コンテンツにスキップ

攻撃者エミュレーション演習(レッドチーム演習 - インテリジェンス主導)🔗

サービス概要🔗

攻撃者エミュレーション演習は、脅威インテリジェンスを活用し、お客様の組織がお客様の業界を標的とすることが知られている特定の攻撃者に対して、検知・防御・対応能力を評価します。特定の攻撃者の戦術・技術・手順(「TTPs」)を模倣することで、演習の目的は以下の通りです。

  • 定義された攻撃者が目標や目的を妨げられることなく達成できてしまうような、セキュリティコントロールやアラートの不備を特定します。

  • お客様の防御担当者が、既知の脅威や一般的なTTPsによる侵害の兆候を認識し、発見できるよう訓練します。

Secureworksは、攻撃者エミュレーション演習に2つのレベルを用意しており、サイバー攻撃の各フェーズを通じて模倣された脅威の全体像に焦点を当てるか、侵害後の内部ネットワークに限定して評価するかを選択できます。詳細は以下の表をご参照ください。
攻撃者エミュレーション演習 - Lite

(レッドチーム演習 - インテリジェンス主導 - 侵害前提)		 境界防御やソーシャルエンジニアリング対策よりも、主に内部ネットワーク内での検知・防御・対応能力の仮定を検証したい組織向けに、「攻撃者エミュレーション演習 – Lite」は、侵害されたエンドポイントやVPN・仮想デスクトップ環境を通じた認証情報の侵害など、侵害前提の状況から2週間にわたり実施されます。短期間での演習を希望する組織にも適したオプションです。
攻撃者エミュレーション演習 - Standard

(レッドチーム演習 - インテリジェンス主導)		 Standardレベルの攻撃者エミュレーション演習では、境界資産や外部フットプリントの評価、初期アクセスのためのソーシャルエンジニアリングキャンペーンから始まり、最終的に内部ネットワークに移行して、事前のキックオフミーティングで設定された目標や目的の達成を目指すなど、攻撃の全フェーズにわたる検知・防御・対応能力を評価します。

攻撃者エミュレーション演習が標準的なペネトレーションテストと異なる主な特徴は以下の3点です。

  • ビジネスに影響を与える目標を持つ実際の攻撃者を、脅威インテリジェンスに基づいて模倣します。

  • 多くのセキュリティ対策を回避する秘匿的な攻撃手法を用いることで、ブルーチームが検知・防御能力を向上させ、既存デバイスを高度な手法に対応できるよう調整します。

  • 様々な技術やツールを組み合わせた複合的な攻撃を実施し、以下の要素を含む場合があります。

    • オープンソースインテリジェンス(「OSINT」)の収集
    • フィッシングやビッシングなどのソーシャルエンジニアリング
    • 外部境界への攻撃
    • マルウェアの実行およびコマンド&コントロール
    • 内部ネットワーク攻撃およびラテラルムーブメント

サービス手法🔗

攻撃者エミュレーション演習は、MITRE ATT&CKフレームワークの各戦術フェーズに従い、TIBER、CBEST、iCASTなどの手法と整合しながら、独自・商用・オープンソースのツールやデータを組み合わせて、検知・防御・対応能力を包括的に評価します。手法の概要は以下の通りです。

  • 脅威インテリジェンスの収集: Secureworksは、公開情報の調査やSecureworks Counter Threat Unit™ (CTU)からの情報活用を通じて、演習で模倣可能な実際の攻撃者を選定するための脅威インテリジェンスデータを収集します。

  • 演習計画: 脅威インテリジェンス収集フェーズで得られたデータを分析し、選定した攻撃者の戦術・技術・手順を模倣する攻撃シナリオを策定します。コンサルタントはお客様とシナリオ案を協議し、演習実施に必要なスコープや準備事項を決定します。組織のセキュリティ成熟度に応じて、模倣対象の攻撃者情報をブルーチームに共有し、演習中のハンティングの指針とすることも可能です。

  • 演習実施: シナリオが確定し、模倣する戦術・技術・手順が整理されたら、計画の実行を開始します。シナリオの主なセグメントは以下の通りです。

    • 境界突破: 計画フェーズで策定したソーシャルエンジニアリングキャンペーンや、発見された脆弱性の悪用により、セキュリティ境界を突破して内部ネットワークやリソースへのアクセスを試みます。これには、ユーザーのワークステーションや公開サーバーの侵害、クラウドサービスやリソースへの直接アクセスによる情報取得や内部ネットワークへの足掛かりの確保が含まれます。

    • 内部アクセス: 境界突破後、標的環境内で永続化を確立し、他のシステムやリソースへのラテラルムーブメントを行い、権限昇格の経路を探索します。これは目標や目的の達成を容易にするためです。演習は実際の攻撃者と異なり時間制約があるため、事前に定めた期間内に境界突破ができない場合は、侵害前提モデルに切り替えて内部アクセスフェーズに進みます。

    • 目標・目的の遂行: ラテラルムーブメントや権限昇格によって標的環境内で影響範囲を拡大した後、攻撃者は目標や目的の達成に着手します。Secureworksは、演習前に設定された目標や目的の秘匿達成を試みます。これには知的財産の取得、機密データの持ち出し、開発運用パイプラインの侵害・汚染など、攻撃者が組織を標的とする理由となる目的が含まれます。演習では、現行のセキュリティコントロールや担当者が、攻撃者の目標達成前に脅威を抑止・排除できるかを評価します。もしSecureworksコンサルタントが環境から排除された場合、残り時間を再侵入に費やすのではなく、その後の活動を監視するフェーズに進むことを推奨します。これにより、キルチェーン後半の全体像を把握し、潜在的なセキュリティの不備を特定できます。

成果物🔗

演習のアクティブな作業が完了した後、Secureworksは演習中に収集したデータやログの徹底的なレビューと分析を実施します。

Secureworksは、目標や目的がどのように達成されたかについて、包括的なドキュメントを作成します。このドキュメントをもとに、侵入経路、使用した技術やツール、悪用した脆弱性やシステム、テスターが環境内でたどった経路、組織が脅威をどの程度検知・防御・対応できたかなどの詳細を含むレポートを作成します。演習中の活動はMITRE ATT&CKフレームワークに紐付けて記載し、脅威モデルの理解を深めます。レポートには、スクリーンショットやコードスニペット、その他の証拠を含む完全なストーリーが記載されます。

スコーピング情報🔗

説明 演習期間
攻撃者エミュレーション演習 - Standard
(レッドチーム演習 - インテリジェンス主導)		 4週間
攻撃者エミュレーション演習 - Lite
(レッドチーム演習 - インテリジェンス主導 - 侵害前提)		 2週間
アドオン:追加期間* 1週間から追加可能

*ご希望に応じて演習期間を延長できます。ただし、スコーピングコールで演習の目標や目的に追加期間が必要と判断された場合は、追加期間が必須となる場合があります。

本サービスの詳細なサービス説明はこちらをご参照ください: 攻撃者エミュレーション演習