コンテンツにスキップ

内部ペネトレーションテスト🔗

サービス概要🔗

内部ペネトレーションテストの目的は、システムやネットワークサービスの弱点を明らかにし(「鎖は最も弱い部分と同じ強さしかない」ということを強調)、その弱点をどのように活用してネットワーク内を移動し、ターゲットシステムやデータへアクセスできるかを示すことです。本テストには、脆弱性の悪用、ユーザー名とパスワードの発見、ターゲット環境内外のシステム間でのラテラルムーブメント、侵害されたホストを経由したピボットなどが含まれます。このテストは、通常の脆弱性アセスメントでは検出されないセキュリティ上の欠陥を明らかにし、現代の攻撃者がネットワーク環境を攻撃・侵害する手法により近いものとなっています。

サービス手法🔗

Secureworksの高度なネットワークセキュリティテスト手法は、業界のベストプラクティスと豊富なセキュリティテスト経験に基づき、社内で開発されたメソドロジーに基づいています。Secureworksはお客様と密接に連携し、テスト対象および対象外の範囲を決定します。

テスト前に、Secureworksはキックオフコールを設定し、エンゲージメントルール、工数、スコープ、リスク受容、初期アクセス要件、レポート要件、テストのタイムラインおよびスケジュールを確定します。

以下はテストの構成要素です:

初期アクセス - 脅威モデルの選択🔗

攻撃者がネットワークの境界を突破し、さまざまな初期アクセスベクターを用いて内部ネットワークに侵入する中、内部ペネトレーションテストに最も適した脅威モデルを利用することは、お客様の環境、攻撃者に対する懸念、テスト全体の目標に適した高い現実性を確保するために重要です。

Secureworksは、以下のような異なる脅威モデルを用いてネットワークを検証するための複数の出発点を提供しています:

  • 不正従業員/悪意のあるインサイダー

  • DMZサーバ侵害のシミュレーション

  • エンドポイント侵害

  • 資格情報の侵害

  • カスタムシナリオ
    上記のモデルが環境に合わない場合や、特定の脅威モデルの特殊ケースを検討したい場合は、Secureworks Adversary Groupのコンサルタントがスコーピングコールにてカスタマイズされたプランの策定を支援します。

リモートテストアプライアンス🔗

特定の脅威モデルにおいて、Secureworksは内部ペネトレーションテストのためにリモートテストアプライアンス(RTA)を使用します。RTAは、テストコンサルタントが内部ネットワークへアクセスするためのカスタム構築された仮想マシンです。RTAを起動すると、セキュアなチャネルを通じてSecureworksのインフラストラクチャに接続します。RTAは、VMWareやVirtualboxなどの従来型ハイパーバイザー向けのOVA形式、AWS EC2(AMIとして)やAzureなどのクラウドコンピュートインスタンス向けにも提供可能です。注意点は以下の通りです:

  • RTAには以下のリソースが必要です:ディスク32GB、RAM 4GB、2 vCPUコア

  • RTAのネットワーク内での配置は重要であり、テスト結果に大きな影響を与える場合があります。RTAは、攻撃の最も現実的な開始地点をシミュレートでき、かつユーザーマシンからのネットワークトラフィックを傍受できるユーザー環境に配置するのが最適です。サーバー環境への配置は通常は理想的ではなく、ユーザー環境とは大きく異なる結果となる場合があります。

  • テスト開始前に、VMソフトウェアでネットワーク設定がブリッジモードになっていることを確認してください。

  • VMはポート443で https://connect.remotetesting.secureworks.com へアウトバウンド接続します。ファイアウォールがこのホストへのポート443のアウトバウンド通信を許可していない場合は、ホワイトリストへの追加が必要です。また、ファイアウォールがポート443上のVPNプロトコルを明示的に許可していることを確認してください。プロトコルインスペクション型ファイアウォールの場合、接続がブロックされる可能性があります。

