コンテンツにスキップ

内部ペネトレーションテスト🔗

サービス概要🔗

内部ペネトレーションテストの目的は、システムやネットワークサービスの弱点を明らかにし(「鎖は最も弱い部分と同じ強さしかない」ということを強調)、またはその弱点を利用してネットワーク内を移動し、ターゲットシステムやデータへアクセスする方法を示すことです。本テストには、脆弱性の悪用、ユーザー名とパスワードの発見、ターゲット環境内外のシステム間でのラテラルムーブメント、侵害されたホストを経由したピボットなどが含まれます。このテストは、通常の脆弱性アセスメントでは検出できないセキュリティ上の欠陥を明らかにし、現代の攻撃者がネットワーク環境を攻撃・侵害する手法により近いものとなっています。

サービス手法🔗

Secureworksの高度なネットワークセキュリティテストへのアプローチは、業界のベストプラクティスと豊富なセキュリティテスト経験に基づき、社内で開発された手法に基づいています。Secureworksはお客様と密接に連携し、テスト対象および対象外の範囲を決定します。

テスト前に、Secureworksはキックオフコールを設定し、エンゲージメントルール、工数、スコープ、リスク受容、初期アクセス要件、レポート要件、テストのタイムラインやスケジュールを確立します。

以下はテストの構成要素です:

初期アクセス - 脅威モデルの選定🔗

攻撃者がネットワークの境界を突破し、さまざまな初期アクセス経路で内部ネットワークに侵入する中、内部ペネトレーションテストに最適な脅威モデルを利用することは、お客様の環境や攻撃者への懸念、テスト全体の目標に適した高い現実性を確保するために重要です。

Secureworksは、以下のような異なる脅威モデルを用いてネットワークを検証するための複数の出発点を提供しています:

  • 不正従業員/内部不正者

  • DMZサーバ侵害のシミュレーション

  • エンドポイント侵害

  • 資格情報の侵害

  • カスタムシナリオ
    上記のモデルが環境に合わない場合や、特定の脅威モデルの特殊ケースを検証したい場合は、Secureworks Adversary Groupのコンサルタントがスコーピングコールでカスタマイズされたプランの策定を支援します。

リモートテストアプライアンス🔗

特定の脅威モデルでは、Secureworksは内部ペネトレーションテストのためにリモートテストアプライアンス(RTA)を使用します。RTAは、テストコンサルタントが内部ネットワークへアクセスできるようにするカスタム構築の仮想マシンです。RTAを起動すると、セキュアなチャネルを通じてSecureworksのインフラストラクチャへ接続します。RTAは、VMWareやVirtualboxなどの従来型ハイパーバイザー向けのOVA形式、AWS EC2(AMIとして)やAzureなどのクラウドコンピュートインスタンス向けにも提供可能です。注意点は以下の通りです:

  • RTAには以下のリソースが必要です:ディスク32GB、RAM 4GB、vCPUコア2つ

  • RTAのネットワーク内での配置は重要であり、テスト結果に大きな影響を与えます。RTAは、攻撃の最も現実的な開始地点をシミュレートでき、かつユーザーマシンからのネットワークトラフィックを傍受できるユーザー環境に配置するのが最適です。サーバー環境への配置は通常は理想的ではなく、ユーザー環境とは大きく異なる結果となる場合があります。

  • テスト開始前に、VMソフトウェアでネットワーク設定がブリッジモードになっていることを確認してください。

  • VMはポート443で https://connect.remotetesting.secureworks.com へアウトバウンド接続します。ファイアウォールがこのホストへのポート443のアウトバウンド通信を許可していない場合は、ホワイトリストへの追加が必要です。また、ファイアウォールがポート443でVPNプロトコルを許可していることを確認してください。プロトコルインスペクション型ファイアウォールの場合、接続がブロックされる可能性があります。

エンドポイント侵害の要件🔗

エンドポイント侵害の脅威モデルを用いた内部ペネトレーションテストでは、エンゲージメント開始前に以下の準備が必要です:

  • お客様がドメイン参加済みのWindowsシステムを用意し、初期アクセスホストとして使用します。

    • 仮想マシンまたはノートPCなど、ドメイン参加済みであればどちらでも構いません。
    • システムは休止やスリープしないように設定してください。

  • お客様が、一般的な従業員やロールを示すドメインユーザーを用意します。

    • 信頼できるエージェント/実在の従業員、または新規作成したアカウントでも構いません。
    • このアカウントを使ってペイロードを実行、または初期アクセスエンドポイントへのアクセスを提供します。

