コンテンツにスキップ

内部ペネトレーションテスト🔗

サービス概要🔗

内部ペネトレーションテストの目的は、システムやネットワークサービスの弱点を明らかにし(「鎖は最も弱い部分と同じ強さしかない」ことを強調)、またはその弱点を利用してネットワーク内を移動し、ターゲットシステムやデータへアクセスする方法を示すことです。本テストには、脆弱性の悪用、ユーザー名とパスワードの発見、ターゲット環境内外のシステム間でのラテラルムーブメント、侵害されたホストを経由したピボットが含まれます。このテストは、通常の脆弱性アセスメントでは検出されないセキュリティ上の欠陥を明らかにし、現代の攻撃者がネットワーク環境を攻撃・侵害する手法により近いものとなっています。

サービス手法🔗

Secureworksの高度なネットワークセキュリティテストへのアプローチは、業界のベストプラクティスと豊富なセキュリティテスト経験に基づき、社内で開発された手法に基づいています。Secureworksはお客様と密接に連携し、テスト対象および対象外の範囲を決定します。

テスト前に、Secureworksはキックオフコールを設定し、エンゲージメントルール、工数、スコープ、リスク受容、初期アクセス要件、レポート要件、テストのタイムラインおよびスケジュールを確立します。

以下はテストの構成要素です:

初期アクセス - 脅威モデルの選択🔗

攻撃者がネットワークの境界を突破し、さまざまな初期アクセスベクターを用いて内部ネットワークへ侵入する中、内部ペネトレーションテストに最も適した脅威モデルを利用することは、お客様の環境、攻撃者への懸念、テストの全体的な目標に適した高い現実性を確保するために重要です。

Secureworksは、以下のような異なる脅威モデルを通じてお客様のネットワークを検証するための複数の出発点を提供しています:

  • 不正従業員/悪意のある内部者

  • DMZサーバ侵害のシミュレーション

  • エンドポイント侵害

  • 資格情報の侵害

  • カスタムシナリオ
    上記のモデルが環境に合わない場合や、特定の脅威モデルの特殊ケースを検討したい場合は、Secureworks Adversary Groupのコンサルタントがスコーピングコールにてカスタマイズされたプランの策定を支援します。

リモートテストアプライアンス🔗

特定の脅威モデルにおいて、Secureworksは内部ペネトレーションテストのためにリモートテストアプライアンス(RTA)を使用します。RTAは、テストコンサルタントが内部ネットワークへアクセスするためのカスタム構築された仮想マシンです。RTAが起動すると、セキュアなチャネルを通じてSecureworksのインフラストラクチャへ接続します。RTAは、VMWareやVirtualboxなどの従来型ハイパーバイザー向けのOVA形式、AWS EC2(AMIとして)やAzureなどのクラウドコンピュートインスタンス向けにも提供可能です。注意点は以下の通りです:

  • RTAには以下のリソースが必要です:ディスク32GB、RAM 4GB、2 vCPUコア

  • RTAのネットワーク内での配置は重要であり、テスト結果に大きな影響を与える可能性があります。RTAは、攻撃の最も現実的な開始地点をシミュレートでき、かつユーザーマシンからのネットワークトラフィックを傍受できるユーザー環境に配置するのが最適です。サーバー環境への配置は通常は理想的ではなく、ユーザー環境とは大きく異なる結果となる場合があります。

  • テスト開始前に、VMソフトウェアでネットワーク設定がブリッジモードになっていることを確認してください。

  • VMはポート443で https://connect.remotetesting.secureworks.com へアウトバウンド接続します。ファイアウォールがこのホストへのポート443のアウトバウンド通信を許可していない場合は、ホワイトリストへの追加が必要です。また、ファイアウォールがポート443上のVPNプロトコルを特に許可していることを確認してください。プロトコルインスペクション型ファイアウォールの場合、接続がブロックされる可能性があります。

エンドポイント侵害の要件🔗

エンドポイント侵害の脅威モデルを用いた内部ペネトレーションテストでは、エンゲージメント開始前に以下の準備が必要です:

  • お客様にて、初期アクセスホストとして使用するドメイン参加済みWindowsシステムを用意してください。

    • 仮想マシンまたはノートPCのいずれでも構いませんが、必ずドメイン参加済みであることが必要です。
    • システムは休止状態やスリープにならないように設定してください。

