コンテンツにスキップ

外部ペネトレーションテスト🔗

サービス概要🔗

外部ペネトレーションテストの目的は、攻撃者が境界を突破し、内部ネットワークや内部リソースへアクセスできるような脆弱性を発見し、実証することです。本テストには、脆弱性の悪用、ユーザー名およびパスワードの発見が含まれます。

このテストは、通常の脆弱性アセスメントでは検出できないセキュリティ上の欠陥を明らかにし、現代の攻撃者がどのようにネットワークの境界を攻撃・突破したり、制限されたリソースへアクセスしたりするかにより近い手法で実施されます。

サービス手法🔗

Secureworksの高度なネットワークセキュリティテストは、業界のベストプラクティスと豊富なセキュリティテスト経験に基づき、社内で開発された手法に従って実施されます。Secureworksはお客様と密接に連携し、対象範囲および対象外のターゲットを決定します。テスト前には、キックオフコールを設定し、実施ルール、工数、スコープ、リスク受容、リモートテストアプライアンス(RTA)の要件、レポート要件、テストのタイムラインおよびスケジュールを確定します。

以下はテストの構成要素です。

ネットワークディスカバリー🔗

Secureworksは、お客様が提供するIPレンジに対してポートスキャンを実施し、稼働中のホストを特定します。このテストには、IPアドレス範囲のスキャンによる主要なTCPポートの特定や、バナーグラビングによる特定アプリケーションおよびバージョン情報の取得などが含まれます。外部テストの場合、テスト完了後にスキャンデータが提供され、稼働中のホストおよび主要なオープンポートが詳細に記載されます。ポートスキャンデータは内部テストレポートには含まれません。

オープンネットワークサービスの列挙🔗

Secureworksは、ネットワークサービスを調査し、侵害につながる可能性のあるお客様ネットワークに関する追加情報を特定します。例として以下が挙げられます。

  • DNSホスト名のルックアップ、ブルートフォースによるゾーン転送およびDNSリレー
  • SNMPによるOS、ソフトウェア、ネットワークおよびユーザーの列挙
  • SMTPオープンメールリレーおよびユーザー列挙
  • NetBIOS/SMBドメインポリシーの開示(パスワードポリシーを含む)
  • LDAPドメインポリシーの開示および列挙
  • 悪用可能なソフトウェアのネットワークサービスバナー
  • Webサーバーのデフォルトユーザー名・パスワードおよびファイルアップロード脆弱性
  • 未知のサービスによるバックドアの可能性の特定
  • 保護されていないクラウドストレージやサービスの特定

注意: 侵入防止システム、Webアプリケーションファイアウォール、その他のアクティブなセキュリティ制御デバイスは、テストトラフィックをフィルタリングまたは妨害する場合があります。テスト期間中は、テスターの送信元IPを許可リストに追加(またはアラートのみ設定)するようSecureworksは依頼します。

オープンネットワークサービスの悪用🔗

Secureworksは、「オープンネットワークサービスの列挙」で得られた情報を用いて、ネットワークサービスの侵害を試みます。使用される手法の例は以下の通りです。

  • パスワード保護されたネットワークベースサービスのブルートフォース(アカウントロックアウトを避けるため、パスワードロックアウトポリシーの提示を依頼します)
  • 脆弱なネットワークサービスの認証バイパス
  • 公開されているエクスプロイトを用いた、古い脆弱なサービスの悪用
  • ネットワークバックドアの特定および悪用

注意: 取得した認証情報の使用はソフトウェアの脆弱性ではありませんが、一般的な攻撃経路です。取得した認証情報や公開された侵害データの使用はスコープ内とみなされます。お客様サービスへの影響が大きいエクスプロイトの使用については、事前に協議します。

ポストエクスプロイトおよびラテラルムーブメント🔗

Secureworksは、ネットワーク全体やドメインインフラストラクチャへの侵害経路を特定することを試みます。以下の手法を用いて、前段階での侵害の影響を示します。

