コンテンツにスキップ

外部ペネトレーションテスト🔗

サービス概要🔗

外部ペネトレーションテストの目的は、攻撃者が境界を突破し、内部ネットワークや内部リソースへアクセスできるような脆弱性を発見し、実証することです。本テストには、脆弱性の悪用、ユーザー名およびパスワードの発見が含まれます。

このテストは、通常の脆弱性アセスメントでは検出されないセキュリティ上の欠陥を明らかにし、現代の攻撃者がどのようにネットワーク境界を攻撃・突破したり、制限されたリソースへアクセスしたりするかにより近い手法で実施されます。

サービス手法🔗

Secureworksの高度なネットワークセキュリティテストのアプローチは、業界のベストプラクティスと豊富なセキュリティテスト経験に基づき、社内で開発された手法に基づいています。Secureworksはお客様と密接に連携し、対象範囲内および対象外のターゲットを決定します。テスト前には、Secureworksがキックオフコールを設定し、エンゲージメントルール、工数、スコープ、リスク受容、リモートテストアプライアンス(RTA)の要件、レポート要件、テストのタイムラインおよびスケジュールを確立します。

以下はテストの構成要素です。

ネットワークディスカバリー🔗

Secureworksは、お客様が提供するIPレンジに対してポートスキャンを実施し、稼働中のホストを特定します。このテストには、IPアドレス範囲のスキャンによる主要なTCPポートの特定や、バナーグラビングによる特定アプリケーションおよびバージョン情報の特定などのアクティビティが含まれます。外部テストの場合、スキャンデータはテスト完了後に提供され、稼働中のホストおよび主要なオープンポートの詳細が記載されます。ポートスキャンデータは内部テストレポートには含まれません。

オープンネットワークサービスの列挙🔗

Secureworksはネットワークサービスを調査し、侵害につながる可能性のあるお客様ネットワークに関する追加情報を特定します。例として、以下が挙げられます。

  • DNSホスト名のルックアップ、ブルートフォースによるゾーントランスファーおよびDNSリレー
  • SNMPによるオペレーティングシステム、ソフトウェア、ネットワークおよびユーザーの列挙
  • SMTPオープンメールリレーおよびユーザー列挙
  • NetBIOS/SMBドメインポリシーの開示(パスワードポリシーを含む)
  • LDAPドメインポリシーの開示および列挙
  • 悪用可能なソフトウェアのネットワークサービスバナー
  • Webサーバーのデフォルトユーザー名・パスワードおよびファイルアップロード脆弱性
  • 潜在的なバックドアを特定するための未知のサービス
  • 保護されていないクラウドストレージやサービスの特定

注意: 侵入防止システム、Webアプリケーションファイアウォール、その他のアクティブなセキュリティ制御デバイスは、テストトラフィックをフィルタリングまたは妨害する場合があります。Secureworksは、テスト期間中、テスターの送信元IPを許可リストに追加(またはアラートのみ設定)することを依頼します。

オープンネットワークサービスの悪用🔗

Secureworksは「オープンネットワークサービスの列挙」で得られた情報を用いて、ネットワークサービスの侵害を試みます。使用される手法の例は以下の通りです。

  • パスワード保護されたネットワークベースサービスのブルートフォース(アカウントロックアウトを回避するため、Secureworksはパスワードロックアウトポリシーを依頼します)
  • 脆弱なネットワークサービスの認証バイパス
  • 公開されているエクスプロイトを用いた、古い脆弱なサービスの悪用
  • ネットワークバックドアの特定および悪用

注意: 取得した認証情報の使用はソフトウェアの脆弱性ではありませんが、一般的な攻撃経路です。取得した認証情報や公開された侵害データの使用はスコープ内とみなされます。お客様のサービスに高リスクの影響を与える可能性のあるエクスプロイトの使用については、事前に協議します。

ポストエクスプロイトおよびラテラルムーブメント🔗

Secureworksは、ネットワーク全体やドメインインフラストラクチャに対する侵害経路を特定しようとします。以下の手法を用いて、前段階での侵害の影響を示す場合があります。

