コラボレーティブ攻撃者演習🔗
サービス概要🔗
コラボレーティブ攻撃者演習("CAE")は、実際の脅威シナリオを模倣したライブファイア情報セキュリティ演習をお客様の防御担当者が体験できるサービスです。お客様は自社ネットワーク内で自社のツールを用いて、防御や脅威ハンティングを行いながら、Secureworks攻撃者グループ("レッドチーム")とのリアルタイムかつ継続的なコミュニケーションチャネルを維持しつつ、ライブ攻撃に対応します。
CAEは、社内またはサードパーティの監視サービスによるセキュリティ監視体制が確立されている組織を対象としており、現代の攻撃者が用いる一般的な戦術・技術・手順("TTPs")に対する現在の検知・防御・対応能力についての仮定を検証したい場合に最適です。この演習は、より高度な演習(攻撃者シミュレーション演習("ASE")や攻撃者エミュレーション演習("AEE"))を実施する前に、お客様の検知・防御・対応能力の準備状況を把握するための優れた出発点となります。
各演習は実際のTTPsを模倣した一般的なシナリオに基づいており、防御担当者がセキュリティコントロールの可視性の欠如を特定し、当社コンサルタントと協力して検知能力を向上させるための実践的なイベントを提供することを目的としています。
さらに、Secureworksは、各組織がインタラクティブな演習に求めるニーズや時間的制約が異なることを理解しており、CAEサービスには個々のニーズに応じて柔軟性と拡張性を持たせた複数のティアが用意されています。詳細は下表をご参照ください。
| コラボレーティブ攻撃者演習 - Lite | ライブかつインタラクティブな演習に参加する時間が限られている組織向けに、「コラボレーティブ攻撃者演習 - Lite」オプションでは、ブルーチームがハンティングやアラートの検証を行うための時間的猶予や中断を設けず、プレイブックタスクを連続して実行します。代わりに、1日で全プレイブックを実行した後、ブルーチームは最大30日間、自分たちのタイミングでハンティングや検知・アラートの確認を行い、その後、レッドチームとブルーチームがQ&Aやノートの比較を通じてハンティングやアラートの課題を議論するコラボレーティブなデブリーフに参加できます。 このティアでは、以下のいずれかのプレイブックを選択できます:
|
| コラボレーティブ攻撃者演習 - Standard | 「コラボレーティブ攻撃者演習 - Standard」ティアは、5日間にわたりレッドチームとインタラクションする時間が確保できる組織に最適な中間的な選択肢です。このオプションでは、プレイブックタスクを分散して実施し、防御担当者が十分な時間をかけてハンティングやアラートの検証を行えるほか、活動中にレッドチームとリアルタイムでコミュニケーションを取り、検知やアラートの改善方法について質問や議論ができます。 このティアでは、以下のいずれかのプレイブックを選択できます:
|
| コラボレーティブ攻撃者演習 - Immersive | 防御担当者に対してハンティングやアラート対応・調査の指導をより重視したい組織向けに、「コラボレーティブ攻撃者演習 – Immersive」ティアでは、Secureworksのメンバーがブルーチーム側に参加し、ライブファイア演習(レッドチームが実施)中にお客様の防御担当者へ指導・教育を行う、よりカスタマイズされた演習を提供します。このティアでは、各組織の環境やニーズに合わせてカスタマイズされたプレイブックや目標・目的を活用します。 ティア名が示す通り、演習は5日間にわたる時間的コミットメントが必要です。最初の3日間は活動が集中し、異なる攻撃フェーズごとに分割され、各日の前半は攻撃の実施・ハンティング・対応を行い、後半は活動内容を議論するコラボレーティブなデブリーフが行われます。 |
上記各演習には、アドオンサービスとして「事後対策演習リプレイ(Post-Remediation Exercise Replay)」が利用可能です。各CAEの実施中に、お客様は既存のセキュリティコントロールにおける可視性の欠如を特定し、対策を実施することがあります。事後対策演習リプレイ("Replay")アドオンを購入いただいた場合、Secureworksは1つの演習についてリプレイを実施し、新たに追加された対策が期待通りに機能しているかを検証します。
サービス手法🔗
各CAEは、MITRE ATT&CKフレームワークにマッピングされた事前定義済みのプレイブックシナリオに基づき、お客様の防御チーム("ブルーチーム")の検知・防御・対応能力を評価します。
演習手法の概要は以下の通りです:
-
コミュニケーションチャネルの確立:Secureworksは、コラボレーティブ攻撃者演習期間中、常時コミュニケーションが可能な専用チャネルを設け、お客様チームがレッドチームとリアルタイムでやり取りし、必要に応じて検知ギャップを解消できるようにします。
-
事前定義済みプレイブックの実行:Secureworksは、選択された事前定義済みプレイブックに沿って脅威を1アクションずつ模倣し、ブルーチームに対して適切なタイムスタンプ、使用コマンドやツール、検知支援のための補足情報を通知します。実施された脅威アクティビティはMITRE ATT&CKにマッピングされ、レッドチームとブルーチームの連携に一貫性を持たせます。多くのプレイブックでは、攻撃者と同様の手法でネットワーク侵入や有効な認証情報の推測を試みますが、一部のプレイブックでは、ブルーチームが事前に選定したターゲットエンドポイントへの有効な認証情報やアクセスを提供する「侵害前提モデル」を採用し、演習の価値を最大化します。プレイブック完了後、実行ウィンドウ内に十分な時間が残っていれば、ブルーチームの要望に応じてレッドチームの個別アクションを再実行し、新たに作成したセキュリティコントロールのテストも可能です。
-
検知・対応結果の収集:各プレイブックアクションの実行後、Secureworksはブルーチームにアクションの結果を通知し、どのアクティビティがログに記録され、セキュリティコントロールによるシグネチャ検知が発生し、その検知アクティビティがアラート通知システムを通じてセキュリティチームに伝達されたかを特定するためのサンプルログの提供を依頼します。これらの指標は記録され、詳細なレポートとして提供されます。
成果物🔗
コラボレーティブ攻撃者演習の完了後、Secureworksは、プレイブック実行中に実施したすべてのアクション、各アクションのMITRE ATT&CKフレームワークへのマッピング、ツールコマンドと出力、アクティビティのタイムスタンプ、ならびにブルーチームから提供されたすべての結果(ノート、ログ、シグネチャ検知、アラート指標を含む)を網羅した詳細なレポートを提供します。
スコーピング情報🔗
| 説明 | 演習期間 |
|---|---|
| コラボレーティブ攻撃者演習(Lite) | 2日間* |
| コラボレーティブ攻撃者演習(Standard) | 1週間 |
| コラボレーティブ攻撃者演習(Immersive) | 1週間 |
| アドオン:事後対策演習リプレイ | - |
*コラボレーティブ攻撃者演習 - Liteティアは、プレイブック実行日とコラボレーティブデブリーフ日の2日間に分けて実施されます。ただし、コラボレーティブデブリーフはプレイブック実行日から30日以内に実施する必要があります。
本サービスの詳細なサービス説明はこちらをご参照ください: コラボレーティブ攻撃者演習