コンテンツにスキップ

外部ペネトレーションテスト🔗

サービス概要🔗

外部ペネトレーションテストの目的は、攻撃者が境界を突破し、内部ネットワークや内部リソースへアクセスできるような脆弱性を発見し、実証することです。本テストには、脆弱性の悪用、ユーザー名およびパスワードの発見が含まれます。

このテストは、通常の脆弱性アセスメントでは検出されないセキュリティ上の欠陥を明らかにし、現代の攻撃者がネットワークの境界を攻撃・突破したり、制限されたリソースへアクセスしたりする手法により近いものとなっています。

サービス手法🔗

Secureworksの高度なネットワークセキュリティテストは、業界のベストプラクティスと豊富なセキュリティテスト経験に基づき、社内で開発された手法に従って実施されます。Secureworksはお客様と密接に連携し、対象範囲および対象外のターゲットを決定します。テスト前には、キックオフコールを設定し、実施ルール、工数、スコープ、リスク受容、リモートテストアプライアンス(RTA)の要件、レポート要件、テストのタイムラインおよびスケジュールを確立します。

以下はテストの構成要素です。

ネットワークディスカバリー🔗

Secureworksは、お客様が提供するIPレンジに対してポートスキャンを実施し、稼働中のホストを特定します。このテストには、IPアドレス範囲のスキャンによる主要なTCPポートの特定や、バナーグラビングによる特定アプリケーションおよびバージョン情報の取得などが含まれます。外部テストの場合、スキャンデータはテスト完了後に提供され、稼働中のホストおよび主要なオープンポートの詳細が記載されます。ポートスキャンデータは内部テストレポートには含まれません。

オープンネットワークサービスの列挙🔗

Secureworksは、ネットワークサービスを調査し、侵害につながる可能性のあるお客様ネットワークに関する追加情報を特定します。例として以下が挙げられます。

  • DNSホスト名のルックアップ、ブルートフォースによるゾーントランスファーおよびDNSリレー
  • SNMPによるOS、ソフトウェア、ネットワークおよびユーザーの列挙
  • SMTPオープンメールリレーおよびユーザー列挙
  • NetBIOS/SMBドメインポリシーの開示(パスワードポリシーを含む)
  • LDAPドメインポリシーの開示および列挙
  • 悪用可能なソフトウェアのネットワークサービスバナー
  • デフォルトのユーザー名・パスワードやファイルアップロード脆弱性を持つWebサーバー
  • 潜在的なバックドアを特定するための未知のサービス
  • 保護されていないクラウドストレージやサービスの特定

注意: 侵入防止システム、Webアプリケーションファイアウォール、その他のアクティブなセキュリティ制御デバイスは、テストトラフィックをフィルタリングまたは妨害する場合があります。Secureworksは、テスト期間中、テスターの送信元IPを許可リストに登録(またはアラートのみの設定)することを推奨します。

オープンネットワークサービスの悪用🔗

Secureworksは、「オープンネットワークサービスの列挙」で得られた情報を用いて、ネットワークサービスの侵害を試みます。使用される手法の例は以下の通りです。

  • パスワード保護されたネットワークベースサービスのブルートフォース(アカウントロックアウトを回避するため、パスワードロックアウトポリシーの提供を依頼します)
  • 脆弱なネットワークサービスの認証バイパス
  • 公開されているエクスプロイトを用いた、古い脆弱なサービスの悪用
  • ネットワークバックドアの特定および悪用

注意: 取得した認証情報の使用は、ソフトウェアの脆弱性ではありませんが、一般的な攻撃経路です。取得した認証情報や公に開示された侵害データの使用はスコープ内とみなされます。お客様サービスへの影響リスクが高いエクスプロイトの使用については、事前に協議します。