  • Secureworksは、用意されたシステム上で用意されたユーザーによって実行されるカスタマイズされたペイロードを提供し、コマンド&コントロールを確立します。EDR/AVなどの防御機能はこのホスト上で有効のままで構いませんが、ペイロードが検知された場合は、ペイロードやネットワークトラフィックをホワイトリストに追加するか、システムをモニター専用モード(アラートのみ、ブロックなし)に設定して演習を進めてください。

ネットワークディスカバリー🔗

Secureworksは、お客様が提供したIPレンジに対してポートスキャンを実施し、稼働中のホストを特定します。このテストには、IPアドレス範囲のスキャンによる主要なTCPポートの特定、バナーグラビングによる特定アプリケーションやバージョン情報の取得などが含まれます。外部テストの場合、テスト完了後にスキャンデータを納品し、稼働中ホストや主要なオープンポートを詳細に報告します。内部テストレポートにはポートスキャンデータは含まれません。

オープンネットワークサービスの列挙🔗

Secureworksは、ネットワークサービスを調査し、侵害につながる可能性のある追加情報を特定します。例として以下が挙げられます:

  • DNSホスト名のルックアップ、ゾーン転送のブルートフォース、DNSリレー
  • SNMPによるOS、ソフトウェア、ネットワークおよびユーザーの列挙
  • SMTPオープンメールリレーおよびユーザー列挙
  • NetBIOS/SMBドメインポリシーの開示(パスワードポリシー含む)
  • LDAPドメインポリシーの開示および列挙
  • 悪用可能なソフトウェアのネットワークサービスバナー
  • デフォルトユーザー名・パスワードやファイルアップロード脆弱性のあるWebサーバー
  • 不明なサービスによるバックドアの特定

オープンネットワークサービスの悪用🔗

Secureworksは「オープンネットワークサービスの列挙」で得られた情報を用いて、ネットワークサービスの侵害を試みます。使用される手法の例は以下の通りです:

  • パスワード保護されたネットワークベースサービスのブルートフォース(アカウントロックアウトを避けるため、Secureworksはパスワードロックアウトポリシーを確認します)
  • 脆弱なネットワークサービスの認証バイパス
  • 公開されているエクスプロイトを用いた古い脆弱サービスの悪用
  • ネットワークバックドアの特定と悪用
  • 中間者攻撃(Man-in-the-Middle)

注意: 取得した資格情報の利用はソフトウェアの脆弱性ではありませんが、一般的な攻撃経路です。取得した資格情報や公開された侵害データの利用はスコープ内です。お客様サービスに高リスクな影響を与える可能性のあるエクスプロイトの使用については、事前に協議します。

ポストエクスプロイトおよびラテラルムーブメント🔗

Secureworksは、ネットワーク全体やドメインインフラストラクチャの侵害経路を特定しようとします。以下の手法を用いて、前段階での侵害の影響を示します:

  • 取得した資格情報やアクセストークンを用いて追加システムを侵害
  • 侵害されたシステム上でアンチウイルスやエンドポイント保護を回避し、さらなる悪用を検知されずに実施
  • 追加のネットワーク・ドメインパスワードを取得し、権限昇格によるドメイン管理者やrootレベルアクセスを達成
  • Active Directory設定を精査し、権限昇格につながる設定ミスを特定
  • 侵害されたシステムによって露出したドメイントラスト、ネットワークルート、ブリッジネットワークの悪用
  • 重要なビジネスデータの探索

脆弱性スキャンについての注意: 内部環境では、大規模な脆弱性スキャンが障害を引き起こす場合があります。Secureworksは、脆弱と判断した特定ターゲットに対してのみ脆弱性スキャンを実施します。ただし、レポートにはコード実行、機密情報漏洩、認証バイパスにつながる脆弱性のみを記載します。

リモート再テスト🔗

Secureworksは、最終レポートに記載された重大度「高」および「重大」の発見事項に対してのみ、1回の是正検証(RV)を実施します。主テスト完了後、お客様は90日以内に問題を是正し、RVをスケジューリングし、SecureworksによるRVを受ける必要があります。お客様は、最終レポート納品から30日以内に、アセスメント担当のSecureworks連絡先へメールでRVリクエストを提出してください。期限内にリクエストがない場合、RVの権利は失効します。

