コラボレーティブ攻撃者演習🔗
サービス概要🔗
コラボレーティブ攻撃者演習("CAE")は、実際の脅威シナリオを模倣したライブファイア情報セキュリティ演習をお客様の防御担当者が体験できるサービスです。お客様は自社ネットワークと自社ツールを用いて、ライブ攻撃に対して防御やハンティングを行いながら、Secureworks攻撃者グループ("レッドチーム")とのリアルタイムかつ継続的なコミュニケーションチャネルを維持します。
CAEは、社内またはサードパーティの監視サービスによるセキュリティ監視体制が確立されている組織を対象としており、現状の検知・防御・対応能力が、現代の攻撃者が用いる一般的な戦術・技術・手順("TTPs")に対してどの程度有効かを検証したい場合に最適です。この演習は、より高度な演習(攻撃者シミュレーション演習("ASE")や攻撃者エミュレーション演習("AEE")など)を実施する前に、お客様の検知・防御・対応能力の準備状況を把握するための優れた出発点となります。
各演習は実際のTTPsを模倣した一般的なシナリオに基づいており、防御担当者がセキュリティコントロールの可視性の不足を特定し、コンサルタントと協力して検知能力を向上させるための実践的なイベントを提供することを目的としています。
さらに、Secureworksは各組織がインタラクティブな演習に求めるニーズや時間的制約が異なることを理解しており、CAEサービスには個々のニーズに応じて柔軟性と拡張性を持たせた複数のティアが用意されています。詳細は下表をご参照ください。
| コラボレーティブ攻撃者演習 - Lite | ライブかつインタラクティブな演習に参加する時間が限られている組織向けに、「コラボレーティブ攻撃者演習 - Lite」オプションでは、ブルーチームがハンティングやアラートの検証を行うための時間的猶予や中断を設けず、プレイブックタスクを連続して実行します。1日で全プレイブックを実行した後、ブルーチームは最大30日間、自分たちのタイミングでハンティングや検知・アラートの確認を行い、その後、レッドチームとブルーチームがQ&Aやノートの比較を通じてハンティングやアラートの課題を議論するコラボレーティブなデブリーフに参加できます。 このティアでは、以下のいずれかのプレイブックを選択できます:
|
| コラボレーティブ攻撃者演習 - Standard | 「コラボレーティブ攻撃者演習 - Standard」ティアは、5日間にわたりレッドチームとインタラクションする時間が確保できる組織に最適な中間的な選択肢です。このオプションでは、プレイブックタスクを分散して実施し、防御担当者が十分な時間をかけてハンティングやアラートの検証を行えるほか、活動中にレッドチームとリアルタイムでコミュニケーションを取り、検知やアラートの改善方法について質問や議論ができます。 このティアでは、以下のいずれかのプレイブックを選択できます:
|
| コラボレーティブ攻撃者演習 - Immersive | ハンティングやアラートへの対応・調査に関して、防御担当者へのさらなる指導を求める組織向けに、「コラボレーティブ攻撃者演習 – Immersive」ティアでは、Secureworksのメンバーがブルーチーム側に参加し、ライブファイア演習中にお客様の防御担当者に対して指導や助言を行います。このティアでは、各組織の環境やニーズに合わせてカスタマイズされたプレイブックや目標・目的を活用します。 ティア名が示す通り、演習は5日間にわたって実施され、最初の3日間は活動が集中し、異なる攻撃フェーズごとに分割されます。各日の前半は攻撃の実施・ハンティング・対応を行い、後半は活動内容を議論するコラボレーティブなデブリーフが行われます。 |
上記各演習には、アドオンサービスとして「事後対策演習リプレイ(Post-Remediation Exercise Replay)」が利用可能です。各CAEの実施中に、お客様は既存のセキュリティコントロールにおける可視性の不足を特定し、対策を講じることができます。事後対策演習リプレイ("Replay")アドオンを購入した場合、Secureworksは1つの演習をリプレイし、新たに追加された対策が期待通りに機能しているかを検証します。
サービス手法🔗
各CAEは、MITRE ATT&CKフレームワークにマッピングされた事前定義済みのプレイブックシナリオに基づき、お客様の防御チーム("ブルーチーム")の検知・防御・対応能力を評価します。
演習手法の概要は以下の通りです:
-
コミュニケーションチャネルの確立:Secureworksは、コラボレーティブ攻撃者演習全体を通じて継続的なコミュニケーションが可能な専用チャネルを設け、必要に応じてレッドチームとリアルタイムで検知ギャップについて議論できるようにします。
-
事前定義済みプレイブックの実行:Secureworksは、選択された事前定義済みプレイブックに沿って脅威を1つずつエミュレートし、ブルーチームに対して適切なタイムスタンプ、使用したコマンドやツール、検知支援のためのメモなどを通知します。実施した脅威アクティビティはMITRE ATT&CKにマッピングされ、レッドチームとブルーチームの連携に一貫性を持たせます。多くのプレイブックでは、攻撃者と同様の手法でネットワークへの侵入や有効な認証情報の推測を試みますが、一部のプレイブックでは、ブルーチームが想定侵害モデルに基づき、事前に選定されたターゲットエンドポイントへの有効な認証情報やアクセスを提供する必要があります。プレイブック完了後、実行ウィンドウ内に十分な時間が残っていれば、ブルーチームの要望に応じてレッドチームの個別アクションを再実行し、新たに作成したセキュリティコントロールをテストすることも可能です。
-
検知・対応結果の収集:各プレイブックアクションの実行後、Secureworksはブルーチームにアクションの結果を通知し、どのアクティビティがログに記録され、セキュリティコントロールによるシグネチャ検知が発生し、その検知アクティビティがアラート通知システムを通じてセキュリティチームに伝達されたかを特定するためのサンプルログの提供を依頼します。これらの指標は記録され、詳細なレポートとして提供されます。
成果物🔗
コラボレーティブ攻撃者演習の完了後、Secureworksは、プレイブック実行中に実施したすべてのアクション、各アクションのMITRE ATT&CKフレームワークへのマッピング、ツールのコマンドと出力、アクティビティのタイムスタンプ、ブルーチームから提供されたすべての結果(メモ、ログ、シグネチャ検知、アラート指標を含む)をまとめた詳細なレポートを提供します。
スコーピング情報🔗
| 説明 | 演習期間 |
|---|---|
| コラボレーティブ攻撃者演習(Lite) | 2日間* |
| コラボレーティブ攻撃者演習(Standard) | 1週間 |
| コラボレーティブ攻撃者演習(Immersive) | 1週間 |
| アドオン:事後対策演習リプレイ | - |
*コラボレーティブ攻撃者演習 - Liteティアは、プレイブック実行日とコラボレーティブデブリーフ日の2日間に分けて実施されます。ただし、コラボレーティブデブリーフはプレイブック実行日から30日以内に実施する必要があります。
本サービスの詳細なサービス説明はこちらをご参照ください: コラボレーティブ攻撃者演習
スケジューリングおよび予約情報🔗
本サービスのスケジューリングに関する情報はサービススケジューリングをご参照ください。