コンテンツにスキップ

内部ペネトレーションテスト🔗

サービス概要🔗

内部ペネトレーションテストの目的は、システムやネットワークサービスの弱点を明らかにし(「鎖は最も弱い部分と同じ強さしかない」ということを強調)、またはその弱点を利用してネットワーク内を移動し、ターゲットシステムやデータへアクセスする方法を示すことです。本テストには、脆弱性の悪用、ユーザー名とパスワードの発見、ターゲット環境内外のシステム間のラテラルムーブメント、侵害されたホストを経由したピボットなどが含まれます。このテストは、通常の脆弱性アセスメントでは検出されないセキュリティ上の欠陥を明らかにし、現代の攻撃者がネットワーク環境を攻撃・侵害する手法により近いものとなっています。

サービス手法🔗

Secureworksの高度なネットワークセキュリティテストのアプローチは、業界のベストプラクティスと豊富なセキュリティテスト経験に基づき、社内で開発された手法に基づいています。Secureworksはお客様と密接に連携し、テスト対象および対象外の範囲を決定します。

テスト前に、Secureworksはキックオフコールを設定し、エンゲージメントルール、工数、スコープ、リスク受容、初期アクセス要件、レポート要件、テストのタイムラインおよびスケジュールを確立します。

以下はテストの構成要素です:

初期アクセス - 脅威モデルの選択🔗

攻撃者がネットワークの境界を突破し、さまざまな初期アクセスベクターを用いて内部ネットワークへ侵入する中、内部ペネトレーションテストに最も適した脅威モデルを利用することは、お客様の環境や攻撃者に対する懸念、テスト全体の目標に適した高い現実性を確保するために重要です。

Secureworksは、以下のような異なる脅威モデルを通じてネットワークを検証するための複数の出発点を提供しています:

  • 不正従業員/悪意のあるインサイダー

  • DMZサーバ侵害のシミュレーション

  • エンドポイント侵害

  • 資格情報の侵害

  • カスタムシナリオ:上記のモデルが環境に適合しない場合や、特定の脅威モデルの特殊ケースを検証したい場合、Secureworks Adversary Groupのコンサルタントがスコーピングコールにてカスタマイズされた計画を策定します。

リモートテストアプライアンス🔗

特定の脅威モデルにおいて、Secureworksは内部ペネトレーションテストのためにリモートテストアプライアンス(RTA)を使用します。RTAは、テストコンサルタントが内部ネットワークへアクセスするためのカスタム構築された仮想マシンです。RTAが起動すると、セキュアなチャネルを通じてSecureworksのインフラストラクチャへ接続します。RTAは、VMWareやVirtualboxなどの従来型ハイパーバイザー向けのOVA形式、AWS EC2(AMIとして)やAzureなどのクラウドコンピュートインスタンス向けにも提供可能です。注意点は以下の通りです:

  • RTAには以下のリソースが必要です:ディスク32GB、RAM 4GB、2 vCPUコア

  • RTAのネットワーク内での配置は重要であり、テスト結果に大きな影響を与える可能性があります。RTAは、攻撃の最も現実的な開始地点をシミュレートでき、かつユーザーマシンからのネットワークトラフィックを傍受できるユーザー環境に配置するのが最適です。サーバー環境への配置は通常は理想的ではなく、ユーザー環境とは大きく異なる結果となる場合があります。

  • テスト開始前に、VMソフトウェアでネットワーク設定がブリッジモードになっていることを確認してください。

  • VMはポート443で https://connect.remotetesting.secureworks.com へアウトバウンド接続します。ファイアウォールがこのホストへのポート443のアウトバウンド通信を許可していない場合は、ホワイトリストへの追加が必要です。また、ファイアウォールがポート443上のVPNプロトコルを特に許可していることを確認してください。プロトコルインスペクション型ファイアウォールの場合、接続がブロックされる可能性があります。