エンドポイント侵害の要件🔗

エンドポイント侵害の脅威モデルを用いた内部ペネトレーションテストの場合、エンゲージメント開始前に以下の準備が必要です:

  • お客様にて、ドメイン参加済みのWindowsシステムを用意してください(初期アクセスホストとして使用します)。

    • 仮想マシンまたはノートPCなど、ドメイン参加済みであればどちらでも構いません。
    • システムは休止やスリープしないように設定してください。

  • お客様にて、一般的な従業員やロールを示すドメインユーザーを用意してください。

    • 信頼できるエージェント/実在の従業員、または新規作成したアカウントでも構いません。
    • このアカウントを用いてペイロードの実行や初期アクセスエンドポイントへのアクセスを行います。

  • Secureworksは、用意されたシステム上で用意されたユーザーが実行するカスタマイズされたペイロードを提供し、コマンド&コントロールを確立します。EDR/AVなどの防御機能はこのホスト上で有効のままで構いませんが、ペイロードが検知された場合は、ペイロードやネットワークトラフィックをホワイトリストに追加するか、システムをモニター専用モード(アラートのみ、ブロックなし)に設定して演習を継続できるようにしてください。

ネットワークディスカバリー🔗

Secureworksは、お客様が提供したIPレンジに対してポートスキャンを実施し、稼働中のホストを特定します。本テストには、IPアドレス範囲のスキャンによる主要なTCPポートの特定、バナーグラビングによる特定アプリケーションやバージョン情報の特定などのアクティビティが含まれます。外部テストの場合、スキャンデータはテスト完了後に提供され、稼働中のホストや主要なオープンポートの詳細が記載されます。ポートスキャンデータは内部テストレポートには含まれません。

オープンネットワークサービスの列挙🔗

Secureworksは、ネットワークサービスを調査し、侵害につながる可能性のあるお客様ネットワークに関する追加情報を特定します。例としては以下が挙げられます:

  • DNSホスト名のルックアップ、ブルートフォースによるゾーントランスファーおよびDNSリレー
  • SNMPによるOS、ソフトウェア、ネットワークおよびユーザーの列挙
  • SMTPオープンメールリレーおよびユーザー列挙
  • NetBIOS/SMBドメインポリシーの開示(パスワードポリシーを含む)
  • LDAPドメインポリシーの開示および列挙
  • 悪用可能なソフトウェアのネットワークサービスバナー
  • デフォルトのユーザー名・パスワードやファイルアップロード脆弱性のあるWebサーバー
  • 潜在的なバックドアを特定するための未知のサービス

オープンネットワークサービスの悪用🔗

Secureworksは「オープンネットワークサービスの列挙」で得られた情報を用いて、ネットワークサービスの侵害を試みます。使用される手法の例は以下の通りです:

  • パスワード保護されたネットワークベースサービスのブルートフォース(アカウントロックアウトを回避するため、Secureworksはパスワードロックアウトポリシーを確認します)
  • 脆弱なネットワークサービスの認証バイパス
  • 公開されているエクスプロイトを用いた古い脆弱なサービスの悪用
  • ネットワークバックドアの特定と悪用
  • 中間者攻撃(Man-in-the-Middle attack)の実施

注意: 取得した資格情報の使用はソフトウェアの脆弱性ではありませんが、一般的な攻撃ベクターです。取得した資格情報や公開された侵害データの使用はスコープ内とみなします。お客様サービスに高リスクの影響を与える可能性のあるエクスプロイトの使用については、事前に協議します。

ポストエクスプロイトおよびラテラルムーブメント🔗

Secureworksは、ネットワーク全体やドメインインフラストラクチャに対する侵害ベクターの特定を試みます。以下の手法を用いて、前段階での侵害の影響を示す場合があります:

  • 取得した資格情報やアクセストークンを用いて追加システムを侵害
  • 侵害されたシステム上でアンチウイルスやエンドポイント保護を回避し、さらなる悪用を検知されずに実施
  • 追加のネットワーク・ドメインパスワードの取得や権限昇格によるドメイン管理者またはrootレベルアクセスの取得
  • Active Directory設定の精査による権限昇格につながる設定ミスの特定
  • 侵害されたシステムによって露出したドメイントラスト、ネットワークルート、ブリッジネットワークの悪用
  • 重要な業務データの探索