  • 侵害されたシステムでの権限昇格
  • 取得した認証情報やアクセストークンを用いた追加システムの侵害
  • 重要な業務データの検索

Webアプリケーションに関する注意: Webアプリケーションは、特に脆弱性が高い傾向があります。SecureworksはWebアプリケーションセキュリティ評価サービスを提供しています。本サービスの対象IPアドレス範囲内にWebアプリケーションが検出された場合、SecureworksはそれらのWebアプリケーションに対して汎用的(ブラックボックスとも呼ばれる)なテストを実施しますが、このテストはお客様のWebアプリケーションの包括的な評価とはみなされません。詳細なWebアプリケーションテストが必要な場合は、Webアプリケーションセキュリティ評価サービスをご参照ください。

リモート再テスト🔗

Secureworksは、最終レポートに記載された重大度「高」および「重大」の発見事項に対してのみ、1回(1回分)の修正検証(RV)を実施します。主テスト完了後、お客様は90日以内に問題を修正し、RVのスケジュールを設定し、SecureworksにRVを依頼する必要があります。RVの依頼は、最終レポート納品から30日以内に、評価担当のSecureworks連絡先へメールで提出してください。期限を過ぎるとRVの権利は失効します。

外部ペネトレーションテストでは、ピボットやポストエクスプロイト後に発見された事項は検証が困難なため、RVの対象外となります。内部ペネトレーションテストの場合、元のテストでSecureworks RTAを使用していればRVが可能です。 SecureworksはRVの結果をまとめた簡易レポートを発行し、お客様が問題を適切に修正したかどうかの情報を含みます。

注意: Secureworksは、評価がオンサイトで実施された場合でも、RVはリモートでのみ実施します。

成果物🔗

Secureworksがまとめた発見事項および成果物は、レポートとしてお客様に提供されます。レポートには以下が含まれます。

  • エグゼクティブサマリー
  • 手法、詳細な発見事項、説明、推奨事項(該当する場合)
  • 関連する詳細や補足データのための添付資料

お客様は、レポート納品から1週間以内に、最終レポートに含めるコメントを提出できます。レビュー期間内にお客様からコメントがない場合、レポートは最終版とみなされます。

サービス完了時には、お客様指定の連絡先に対し、Secureworksからセキュア/暗号化されたメールによる確認通知が送付されます。お客様指定の連絡先から書面による異議申し立てがない限り、当該メール確認から5営業日以内に、本サービスおよび本SOWは完了したものとみなされます。

スコーピング情報🔗

外部テストは、事前に定義されたターゲットシステムまたはネットワーク範囲に限定されます。スコーピングの観点では、ターゲットシステムとは、インターネットに対して少なくとも1つのポート/サービスを公開している稼働中のシステムを指します。

お客様に関連する未記載の資産を特定するために一部OSINTを実施しますが、これらのシステムに対する実際のテストは書面による承認なしには行いません。スコープの変更がある場合は、お客様と協議・文書化した上で進行し、変更注文により追加費用が発生する場合があります。

外部ペネトレーションテストは、通常、人工的に圧縮されたタイムラインに従ったブラックボックス手法に基づいています。追加情報の提供により、効率的かつ効果的なテストが可能となります。指定されたテストアカウントの有効な認証情報を提供いただくことで、Secureworksはより正確なパスワードスプレーや、最も効率的なテストのためのツール設定が可能となります。

スコープ 説明
外部ペネトレーションテスト - 小規模 最大50個の外部IPアドレス

テスト対象のIPアドレスはすべて外部である必要があります。そうでない場合は、別途作業が必要です。
外部ペネトレーションテスト - 中規模 最大250個の外部IPアドレス

テスト対象のIPアドレスはすべて外部である必要があります。そうでない場合は、別途作業が必要です。
外部ペネトレーションテスト - 大規模 最大500個の外部IPアドレス

テスト対象のIPアドレスはすべて外部である必要があります。そうでない場合は、別途作業が必要です。

作業はSecureworksコンサルタントの営業時間内に実施されます。時間外対応は追加費用でご利用いただけます。

本サービスの詳細なサービス説明はこちらをご参照ください: ペネトレーションテスト