  • お客様にて、一般的な従業員またはロールを示すドメインユーザーを用意してください。

    • 信頼できるエージェント/実際の従業員、または新規作成したアカウントのいずれでも構いません。
    • このアカウントを使用してペイロードを実行するか、初期アクセスエンドポイントへのアクセスを提供します。

  • Secureworksは、用意されたシステム上で用意されたユーザーが実行するカスタマイズされたペイロードを提供し、コマンド&コントロールを確立します。EDR/AVなどの防御機能はこのホスト上で有効のままで構いませんが、ペイロードが検知された場合は、ペイロードやネットワークトラフィックをホワイトリストに追加するか、システムをモニター専用モード(アラートのみ、ブロックなし)に設定して演習を継続できるようにしてください。

ネットワークディスカバリー🔗

Secureworksは、お客様が提供したIPレンジに対してポートスキャンを実施し、稼働中のホストを特定します。本テストには、IPアドレス範囲のスキャンによる使用中の主要なTCPポートの特定、バナーグラビングによる特定アプリケーションやバージョン情報の特定などのアクティビティが含まれます。外部テストの場合、スキャンデータはテスト完了後に提供され、稼働中のホストや主要なオープンポートの詳細が記載されます。ポートスキャンデータは内部テストレポートには含まれません。

オープンネットワークサービスの列挙🔗

Secureworksは、ネットワークサービスを調査し、侵害につながる可能性のあるお客様ネットワークに関する追加情報を特定します。例は以下の通りです:

  • DNSホスト名のルックアップ、ブルートフォースによるゾーントランスファーおよびDNSリレー
  • SNMPによるOS、ソフトウェア、ネットワークおよびユーザーの列挙
  • SMTPオープンメールリレーおよびユーザー列挙
  • NetBIOS/SMBドメインポリシーの開示(パスワードポリシーを含む)
  • LDAPドメインポリシーの開示および列挙
  • 悪用可能なソフトウェアのネットワークサービスバナー
  • デフォルトのユーザー名・パスワードやファイルアップロード脆弱性のあるWebサーバー
  • 潜在的なバックドアを特定するための未知のサービス

オープンネットワークサービスの悪用🔗

Secureworksは「オープンネットワークサービスの列挙」で得られた情報を用いて、ネットワークサービスの侵害を試みます。使用される手法の例は以下の通りです:

  • パスワード保護されたネットワークベースサービスのブルートフォース(アカウントロックアウトを避けるため、Secureworksはパスワードロックアウトポリシーを要求します)
  • 脆弱なネットワークサービスの認証バイパス
  • 公開されているエクスプロイトを用いた古い脆弱なサービスの悪用
  • ネットワークバックドアの特定と悪用
  • 中間者攻撃(Man-in-the-Middle attack)の実施

注意: 取得した資格情報の使用はソフトウェアの脆弱性ではありませんが、一般的な攻撃ベクターです。取得した資格情報や公開された侵害データの使用はスコープ内とみなされます。お客様サービスへの影響が高いリスクのあるエクスプロイトの使用については、事前に協議します。

ポストエクスプロイトおよびラテラルムーブメント🔗

Secureworksは、ネットワーク全体やドメインインフラストラクチャの侵害ベクターを特定しようとします。以下の手法を用いて、前段階での侵害の影響を示す場合があります:

  • 収集した資格情報やアクセストークンを用いて追加システムを侵害
  • 侵害されたシステム上でアンチウイルスやエンドポイント保護を回避し、さらなる悪用を検知されずに実施
  • 追加のネットワークやドメインパスワードを取得し、権限昇格によってDomain Administratorやrootレベルのアクセスを達成
  • Active Directory設定を精査し、権限昇格につながる設定ミスを特定
  • 侵害されたシステムによって露出したドメイントラスト、ネットワークルート、ブリッジネットワークの悪用
  • 重要なビジネスデータの探索

脆弱性スキャンに関する注意: 内部環境では、大規模な脆弱性スキャンが障害を引き起こす場合があります。Secureworksは、脆弱と判断した特定のターゲットに対してのみ脆弱性スキャンを実施します。ただし、レポートにはコード実行、機密情報漏洩、認証バイパスにつながる脆弱性のみが記載されます。

リモート再テスト🔗

Secureworksは、最終レポートに記載された重大度「高」および「重大」の発見事項に対してのみ、1回の是正検証(RV)を実施します。主テスト完了後、お客様は90日以内に問題を是正し、RVをスケジューリングし、SecureworksによるRVの実施を受けることができます。お客様は、最終レポート納品から30日以内に、アセスメント担当のSecureworks連絡先へメールでRVリクエストを提出する必要があります。これを過ぎるとRVの権利は失効します。