ポストエクスプロイトおよびラテラルムーブメント🔗

Secureworksは、ネットワークおよびドメインインフラ全体への侵害経路を特定しようとします。以下の手法を用いて、前段階での侵害の影響を示す場合があります。

  • 侵害されたシステムでの権限昇格
  • 取得した認証情報やアクセストークンを用いた追加システムの侵害
  • 重要な業務データの検索

Webアプリケーションに関する注意: Webアプリケーションは、特に脆弱性が高いアプリケーションです。SecureworksはWebアプリケーションセキュリティ評価サービスを提供しています。本サービスの対象範囲内IPアドレスにWebアプリケーションが含まれている場合、SecureworksはそれらのWebアプリケーションに対して汎用的(ブラックボックスとも呼ばれる)なテストを実施します。ただし、このテストはお客様のWebアプリケーションの包括的なテストとはみなされません。詳細なWebアプリケーションテストが必要な場合は、Webアプリケーションセキュリティ評価サービスをご参照ください。

リモートリテスト🔗

Secureworksは、最終レポートに記載された重大度「高」および「重大」の発見事項に対してのみ、1回のリメディエーションバリデーション(RV)を実施します。主テスト完了後、お客様は90日以内に問題の修正、RVのスケジューリング、SecureworksによるRVの実施を行う必要があります。お客様は、最終レポート納品から30日以内に、アセスメント担当のSecureworks連絡先へメールでRVリクエストを提出しなければなりません。これを過ぎるとRVの権利は失効します。

外部ペネトレーションテストでは、ピボットやポストエクスプロイト後に発見された事項の検証は困難なため、RVには含まれません。内部ペネトレーションテストの場合、元のテストでSecureworks RTAを使用していればRVが可能です。 Secureworksは、RVの結果を要約した簡易レポートを発行し、お客様が問題を適切に修正したかどうかの情報を含みます。

注意: Secureworksは、アセスメントがオンサイトで実施された場合でも、RVはリモートでのみ実施します。

成果物🔗

Secureworksがまとめた発見事項および成果物は、レポートの形でお客様に提供されます。レポートには以下が含まれます。

  • エグゼクティブサマリー
  • 手法、詳細な発見事項、説明、推奨事項(該当する場合)
  • 関連する詳細や補足データのための添付資料

お客様は、レポート納品から1週間以内に、最終レポートに含めるコメントを提出できます。レビュー期間内にお客様からコメントがない場合、レポートは最終版とみなされます。

サービス完了時には、お客様指定の連絡先に対し、Secureworksからセキュア/暗号化されたメールによる確認通知が送付されます。お客様指定の連絡先から書面による異議申し立てがない限り、当該メール確認から5営業日以内にサービスおよび本SOWは完了したものとみなされます。

スコーピング情報🔗

外部テストは、事前に定義されたターゲットシステムまたはネットワーク範囲に限定されます。スコーピングの目的上、ターゲットシステムとは、インターネットに対して少なくとも1つのポート/サービスを公開している稼働中のシステムを指します。

お客様に関連する未記載の資産を特定するために一部OSINTを実施しますが、これらのシステムに対する実際のテストは、書面による承認がない限り実施しません。スコープの変更が必要な場合は、お客様と協議・文書化の上で進め、変更注文により追加費用が発生する場合があります。

外部ペネトレーションテストは、通常、ブラックボックス手法に基づき、人工的に圧縮されたタイムラインで実施されます。追加情報の提供により、効率的かつ効果的なテストが可能となります。指定されたテストアカウントの有効な認証情報を提供いただくことで、Secureworksはより正確なパスワードスプレーや、最も効率的なテストのためのツール設定が可能となります。

スコープ 説明
外部ペネトレーションテスト - 小規模 最大50個の外部IPアドレス

テスト対象のIPアドレスはすべて外部でなければなりません。そうでない場合は、別途作業が必要です。
外部ペネトレーションテスト - 中規模 最大250個の外部IPアドレス

テスト対象のIPアドレスはすべて外部でなければなりません。そうでない場合は、別途作業が必要です。
外部ペネトレーションテスト - 大規模 最大500個の外部IPアドレス

テスト対象のIPアドレスはすべて外部でなければなりません。そうでない場合は、別途作業が必要です。

作業はSecureworksコンサルタントの営業時間内に実施されます。時間外対応は追加費用でご利用いただけます。

本サービスの詳細なサービス説明はこちらをご参照ください: ペネトレーションテスト