  • 侵害されたシステムでの権限昇格
  • 収集した認証情報やアクセストークンを用いた追加システムの侵害
  • 重要なビジネスデータの検索

Webアプリケーションに関する注意: Webアプリケーションは、特に脆弱なアプリケーションであることが多いです。SecureworksはWebアプリケーションセキュリティを評価するサービスを提供しています。お客様のスコープ内IPアドレス範囲にWebアプリケーションが検出された場合、本サービスでは一般的(ブラックボックスとも呼ばれる)なテストを実施しますが、これはお客様のWebアプリケーションの包括的なテストとはみなされません。詳細なWebアプリケーションテストが必要な場合は、Webアプリケーションセキュリティアセスメントサービスをご参照ください。

リモートリテスト🔗

Secureworksは、最終レポートに記載された重大度「高」および「重大」の発見事項に対してのみ、1回のリメディエーションバリデーション(RV)を実施します。主テスト完了後、お客様は90日以内に問題を修正し、RVをスケジュールし、SecureworksにRVを実施させることができます。お客様は、最終レポートの納品から30日以内に、アセスメント担当のSecureworks連絡先へメールでRVを申請する必要があります。これを過ぎるとRVの権利は失効します。

外部ペネトレーションテストでは、ピボットやポストエクスプロイト後に発見された事項の検証は困難なため、RVには含まれません。内部ペネトレーションテストの場合、元のテストでSecureworks RTAを使用していればRVが可能です。 SecureworksはRVの結果を要約した簡易レポートを発行し、お客様が問題を適切に修正したかどうかの情報を含みます。

注意: Secureworksは、アセスメントがオンサイトで実施された場合でも、RVはリモートでのみ実施します。

成果物🔗

Secureworksがまとめた発見事項および成果物は、レポートの形でお客様に提供されます。レポートには以下が含まれます。

  • エグゼクティブサマリー
  • 手法、詳細な発見事項、説明、推奨事項(該当する場合)
  • 関連する詳細や補足データのための添付資料

お客様は、レポート納品から1週間以内に、最終レポートに含めるコメントを提出できます。レビュー期間満了までにお客様からコメントがない場合、レポートは最終版とみなされます。 サービス完了時には、お客様指定の連絡先にSecureworksからセキュア/暗号化されたメールによる確認通知が送信されます。お客様指定の連絡先から書面による異議申し立てがない限り、通知から5営業日以内にサービスおよび本SOWは完了とみなされます。

スコーピング情報🔗

外部テストは、事前に定義されたターゲットシステムまたはネットワーク範囲に限定されます。スコーピングの目的上、ターゲットシステムとは、インターネットに対して少なくとも1つのポート/サービスを公開している稼働中のシステムを指します。

お客様に関連する未記載の資産を特定するために一部OSINTを実施しますが、これらのシステムに対するライブテストは書面による承認なしには実施しません。スコープの変更がある場合は、お客様と協議・文書化の上で進め、変更注文により追加費用が発生する場合があります。

外部ペネトレーションテストは、通常、ブラックボックス手法に基づき、人工的に圧縮されたタイムラインで実施されます。追加情報の提供により、効率的かつ効果的なテストが可能となります。指定されたテストアカウントの有効な認証情報を提供いただくことで、Secureworksはより正確なパスワードスプレーを実施し、最も効率的なテストのためのツール設定が可能となります。

スコープ 説明
外部ペネトレーションテスト - 小規模 最大50個の外部IPアドレス

テスト対象のIPアドレスはすべて外部である必要があります。そうでない場合は、別途作業が必要です。
外部ペネトレーションテスト - 中規模 最大250個の外部IPアドレス

テスト対象のIPアドレスはすべて外部である必要があります。そうでない場合は、別途作業が必要です。
外部ペネトレーションテスト - 大規模 最大500個の外部IPアドレス

テスト対象のIPアドレスはすべて外部である必要があります。そうでない場合は、別途作業が必要です。

作業はSecureworksコンサルタントの営業時間内に実施されます。時間外対応は追加費用でご利用いただけます。

本サービスの詳細なサービス説明はこちらをご参照ください: ペネトレーションテスト

スケジューリングおよび予約情報🔗

本サービスのスケジューリングに関する情報は、サービススケジューリングをご参照ください。