コンテンツにスキップ

攻撃者エミュレーション演習🔗

サービス概要🔗

攻撃者エミュレーション演習は、脅威インテリジェンスを活用し、お客様の組織がお客様の業界を標的とすることが知られている特定の攻撃者に対して、検知、防御、対応能力を試すものです。特定の攻撃者の戦術、技術、手順(「TTP」)を模倣することで、演習の目的は以下の通りです。

  • 定義された攻撃者が目標や目的を妨げられることなく実行できてしまうような、セキュリティコントロールやアラートの不備を特定します。

  • お客様の防御担当者が、既知の脅威や一般的なTTPからの侵害の兆候に慣れ、見抜けるように訓練します。

Secureworksは、攻撃者エミュレーション演習に2つのレベルを用意しており、サイバー攻撃の各フェーズを通じて模倣された脅威の全体像に焦点を当てるか、侵害後の文脈で内部ネットワークのみに焦点を当てるかを選択できます。詳細は以下の表をご覧ください。
攻撃者エミュレーション演習 - Lite 境界防御やソーシャルエンジニアリング対策にあまり重点を置かず、主に内部ネットワーク内での検知、防御、対応能力の仮定を検証したい組織向けに、「攻撃者エミュレーション演習 – Lite」は、侵害されたエンドポイントやVPNや仮想デスクトップ環境を通じた認証情報の侵害など、侵害が前提となる状況から2週間にわたり実施されます。Liteオプションは、短期間の演習を希望する組織にも適しています。
攻撃者エミュレーション演習 - Standard Standardレベルの攻撃者エミュレーション演習は、境界資産や外部フットプリントの評価、初期アクセスのためのソーシャルエンジニアリングキャンペーンから始まり、最終的に内部ネットワークに移行して、事前のキックオフミーティングで設定された目標や目的の達成を目指すなど、攻撃の全フェーズをカバーし、お客様の組織の検知、防御、対応能力を検証します。

攻撃者エミュレーション演習が標準的なペネトレーションテストと異なる主な特徴は3つあります。

  • ビジネスに影響を与える目標を持つ実際の攻撃者を、脅威インテリジェンスに基づいて模倣します。

  • 多くのセキュリティ対策を回避する隠密な攻撃手法を用いることで、ブルーチームが検知や防御を強化し、既存のデバイスを高度な手法に対応できるように調整します。

  • 様々な技術やツールを組み合わせた複合的な攻撃を実施し、以下の要素が含まれる場合があります。

    • オープンソースインテリジェンス(「OSINT」)の収集
    • フィッシングやビッシングなどのソーシャルエンジニアリング
    • 外部境界への攻撃
    • マルウェアの実行およびコマンド&コントロール
    • 内部ネットワーク攻撃およびラテラルムーブメント

サービス手法🔗

攻撃者エミュレーション演習は、MITRE ATT&CKフレームワークの各戦術フェーズに従って実施され、TIBER、CBEST、iCASTなどの手法と整合し、独自、商用、オープンソースのツールやデータを組み合わせて、検知、防御、対応能力の完全な評価を実現します。手法の概要は以下の通りです。

  • 脅威インテリジェンスの収集: Secureworksは、公開情報の調査やSecureworks Counter Threat Unit™ (CTU)からの情報を活用し、演習で模倣可能な実際の攻撃者を選定するための脅威インテリジェンスデータを収集します。

  • 演習計画: 脅威インテリジェンス収集フェーズで得られたデータを分析し、選定した攻撃者の戦術、技術、手順を模倣した攻撃シナリオを策定します。コンサルタントはお客様と提案シナリオについて協議し、演習のスコープや準備事項を決定します。お客様の組織のセキュリティ成熟度に応じて、Secureworksは模倣対象の攻撃者情報をブルーチームと共有し、演習中のハンティングの指針とすることも可能です。

  • 演習実施: シナリオが確定し、模倣する戦術、技術、手順が整理されたら、計画の実行を開始します。以下はシナリオの主なセグメント例です。

    • 境界突破: 計画フェーズで策定したソーシャルエンジニアリングキャンペーンや、発見された脆弱性の悪用により、セキュリティ境界を突破して内部ネットワークやリソースへのアクセスを試みます。これには、ユーザーのワークステーションや公開サーバーの侵害、クラウドサービスやリソースへの直接アクセスによる情報取得や内部ネットワークへの足掛かりの確保が含まれます。

    • 内部アクセス: 境界突破後、Secureworksは対象環境内で永続化を試み、ラテラルムーブメントによって他のシステムやリソースへ移動し、権限昇格の経路を発見して目標達成を目指します。演習は実際の攻撃者と異なり時間制約があるため、Secureworksが事前に定めた期間内に境界突破できない場合は、侵害が前提となるモデルに切り替えて内部アクセスフェーズへ進みます。

    • 目標・目的の遂行: ラテラルムーブメントや権限昇格によって影響範囲を拡大した後、攻撃者は目標や目的の遂行に着手します。Secureworksは、演習前に設定された目標や目的の達成を隠密に試みます。これには知的財産の取得、機密データの持ち出し、開発運用パイプラインの侵害・汚染、その他攻撃者が組織を標的とする理由となる目的が含まれます。演習では、現行のセキュリティコントロールや担当者が、攻撃者の目標達成前に脅威を抑止・排除できるかを評価します。Secureworksのコンサルタントが環境から排除された場合、残りの時間を再侵入に費やすのではなく、その後のアクティビティを監視するフェーズに進むことを推奨します。これにより、キルチェーン後半の全体像を把握し、潜在的なセキュリティの不備を特定できます。

成果🔗

演習のアクティブなオペレーション完了後、Secureworksは演習中に収集したデータやログの徹底的なレビューと分析を行います。

Secureworksは、目標や目的がどのように達成されたかについて、包括的なドキュメントを作成します。このドキュメントをもとに、侵入の詳細、使用した技術やツール、悪用した脆弱性やシステム、テスターが環境内でたどった経路、組織が脅威をどの程度検知・防御・対応できたかなどを含むレポートを作成します。演習中のアクティビティはMITRE ATT&CKフレームワークに紐付けて説明し、脅威モデルの理解を深めます。レポートには、スクリーンショットやコードスニペット、その他の証拠などの補足資料を含む、完全なストーリーが記載されます。

スコーピング情報🔗

説明 演習期間
攻撃者エミュレーション演習 - Standard 4週間
攻撃者エミュレーション演習 - Lite 2週間
アドオン: 追加期間* 1週間から追加可能

*ご希望に応じて演習期間を追加できます。ただし、スコーピングコールで演習の目標や目的に追加期間が必要と判断された場合、追加期間が必須となる場合があります。

本サービスの詳細なサービス説明はこちらをご覧ください: 攻撃者エミュレーション演習