注意: Secureworksは、アセスメントがオンサイトで実施された場合でも、RVはリモートでのみ実施します。

成果物🔗

Secureworksがまとめた発見事項および成果物は、レポートの形でお客様に提供されます。レポートには以下が含まれます:

  • エグゼクティブサマリー
  • 手法、詳細な発見事項、ナラティブ、および推奨事項(該当する場合)
  • 関連する詳細や補足データのための添付資料

お客様は、レポート納品から1週間以内に、最終レポートに含めるコメントを提出できます。レビュー期間満了前にお客様からコメントがない場合、レポートは最終版とみなされます。 サービス完了時には、お客様指定の連絡先にSecureworksからセキュア/暗号化されたメールによる確認通知が送付されます。お客様指定の連絡先から書面による異議申し立てがない限り、当該メール確認から5営業日以内にサービスおよび本SOWは完了とみなされます。

スコーピング情報🔗

内部テストの目標ベースの性質上、すべてのIPがスコープ内となりますが、すべてのシステムが直接ターゲットとなるわけではありません。テストから明示的に除外されていないシステムは、侵害され、テスト目標達成のために使用される可能性があります。ただし、エンゲージメントの焦点は環境の侵害にあります。

お客様は、重要ターゲット(いわゆるクラウンジュエル)を指定することもできますし、Secureworksがターゲット候補を特定するテストを実施することも可能です。お客様指定のターゲットについては、内部ターゲットシステムをペネトレーションテストの目標と考え、ターゲットとするシステムのサンプリングを選択することを検討してください。たとえば、ドメインコントローラー、Webサーバー、ファイル共有、クラウドコンピュートシステム、重要なワークステーションなどの重要システムは、良いターゲットとなります。また、異なるセキュリティゾーンのシステムを含めることで、ファイアウォールやセグメンテーションのテストにも役立ちます。たとえば、NYC本社の一般ユーザーネットワークにRTAを配置した場合、NYCのネットワークがダラスのデータセンターに一切アクセスできないはずであれば、ダラスのデータセンターシステムをターゲットに加えることで、既存のセグメンテーションを検証できます。

スコープ 説明
内部ペネトレーションテスト - 小規模 最大500台のシステムを持つ組織向け。テストは資産の約10%(最大50ターゲット)の戦略的・目標ベースのサンプルに焦点を当てます。

テスト用IPアドレスはすべて内部でなければなりません。外部IPが含まれる場合は、別途作業が必要です。

エンゲージメントは、提供されたすべての内部IPアドレスを侵害するのではなく、現実的な攻撃者の目標をシミュレートすることに重点を置きます。

サンプル目標:Active Directoryの侵害、バックアップへのアクセス、セグメンテーションの突破、CEOのメールの閲覧。
内部ペネトレーションテスト - 中規模 最大2,500台のシステムを持つ組織向け。テストは資産の約10%(最大250ターゲット)の戦略的・目標ベースのサンプルに焦点を当てます。

テスト用IPアドレスはすべて内部でなければなりません。外部IPが含まれる場合は、別途作業が必要です。

エンゲージメントは、提供されたすべての内部IPアドレスを侵害するのではなく、現実的な攻撃者の目標をシミュレートすることに重点を置きます。

サンプル目標:Active Directoryの侵害、バックアップへのアクセス、セグメンテーションの突破、CEOのメールの閲覧。
内部ペネトレーションテスト - 大規模 最大5,000台のシステムを持つ組織向け。テストは資産の約10%(最大500ターゲット)の戦略的・目標ベースのサンプルに焦点を当てます。

テスト用IPアドレスはすべて内部でなければなりません。外部IPが含まれる場合は、別途作業が必要です。

エンゲージメントは、提供されたすべての内部IPアドレスを侵害するのではなく、現実的な攻撃者の目標をシミュレートすることに重点を置きます。

サンプル目標:Active Directoryの侵害、バックアップへのアクセス、セグメンテーションの突破、CEOのメールの閲覧。

作業はSecureworksコンサルタントの営業時間内に実施されます。時間外対応は追加費用で利用可能です。

より大規模?複雑なスコープ?ご相談ください!ご連絡先: Red.Team.Services-Scoping@sophos.com

本サービスの完全なサービス説明はこちらをご覧ください: Penetration Testing

スケジューリングおよび予約情報🔗

本サービスのスケジューリングに関する情報はサービススケジューリングをご参照ください。