コンテンツにスキップ

攻撃者シミュレーション演習🔗

サービス概要🔗

攻撃者シミュレーション演習は、お客様の組織が未知の高度な攻撃者による、環境や現実的な脅威モデルに合わせて特定の目標や目的を持った攻撃を検知、防御、対応する能力を試すものです。SecureworksのRed Teamは、必要に応じてカスタマイズされたツールや手法を用いて、独自の攻撃者の役割を担います。帰属困難な戦術・技術・手順(TTP)を持つ独自の攻撃者による現実的な攻撃をシミュレートすることで、演習の目的は以下の通りです。

  • 攻撃者が目標や目的を妨げられることなく実行できてしまうような、セキュリティコントロールやアラートの不備を特定する。
  • お客様の防御担当者が未知の脅威による侵害の兆候を見抜く訓練を行う。
  • 攻撃の基本要素を深く掘り下げる必要がある戦術や技術に対して、検知や防御に関する仮定を検証する。

攻撃者シミュレーション演習は、主に中程度のセキュリティ成熟度を持つ組織を対象としていますが、Secureworksは2つのレベルとカスタマイズオプションを提供しており、現在のセキュリティ成熟度に関わらず防御担当者の訓練を支援します。これにより、演習の高度化や、内部ネットワークのみ(侵害後の状況を想定)に焦点を当てたい組織向けの選択肢も提供可能です。以下の表は、2つのレベルの違いを示しています。
攻撃者シミュレーション演習 - Lite 境界防御やソーシャルエンジニアリング対策よりも、主に内部ネットワーク内での検知・防御・対応能力の仮定を検証したい組織向けに、「攻撃者シミュレーション演習 – Lite」は、侵害済みの状況(例:エンドポイントや認証情報の侵害、VPNや仮想デスクトップ環境経由)から2週間で実施します。短期間の演習を希望する組織にも適したオプションです。
攻撃者シミュレーション演習 - Standard Standardレベルの攻撃者シミュレーション演習は、攻撃の全フェーズ(境界資産・外部フットプリントの評価、初期アクセスのためのソーシャルエンジニアリング、最終的に内部ネットワークでの目標達成)をカバーし、事前打ち合わせで設定した目標や目的の達成を目指します。
高度な攻撃者を想定した防御担当者の訓練を目指しますが、組織の要望やセキュリティ目標に応じて、より一般的なTTPを採用し高度さを調整することも可能です。

攻撃者シミュレーション演習が標準的なペネトレーションテストと異なる主な特徴は、以下の3点です。

  • 経営層や管理職にも響く、実際のビジネスに影響を与える目標を設定する。
  • 多くのセキュリティ対策を回避する隠密な攻撃手法を用い、ブルーチームが検知・防御を強化し、既存デバイスの高度な手法への対応調整を可能にする。

  • 様々な手法やカスタマイズされたツールを組み合わせた複合的な攻撃を実施し、以下の要素を含む場合があります。

    • オープンソースインテリジェンス(OSINT)収集
    • フィッシングやビッシングなどのソーシャルエンジニアリング
    • 外部境界への攻撃
    • マルウェアの実行およびコマンド&コントロール
    • 内部ネットワーク攻撃およびラテラルムーブメント
    • 無線攻撃(追加オプション)
    • 物理的セキュリティ攻撃(追加オプション)

サービス手法🔗

攻撃者シミュレーション演習は、MITRE ATT&CKフレームワークの各戦術フェーズに従い、独自・商用・オープンソースのツールを組み合わせて実施し、検知・防御・対応能力を総合的に評価します。演習手法の概要は以下の通りです。

  • 偵察(Reconnaissance): Secureworksは、OSINT収集と呼ばれるプロセスで、公開情報源を受動的に調査し、お客様組織に関するデータを収集します。さらに、公開されている資産やサービスに対して能動的な偵察も行い、侵害の経路や後続フェーズで利用可能なデータを探ります。

  • 計画と準備(Planning and Preparation): 偵察フェーズで収集したデータを分析し、効果的なソーシャルエンジニアリングキャンペーンの立案や、発見された脆弱性の成功可能性・検知リスク・テスト目的達成への有効性を戦略的に評価します。

  • 境界突破(Perimeter Breach): 計画フェーズで策定したソーシャルエンジニアリングキャンペーンや、発見された脆弱性の悪用により、セキュリティ境界を突破し、制限された内部ネットワークやリソースへのアクセスを試みます。これには、ユーザーのワークステーションや公開サーバーの侵害、クラウドサービスやリソースへの直接アクセスなどが含まれます。

  • 内部アクセス(Internal Access): 境界突破後、環境内での持続性の確立や、他システム・リソースへのラテラルムーブメントを行い、権限昇格の経路を発見し、目標や目的の達成を目指します。

実際の攻撃者と異なり、演習には時間制限があるため、Secureworksが事前に定めた期間内に境界突破ができなかった場合は、侵害済みモデルを採用し、内部アクセスフェーズへ進みます。侵害済みシナリオは、事前打ち合わせで決定可能で、コマンド&コントロールマルウェアによるエンドポイント侵害や、VPNアクセスを伴う認証情報の侵害など複数の選択肢があります。

  • 目標・目的の遂行(Follow-through on Goals and Objectives): ラテラルムーブメントや権限昇格により影響範囲を拡大した後、攻撃者は目標や目的の実行に移ります。Secureworksは、演習前に設定した目標や目的(知的財産の取得、機密データの持ち出し、開発運用パイプラインの侵害・汚染など)を隠密に達成しようと試みます。

本演習では、現行のセキュリティコントロールや担当者が、攻撃者の目標・目的の遂行前に排除・阻止できるかを評価します。Secureworksのコンサルタントが環境から排除された場合、残り時間を再侵入に費やすのではなく、後半のキルチェーンや潜在的なセキュリティギャップを把握するため、後続アクティビティの監視フェーズへ進むことを推奨します。

成果物🔗

演習のアクティブな作業が完了した後、Secureworksは、エンゲージメント期間中に収集したデータやログの徹底的なレビューと分析を行います。

Secureworksは、目標や目的がどのように達成されたかを詳細に記録します。この記録をもとに、侵入の詳細、使用した手法やツール、悪用した脆弱性やシステム、テスターが環境内でたどった経路、そしてお客様組織が脅威をどの程度検知・防御・対応できたかをまとめたレポートを作成します。演習中のアクティビティはMITRE ATT&CKフレームワークに紐付けて説明し、脅威モデルの理解を深めます。レポートには、スクリーンショットやコードスニペットなどの証拠を含む、完全なストーリーと補足資料が含まれます。

スコーピング情報🔗

説明 演習期間
攻撃者シミュレーション演習 - Standard 4週間
攻撃者シミュレーション演習 - Lite 2週間
追加オプション:期間延長* 1週間から
追加オプション:物理的セキュリティ攻撃コンポーネント - 1拠点** -
追加オプション:無線 - 1拠点 -

*ご希望に応じて演習期間の延長が可能です。ただし、演習の目標や目的によって追加期間が必要と判断された場合は、追加期間が必須となります(スコーピングコール時に決定)。

**物理的なソーシャルエンジニアリングの特性上、追加のスコーピングが必要です。これには、Secureworks物理セキュリティテストチームのメンバーとのスコーピングテレカンファレンスや、お客様およびSecureworks双方の法的保護の追加が含まれます。

本サービスの詳細なサービス説明はこちらをご参照ください: 攻撃者シミュレーション演習