注意: Secureworksは、アセスメントがオンサイトで実施された場合でも、RVはリモートでのみ実施します。

成果物🔗

Secureworksがまとめた発見事項および成果物は、レポートとしてお客様に提供されます。レポートには以下が含まれます:

  • エグゼクティブサマリー
  • 手法、詳細な発見事項、ナラティブ、および推奨事項(該当する場合)
  • 関連する詳細や補足データのための添付資料

お客様は、レポート納品から1週間以内に、最終レポートに含めるコメントを提出できます。レビュー期間満了までにお客様からコメントがない場合、レポートは最終版とみなされます。 サービス完了時には、お客様指定の連絡先へSecureworksからセキュア/暗号化されたメールで完了通知が送付されます。お客様指定の連絡先から書面で異議申し立てがない限り、メール通知から5営業日以内にサービスおよび本SOWは完了とみなされます。

スコーピング情報🔗

内部テストは目標ベースであるため、すべてのIPがスコープ内となりますが、すべてのシステムが直接ターゲットとなるわけではありません。テストから明示的に除外されていないシステムは、侵害され、テスト目標達成のために利用される可能性があります。ただし、エンゲージメントの焦点は環境の侵害にあります。

お客様は、重要ターゲット(いわゆるクラウンジュエル)を指定することもできますし、Secureworksがテストを通じて関心のあるターゲットを特定することも可能です。お客様指定のターゲットの場合、内部ターゲットシステムをペネトレーションテストの目標と考え、ターゲットとするシステムのサンプルを選定してください。たとえば、ドメインコントローラー、Webサーバー、ファイル共有、クラウドコンピュートシステム、重要なワークステーションなどが良いターゲットとなります。また、異なるセキュリティゾーンのシステムを含めることで、ファイアウォールやセグメンテーションのテストにも役立ちます。たとえば、NYC本社の一般ユーザーネットワークにRTAを配置し、そのNYCネットワークがダラスのデータセンターに一切アクセスできないはずの場合、ダラスのデータセンターシステムをターゲットに加えることで、現状のセグメンテーションを検証できます。

スコープ 説明
内部ペネトレーションテスト - 小規模 最大500台のシステムを持つ組織向け。テストは資産の約10%(最大50ターゲット)の戦略的・目標ベースサンプルに焦点を当てます。

テスト用IPアドレスはすべて内部でなければなりません。そうでない場合は別途作業が必要です。

エンゲージメントは、提供されたすべての内部IPアドレスを侵害するのではなく、現実的な攻撃者の目的をシミュレートすることに重点を置きます。

サンプル目標:Active Directory侵害、バックアップへのアクセス、セグメンテーションの突破、CEOのメール閲覧。
内部ペネトレーションテスト - 中規模 最大2,500台のシステムを持つ組織向け。テストは資産の約10%(最大250ターゲット)の戦略的・目標ベースサンプルに焦点を当てます。

テスト用IPアドレスはすべて内部でなければなりません。そうでない場合は別途作業が必要です。

エンゲージメントは、提供されたすべての内部IPアドレスを侵害するのではなく、現実的な攻撃者の目的をシミュレートすることに重点を置きます。

サンプル目標:Active Directory侵害、バックアップへのアクセス、セグメンテーションの突破、CEOのメール閲覧。
内部ペネトレーションテスト - 大規模 最大5,000台のシステムを持つ組織向け。テストは資産の約10%(最大500ターゲット)の戦略的・目標ベースサンプルに焦点を当てます。

テスト用IPアドレスはすべて内部でなければなりません。そうでない場合は別途作業が必要です。

エンゲージメントは、提供されたすべての内部IPアドレスを侵害するのではなく、現実的な攻撃者の目的をシミュレートすることに重点を置きます。

サンプル目標:Active Directory侵害、バックアップへのアクセス、セグメンテーションの突破、CEOのメール閲覧。

作業はSecureworksコンサルタントの営業時間内に実施されます。時間外対応は追加費用で利用可能です。

さらに大規模?複雑なスコープ?ご相談ください!ご連絡先: Red.Team.Services-Scoping@sophos.com

本サービスの詳細なサービス説明はこちらをご覧ください: Penetration Testing

スケジューリングおよび予約情報🔗

本サービスのスケジューリングに関する情報はサービススケジューリングをご覧ください。