリング対策よりも、主に内部ネットワーク内での検知・防御・対応能力の仮定を検証したい組織向けに、「攻撃者シミュレーション演習 – Lite」は、侵害前提(例:エンドポイントや認証情報の侵害、VPNや仮想デスクトップ環境からの開始)で2週間実施されます。短期間の演習を希望する組織にも適したオプションです。
攻撃者シミュレーション演習 - Standard

(レッドチーム演習 - フルスペクトラム)		 Standardレベルの攻撃者シミュレーション演習では、境界資産や外部フットプリントの評価、初期アクセスのためのソーシャルエンジニアリングキャンペーン、最終的には事前打ち合わせで設定した目標や目的の達成を目指して内部ネットワークに移行するなど、攻撃の全フェーズにわたる検知・防御・対応能力を評価します。
高度な攻撃者を想定した防御担当者の訓練を目指しますが、組織の要望やセキュリティ目標に応じて、高度さを下げたり、より一般的なTTP(戦術・技術・手順)を採用するカスタマイズも可能です。

攻撃者シミュレーション演習が標準的なペネトレーションテストと異なる主な特徴は以下の3点です。

  • 経営層や管理職にも響く、実際のビジネスに影響を与える目標を取り入れる。
  • 多くのセキュリティ対策を回避する秘匿性の高い攻撃手法を用い、ブルーチームが検知・防御を強化し、既存デバイスの高度な手法への対応調整を可能にする。
  • 様々な手法やカスタマイズされたツールを組み合わせた複合攻撃を実施し、以下の要素を含む場合があります。
    • オープンソースインテリジェンス(OSINT)収集
    • フィッシングやビッシングなどのソーシャルエンジニアリング
    • 外部境界への攻撃
    • マルウェアの実行およびコマンド&コントロール
    • 内部ネットワーク攻撃およびラテラルムーブメント
    • 無線攻撃(追加オプション)
    • 物理的セキュリティ攻撃(追加オプション)

サービス手法🔗

攻撃者シミュレーション演習は、MITRE ATT&CKフレームワークの各戦術フェーズに従い、独自・商用・オープンソースのツールを組み合わせて実施し、検知・防御・対応能力を包括的に評価します。演習手法の概要は以下の通りです。

  • 偵察(Reconnaissance): Secureworksは、オープンソースインテリジェンス(OSINT)収集と呼ばれるプロセスで、公開情報源を受動的に調査し、組織に関するデータを収集します。また、公開資産やサービスに関する情報を得るための能動的な偵察も行い、侵害の可能性がある経路や、後続フェーズで利用可能なデータを探ります。

  • 計画と準備(Planning and Preparation): 偵察フェーズで収集したデータを分析し、効果的なソーシャルエンジニアリングキャンペーンの立案や、発見された脆弱性の成功可能性・検知リスク・テスト目的達成への有効性を戦略的に評価します。

  • 境界突破(Perimeter Breach): 計画フェーズで策定したソーシャルエンジニアリングキャンペーンや、発見された脆弱性の悪用により、セキュリティ境界を突破し、制限された内部ネットワークやリソースへのアクセスを試みます。これには、ユーザーのワークステーションや公開サーバーの侵害、クラウドサービスやリソースへの直接アクセスなどが含まれます。

  • 内部アクセス(Internal Access): 境界突破後、Secureworksは環境内での永続化を試み、他のシステムやリソースへのラテラルムーブメントを行い、権限昇格の経路を発見して目標や目的の達成を目指します。

実際の攻撃者と異なり、演習には時間的制約があるため、Secureworksが事前に定めた期間内に境界突破ができなかった場合は、侵害前提モデルを採用し、内部アクセスフェーズに進みます。侵害前提シナリオは、事前のキックオフミーティングで決定可能であり、エンドポイントのマルウェア感染や認証情報の侵害によるVPNアクセスなど、複数の選択肢があります。

  • 目標・目的の遂行(Follow-through on Goals and Objectives): ラテラルムーブメントや権限昇格によって影響範囲を拡大した後、攻撃者は目標や目的の達成に向けて行動を開始します。Secureworksは、演習前に設定した目標や目的(知的財産の取得、機密データの持ち出し、開発運用パイプラインの侵害・汚染など)を秘匿的に達成しようとします。

この演習では、現行のセキュリティコントロールや担当者が、攻撃者の目標・目的の遂行前に阻止・排除できるかを評価します。Secureworksのコンサルタントが環境から排除された場合、残り時間を再侵入に費やすのではなく、後半のキルチェーンや潜在的なセキュリティギャップを把握するため、後続アクティビティの監視フェーズに進むことを推奨します。

成果物🔗

演習のアクティブなオペレーション完了後、Secureworksはエンゲージメント期間中に収集したデータやログを徹底的にレビュー・分析します。

Secureworksは、目標や目的がどのように達成されたかを詳細に記録します。この記録をもとに、侵入の詳細、使用した手法やツール、悪用した脆弱性やシステム、テスターが環境内でたどった経路、組織が脅威をどの程度検知・防御・対応できたかなどを含むレポートを作成します。演習中のアクティビティはMITRE ATT&CK®フレームワークに紐付けて説明し、脅威モデルの理解を深めます。レポートには、ストーリー形式の説明と、スクリーンショットやコードスニペット、その他証拠となる資料が含まれます。

スコーピング情報🔗

説明 演習期間
攻撃者シミュレーション演習 - Standard
(レッドチーム演習 - フルスペクトラム)		 4週間
攻撃者シミュレーション演習 - Lite
(レッドチーム演習 - フルスペクトラム - 侵害前提)		 2週間
追加オプション:期間延長* 1週間から
追加オプション:物理的セキュリティ攻撃コンポーネント - 1拠点** -
追加オプション:無線 - 1拠点 -

*ご希望に応じて演習期間を延長することが可能です。ただし、演習の目標や目的によって追加期間が必要と判断された場合は、追加期間が必須となる場合があります(スコーピングコール時に決定)。

** 物理的なソーシャルエンジニアリングの特性上、追加のスコーピングが必要です。これには、Secureworks物理セキュリティテストチームのメンバーとのスコーピングテレカンファレンスや、お客様およびSecureworks双方の法的保護の追加が含まれます。

本サービスの詳細なサービス説明はこちらをご参照ください: 攻撃者シミュレーション演習

スケジューリングおよび予約情報🔗

本サービスのスケジューリングに関する情報は、サービススケジューリングをご参照ください。