エンドポイント侵害の要件🔗

エンドポイント侵害の脅威モデルを用いた内部ペネトレーションテストの場合、エンゲージメント開始前に以下の準備が必要です:

  • お客様が、初期アクセスホストとして使用するドメイン参加済みWindowsシステムを用意する

    • 仮想マシンまたはノートPCのいずれでも構いませんが、ドメイン参加済みである必要があります。
    • システムは休止やスリープしないように設定してください。

  • お客様が、一般的な従業員やロールを示すドメインユーザーを用意する

    • 信頼できるエージェント/実際の従業員、または新規作成したアカウントのいずれでも構いません。
    • このアカウントが、ペイロードの実行や初期アクセスエンドポイントへのアクセス提供に使用されます。

  • Secureworksは、用意されたシステム上で用意されたユーザーが実行するカスタマイズされたペイロードを提供し、コマンド&コントロールを確立します。EDR/AVなどの防御機能はこのホスト上で有効のままで構いませんが、ペイロードが検知された場合は、ペイロードやネットワークトラフィックをホワイトリストに追加するか、システムをモニター専用モード(アラートのみ、ブロックなし)に設定して演習を継続できるようにしてください。

ネットワークディスカバリー🔗

Secureworksは、お客様が提供したIPレンジに対してポートスキャンを実施し、稼働中のホストを特定します。本テストには、IPアドレス範囲のスキャンによる主要なTCPポートの特定、バナーグラビングによる特定アプリケーションやバージョン情報の取得などのアクティビティが含まれます。外部テストの場合、スキャンデータはテスト完了後に提供され、稼働中のホストや主要なオープンポートの詳細が記載されます。ポートスキャンデータは内部テストレポートには含まれません。

オープンネットワークサービスの列挙🔗

Secureworksは、ネットワークサービスを調査し、侵害につながる可能性のあるお客様ネットワークに関する追加情報を特定します。例は以下の通りです:

  • DNSホスト名のルックアップ、ブルートフォースによるゾーン転送およびDNSリレー
  • SNMPによるOS、ソフトウェア、ネットワークおよびユーザーの列挙
  • SMTPオープンメールリレーおよびユーザー列挙
  • NetBIOS/SMBドメインポリシーの開示(パスワードポリシーを含む)
  • LDAPドメインポリシーの開示および列挙
  • 悪用可能なソフトウェアのネットワークサービスバナー
  • デフォルトのユーザー名・パスワードやファイルアップロード脆弱性のあるWebサーバー
  • 不明なサービスによるバックドアの可能性の特定

オープンネットワークサービスの悪用🔗

Secureworksは「オープンネットワークサービスの列挙」で得られた情報を用いて、ネットワークサービスの侵害を試みます。使用される手法の例は以下の通りです:

  • パスワード保護されたネットワークベースサービスのブルートフォース(アカウントロックアウトを避けるため、パスワードロックアウトポリシーの確認を依頼します)
  • 脆弱なネットワークサービスの認証バイパス
  • 公開されているエクスプロイトを用いた古い脆弱なサービスの悪用
  • ネットワークバックドアの特定と悪用
  • 中間者攻撃(Man-in-the-Middle attack)の実施

注意: 取得した認証情報の使用はソフトウェアの脆弱性ではありませんが、一般的な攻撃ベクターです。取得した認証情報や公開された侵害データの使用はスコープ内とみなします。お客様サービスに高リスクの影響を与える可能性のあるエクスプロイトの使用については、事前に協議します。

ポストエクスプロイトおよびラテラルムーブメント🔗

Secureworksは、ネットワーク全体やドメインインフラストラクチャに対する侵害ベクターの特定を試みます。以下の手法を用いて、前段階での侵害の影響を示します:

  • 取得した認証情報やアクセストークンを用いて追加システムを侵害
  • 侵害されたシステム上でアンチウイルスやエンドポイント保護を回避し、さらなる悪用を検知されずに実施
  • 追加のネットワーク・ドメインパスワードの取得や権限昇格によるドメイン管理者またはrootレベルアクセスの獲得
  • Active Directory設定の精査による権限昇格につながる設定ミスの特定
  • 侵害されたシステムによって露出したドメイントラスト、ネットワークルート、ブリッジネットワークの悪用
  • 重要な業務データの探索

脆弱性スキャンに関する注意: 内部環境では、大規模な脆弱性スキャンが障害を引き起こす場合があります。Secureworksは、脆弱と判断した特定のターゲットに対して脆弱性スキャンを実施します。ただし、レポートにはコード実行、機密情報漏洩、認証バイパスにつながる脆弱性のみが記載されます。

リモート再テスト🔗

Secureworksは、最終レポートに記載された重大度「高」および「重大」の発見事項に対してのみ、1回(1回分)の修正検証(RV)を実施します。主テスト完了後、お客様は90日以内に問題を修正し、RVをスケジューリングし、SecureworksにRVの実施を依頼できます。お客様は、最終レポート納品から30日以内に、アセスメント担当のSecureworks連絡先へメールでRVリクエストを提出する必要があります。これを過ぎるとRVの権利は失効します。

注意: Secureworksは、アセスメントがオンサイトで実施された場合でも、RVはリモートでのみ実施します。

成果物🔗

Secureworksがまとめた発見事項および成果物は、レポートの形でお客様に提供されます。レポートには以下が含まれます:

  • エグゼクティブサマリー
  • 手法、詳細な発見事項、ナラティブ、および推奨事項(該当する場合)
  • 関連する詳細や補足データのための添付資料

お客様は、レポート納品から1週間以内に、最終レポートに含めるコメントを提出できます。レビュー期間満了前にお客様からコメントがない場合、レポートは最終版とみなされます。

サービス完了時には、お客様指定の連絡先にSecureworksからセキュア/暗号化されたメールによる確認通知が送付されます。お客様指定の連絡先から書面による異議申し立てがない限り、このメール確認から5営業日以内にサービスおよび本SOWは完了とみなされます。

スコーピング情報🔗

内部テストのゴールベースの性質上、内部ネットワークに接続されているすべてのシステムがスコープ内となります。明示的にテスト対象外とされていないシステムは、侵害され、ターゲットシステムへの攻撃試行時に使用される可能性があります。ただし、エンゲージメントの焦点は定義されたターゲットシステムの侵害です。

内部ターゲットシステムをペネトレーションテストのゴールと考え、ターゲットとするシステムのサンプリングを選定することを推奨します。たとえば、ドメインコントローラー、Webサーバー、ファイル共有、クラウドコンピュートシステム、重要なワークステーションなどの重要システムは良いターゲットとなります。また、異なるセキュリティゾーンのシステムを含めることで、ファイアウォールやセグメンテーションのテストにも役立ちます。たとえば、NYC本社の一般ユーザーネットワークにRTAを配置した場合、そのNYCネットワークがダラスのデータセンターに一切アクセスできないはずであれば、データセンターのシステムをターゲットに加えることで、既存のセグメンテーションを検証できます。

スコープ 説明
内部ペネトレーションテスト - 小規模 最大50の内部ターゲットIPアドレス

テスト対象のIPアドレスはすべて内部である必要があります。そうでない場合は、別途作業が必要です。
内部ペネトレーションテスト - 中規模 最大250の内部ターゲットIPアドレス

テスト対象のIPアドレスはすべて内部である必要があります。そうでない場合は、別途作業が必要です。
内部ペネトレーションテスト - 大規模 最大500の内部ターゲットIPアドレス

テスト対象のIPアドレスはすべて内部である必要があります。そうでない場合は、別途作業が必要です。

作業はSecureworksコンサルタントの営業時間内に実施されます。時間外対応は追加費用で利用可能です。

本サービスの詳細なサービス説明はこちらをご参照ください: Penetration Testing