コンテンツにスキップ

外部ペネトレーションテスト🔗

サービス概要🔗

外部ペネトレーションテストの目的は、境界上に存在する脆弱性を発見し、攻撃者が内部ネットワークや内部リソースへ侵入・アクセスできる弱点を実証することです。本テストには、脆弱性の悪用、ユーザー名およびパスワードの発見が含まれます。

このテストは、通常の脆弱性アセスメントでは検出されないセキュリティ上の欠陥を明らかにし、現代の攻撃者がどのようにネットワークの境界を攻撃・侵害し、制限されたリソースへアクセスするかにより近い手法で実施されます。

サービス手法🔗

Secureworksの高度なネットワークセキュリティテストへのアプローチは、業界のベストプラクティスと豊富なセキュリティテスト経験に基づき、社内で開発された手法に基づいています。Secureworksはお客様と密接に連携し、対象範囲および対象外のターゲットを決定します。テスト前には、Secureworksがキックオフコールを設定し、実施ルール、工数、スコープ、リスク受容、リモートテストアプライアンス(RTA)の要件、レポート要件、テストのタイムラインおよびスケジュールを確立します。

以下はテストの構成要素です。

ネットワークディスカバリー🔗

Secureworksは、お客様が提供するIPレンジに対してポートスキャンを実施し、稼働中のホストを特定します。このテストには、IPアドレス範囲のスキャンによる主要なTCPポートの特定や、バナーグラビングによる特定アプリケーションおよびバージョン情報の取得などが含まれます。外部テストの場合、テスト完了後にスキャンデータが提供され、稼働中のホストおよび主要なオープンポートの詳細が記載されます。ポートスキャンデータは内部テストレポートには含まれません。

オープンネットワークサービスの列挙🔗

Secureworksは、ネットワークサービスを調査し、侵害につながる可能性のあるお客様ネットワークに関する追加情報を特定します。例として以下が挙げられます。

  • DNSホスト名のルックアップ、ブルートフォースによるゾーントランスファーおよびDNSリレー
  • SNMPによるOS、ソフトウェア、ネットワークおよびユーザーの列挙
  • SMTPオープンメールリレーおよびユーザー列挙
  • NetBIOS/SMBドメインポリシーの開示(パスワードポリシーを含む)
  • LDAPドメインポリシーの開示および列挙
  • 悪用可能なソフトウェアのネットワークサービスバナー
  • デフォルトのユーザー名・パスワードやファイルアップロード脆弱性を持つWebサーバー
  • 潜在的なバックドアを特定するための未知のサービス
  • 保護されていないクラウドストレージやサービスの特定

注意: 侵入防止システム、Webアプリケーションファイアウォール、その他のアクティブなセキュリティ制御デバイスは、テストトラフィックをフィルタリングまたは妨害する場合があります。Secureworksは、テスト期間中、テスターの送信元IPを許可リストに追加(またはアラートのみ設定)することを依頼します。

オープンネットワークサービスの悪用🔗

Secureworksは、「オープンネットワークサービスの列挙」で得られた情報を用いて、ネットワークサービスの侵害を試みます。使用される手法の例は以下の通りです。

  • パスワード保護されたネットワークベースサービスのブルートフォース(アカウントロックアウトを回避するため、Secureworksはパスワードロックアウトポリシーを依頼します)
  • 脆弱なネットワークサービスの認証バイパス
  • 公開されているエクスプロイトを用いた、古い脆弱なサービスの悪用
  • ネットワークバックドアの特定および悪用

注意: 取得した認証情報の使用はソフトウェアの脆弱性ではありませんが、一般的な攻撃経路です。取得した認証情報や公開された侵害データの使用はスコープ内とみなされます。お客様サービスへの影響リスクが高いエクスプロイトの使用については、事前に協議します。

ポストエクスプロイトおよびラテラルムーブメント🔗

Secureworksは、ネットワーク全体やドメインインフラストラクチャに対する侵害経路を特定しようとします。以下の手法を用いて、前段階での侵害の影響を示す場合があります。