脆弱性スキャンについての注意: 内部環境では、大規模な脆弱性スキャンが障害を引き起こす場合があります。Secureworksは、脆弱と判断した特定のターゲットに対して脆弱性スキャンを実施します。ただし、レポートにはコード実行、機密情報漏洩、認証バイパスにつながる脆弱性のみが記載されます。

リモート再テスト🔗

Secureworksは、最終レポートに記載された重大度「高」および「重大」の発見事項に対してのみ、1回(1回分)の修正検証(RV)を実施します。主テスト完了後、お客様は90日以内に問題を修正し、RVをスケジューリングし、SecureworksにRVの実施を依頼する必要があります。お客様は、最終レポート納品から30日以内に、アセスメント担当のSecureworks連絡先へメールでRVリクエストを提出してください。期限内にリクエストがない場合、RVの権利は失効します。

注意: Secureworksは、アセスメントがオンサイトで実施された場合でも、RVはリモートでのみ実施します。

成果物🔗

Secureworksがまとめた発見事項および成果物は、レポートの形でお客様に提供されます。レポートには以下が含まれます:

  • エグゼクティブサマリー
  • 手法、詳細な発見事項、ナラティブ、および推奨事項(該当する場合)
  • 関連する詳細や補足データのための添付資料

お客様は、レポート納品から1週間以内に、最終レポートに含めるコメントを提出できます。レビュー期間満了前にお客様からコメントがない場合、レポートは最終版とみなされます。 サービス完了時には、お客様指定の連絡先にSecureworksからセキュア/暗号化されたメールで完了通知が送信されます。お客様指定の連絡先から書面による異議申し立てがない限り、メール通知から5営業日以内にサービスおよび本SOWは完了とみなされます。

スコーピング情報🔗

内部テストの目標ベースの性質上、内部ネットワークに接続されているすべてのシステムがスコープ内となります。明示的にテスト対象外とされていないシステムは、侵害され、ターゲットシステムへの攻撃に利用される可能性があります。ただし、エンゲージメントの焦点は定義されたターゲットシステムの侵害です。

内部ターゲットシステムはペネトレーションテストの目標と考え、ターゲットとするシステムのサンプリングを選択することを推奨します。たとえば、ドメインコントローラー、Webサーバー、ファイル共有、クラウドコンピュートシステム、重要なワークステーションなどの重要システムは良いターゲットとなります。また、異なるセキュリティゾーンのシステムを含めることで、ファイアウォールやセグメンテーションのテストにも役立ちます。たとえば、NYC本社の一般ユーザーネットワークにRTAを配置した場合、そのNYCネットワークがダラスのデータセンターに一切アクセスできないはずであれば、データセンターのシステムをターゲットに加えることで、既存のセグメンテーションを検証できます。

スコープ 説明
内部ペネトレーションテスト - 小規模 最大50の内部ターゲットIPアドレス

テスト対象のIPアドレスはすべて内部である必要があります。そうでない場合は、別途作業が必要です。
内部ペネトレーションテスト - 中規模 最大250の内部ターゲットIPアドレス

テスト対象のIPアドレスはすべて内部である必要があります。そうでない場合は、別途作業が必要です。
内部ペネトレーションテスト - 大規模 最大500の内部ターゲットIPアドレス

テスト対象のIPアドレスはすべて内部である必要があります。そうでない場合は、別途作業が必要です。

作業はSecureworksコンサルタントの営業時間内に実施されます。時間外対応は追加費用で利用可能です。

本サービスの詳細なサービス説明はこちらをご参照ください: Penetration Testing

スケジューリングおよび予約情報🔗

本サービスのスケジューリングに関する情報はサービススケジューリングをご参照ください。