コンテンツにスキップ

ラップトップペネトレーションテスト🔗

サービス概要🔗

ラップトップペネトレーションテストの目的は、ラップトップが侵害される可能性があるか、またはどのように侵害されるかを実証することです。このテストは、企業が発行したラップトップイメージから開始され、Secureworks攻撃者グループがデバイスおよびその上の機密情報の侵害を試みます。テストには、Bitlocker / フルディスク暗号化のバイパス、コールドブートメモリ攻撃、QuickCreds攻撃、USB HID、イメージ構成の悪用などのアクティビティが含まれる場合があります。

サービス手法🔗

このシナリオベースのエンゲージメントでは、会社支給のラップトップが紛失または盗難に遭い、熟練した攻撃者がラップトップを十分に操作できる場合に何が起こるかを検証します。ラップトップが紛失/盗難に遭った場合、通常は次の3つの状態のいずれかです。

  • 電源が入っており、デスクトップにログインしている状態
  • 電源が入っているがロックされている状態(蓋を閉じている場合も同様。画面を再度開くと通常ロックされます)
  • 電源が切れている状態

Secureworksは、これら3つのシナリオすべてからテストを実施し、各状態から攻撃者がラップトップを侵害するためにできることを示すためにストーリーを分割します。

電源オフ時のテスト:
テスターは、ダイレクトメモリアクセス(DMA)周辺機器(例:外部カードをラップトップに接続し、メモリをホットパッチしてログイン画面をバイパス/Bitlocker復号キーを探す)を使用してラップトップの侵害を試みます。 ラップトップのハードドライブが暗号化されている場合は、内容の復号化とローカル管理者アカウントの作成を試みます。

電源オンだがロックされている場合:
Bash Bunnyを利用して偽のUSB「ネットワークインターフェースカード」を起動し、コンピュータにログインユーザーのNet-NTLMv2パスワードハッシュを送信させるように仕掛けます。 ハッシュの取得に成功した場合は、これをクラックすることを試みます。復元できた場合は、デバイスへのログインを試みます。

デスクトップにログインしている状態:
テスターは通常のユーザー資格情報でラップトップにアクセスできます。どのようなセキュリティコントロールが存在し、何がバイパスできるか(例:エンドポイント保護/DLP保護)を確認します。 ローカルに保存されている機密情報(保存されたWi-Fiパスワードやその他の重要なドキュメントなど)を探します。クライアントによっては、テスターが見つけるためのイースターエッグや「フラグ」を隠している場合もあります。

ラップトップの侵害後、テスターは事前にサインイン済みの資格情報や推測した資格情報を利用してVPNを活用し、社内ネットワークへのアクセスを試みます。VPN経由で社内ネットワークへのテストを継続する前に、お客様の許可を求めます。

VPNアクセスが可能な場合、通常はAWSインスタンスを立ち上げ、AWSインスタンスからラップトップを経由して社内ネットワークへのトラフィックをプロキシします。

お客様へのご要望
このテストをより現実的にするために、お客様は以下を検討してください。

  • アカウントのプロビジョニング時にパスワードポリシーを満たす「現実的な」パスワード(例:WordNumberSymbol)を使用してラップトップにサインインしてください。ほとんどのユーザーはランダムに生成された25文字以上のパスワードを覚えていないため、ランダムなパスワードを使用すると、実際の環境で見られる典型的なユーザー資格情報を反映しません。

  • テスト用の資格情報を提供し、ラップトップの各状態(例:電源オフ、蓋を閉じた状態、デスクトップにログイン済み)を適切にテストできるようにしてください。これはラップトップが構成された際の同じアカウントである必要があります。

注意: これらの資格情報はラップトップへのサインインのみに使用されます。テスターは、VPNへの認証を試みる際に、組織内の他の弱い資格情報を持つユーザーアカウントをターゲットにします。

成果物🔗

Secureworksがまとめた発見事項および成果物は、レポートの形でお客様に提供されます。レポートには以下が含まれます。

  • エグゼクティブサマリー
  • 手法、詳細な発見事項、ストーリー、および必要に応じた推奨事項
  • 関連する詳細や補足データのための添付資料

お客様は、レポート納品から1週間以内に、最終レポートに含めるコメントを提出することができます。レビュー期間満了までにお客様からコメントがない場合、レポートは最終版とみなされます。 サービス完了時には、お客様指定の連絡先にSecureworksからセキュア/暗号化されたメールによる確認が送信されます。お客様指定の連絡先から書面による異議申し立てがない限り、そのメール確認から5営業日以内にサービスおよび本SOWは完了したものとみなされます。

スコーピング情報🔗

ラップトップペネトレーションテスト🔗

スコープ 説明
ラップトップペネトレーションテスト - 小規模 1台のラップトップイメージを構成し、Secureworksに発送します。

スケジューリングおよび予約情報🔗

本サービスのスケジューリングに関する情報は、サービススケジューリングをご参照ください。