  • 侵害されたシステムでの権限昇格
  • 収集した認証情報やアクセストークンを用いた追加システムの侵害
  • 重要な業務データの検索

Webアプリケーションに関する注意: Webアプリケーションは、特に脆弱性が高いアプリケーションです。SecureworksはWebアプリケーションセキュリティ評価サービスを提供しています。本サービスの対象範囲内IPアドレスにWebアプリケーションが検出された場合、SecureworksはそれらのWebアプリケーションに対して一般的(ブラックボックスとも呼ばれる)なテストを実施しますが、このテストはお客様のWebアプリケーションの包括的なテストとはみなされません。詳細なWebアプリケーションテストが必要な場合は、Webアプリケーションセキュリティ評価サービスをご参照ください。

リモートリテスト🔗

Secureworksは、最終レポートに記載された重大度「高」および「クリティカル」の発見事項に対してのみ、1回(1回分)の修正検証(RV)を実施します。主テスト完了後、お客様は90日以内に問題を修正し、RVをスケジューリングし、SecureworksにRVを実施させることができます。お客様は、最終レポート納品から30日以内に、評価担当のSecureworks連絡先へメールでRVリクエストを提出する必要があります。これを過ぎるとRVの権利は失効します。

外部ペネトレーションテストでは、ピボットやポストエクスプロイト後に発見された事項は検証が困難なため、RVには含まれません。内部ペネトレーションテストの場合、元のテストでSecureworks RTAを使用している場合のみRVが実施可能です。 Secureworksは、RVの結果を要約した簡易レポートを発行し、お客様が問題を正常に修正したかどうかの情報を含みます。

注意: Secureworksは、評価がオンサイトで実施された場合でも、RVはリモートでのみ実施します。

成果物🔗

Secureworksがまとめた発見事項および成果物は、レポートの形でお客様に提供されます。レポートには以下が含まれます。

  • エグゼクティブサマリー
  • 手法、詳細な発見事項、説明、および必要に応じた推奨事項
  • 関連する詳細や補足データのための添付資料

お客様は、レポート納品から1週間以内に、最終レポートに含めるコメントを提出できます。レビュー期間満了までにお客様からコメントがない場合、レポートは最終版とみなされます。 サービス完了時には、お客様指定の連絡先にSecureworksからセキュア/暗号化されたメールによる確認通知が送付されます。お客様指定の連絡先から書面による異議申し立てがない限り、当該メール確認から5営業日以内にサービスおよび本SOWは完了したものとみなされます。

スコーピング情報🔗

外部テストは、事前に定義されたターゲットシステムまたはネットワーク範囲に限定されます。スコーピングの目的上、ターゲットシステムとは、インターネットに対して少なくとも1つのポート/サービスを公開している稼働中のシステムを指します。

お客様に関連する未記載の資産を特定するために一部OSINTを実施しますが、これらのシステムに対するライブテストは書面による承認なしには実施しません。スコープの変更がある場合は、お客様と協議・文書化の上で進められ、変更注文により追加費用が発生する場合があります。

外部ペネトレーションテストは、通常、人工的に圧縮されたタイムラインに従ったブラックボックス手法に依存します。追加情報の提供により、効率的かつ効果的なテストが可能となります。指定されたテストアカウントの有効な認証情報を提供いただくことで、Secureworksはより正確なパスワードスプレーや、最も効率的なテストのためのツール設定が可能となります。

スコープ 説明
外部ペネトレーションテスト - 小規模 最大50個の外部IPアドレス

テスト対象のIPアドレスはすべて外部である必要があります。そうでない場合は、別途作業が必要です。
外部ペネトレーションテスト - 中規模 最大250個の外部IPアドレス

テスト対象のIPアドレスはすべて外部である必要があります。そうでない場合は、別途作業が必要です。
外部ペネトレーションテスト - 大規模 最大500個の外部IPアドレス

テスト対象のIPアドレスはすべて外部である必要があります。そうでない場合は、別途作業が必要です。

作業はSecureworksコンサルタントの営業時間内に実施されます。時間外対応は追加費用で利用可能です。

本サービスの完全なサービス説明はこちらをご参照ください: ペネトレーションテスト

スケジューリングおよび予約情報🔗

本サービスのスケジューリングに関する情報は、サービススケジューリングをご参照ください。