レッドチーム評価サービス
レッドチーム評価サービスは、お客様のネットワーク環境に対し実際の攻撃と同様の手段で疑似的なサイバー攻撃を行い(レッドチーム演習)、お客様の情報セキュリティ対策が、サイバー攻撃に対してどの程度対応できるのかを検証します。技術的な情報セキュリティ対策状況を評価し、最新の攻撃を防ぐための方策を提言するサービスです。
レッドチーム評価サービスは、お客様のネットワーク環境に対し実際の攻撃と同様の手段で疑似的なサイバー攻撃を行い(レッドチーム演習)、お客様の情報セキュリティ対策が、サイバー攻撃に対してどの程度対応できるのかを検証します。技術的な情報セキュリティ対策状況を評価し、最新の攻撃を防ぐための方策を提言するサービスです。
レッドチームとは実践的な対戦形式の演習において攻撃者をレッドチームとしたことが由来です。サイバーセキュリティにおいては、攻撃者が実際に使う攻撃手法を用いて脆弱性を明らかにするための組織をレッドチームと呼びます。
レッドチーム評価サービスでは、お客様のネットワーク環境を事前に確認の上で攻撃を準備し、環境内の端末にマルウェアがダウンロードされた想定で攻撃を行います。使用しているセキュリティ対策製品や機器による「防御」「検知」「記録」の状況を確認し、攻撃に対する課題を抽出。お客様の技術的対策における課題を解決するために有効なソリューションなどを提言します。
-
攻撃者の視点から、最新のサイバー攻撃への対策状況を評価可能
最新のサイバー攻撃に対し、自社の技術的対策の対応状況を明らかにするためには実際に攻撃を受けて確認する必要があります。
GSXのレッドチーム評価サービスは、最新のサイバー攻撃と同等の手法で疑似的な攻撃を実施し、お客様の対策状況を明らかにすることができます。 -
IPA攻撃シナリオに準拠したサービス実施
GSXのレッドチーム評価サービスは、IPAが発行する 『高度標的型攻撃』対策に向けたシステム設計ガイドにおいて定義されている「初期潜入以降の攻撃シナリオごとの想定脅威と攻撃手口、攻撃が成功する背景をまとめたもの」に準拠して実施します。
-
企業活動を阻害することなく実施可能
診断の内容は、事前ヒアリングによりお客様のネットワーク環境に実害を与えない内容を選定し実施しますので、診断実施中に企業活動が止まることはございません。
| No. | 主なプロセス | 概要 | 疑似攻撃の一例 |
|---|---|---|---|
| 1 | 攻撃立案 | Webサイト、プレスリリースなどのオープンな情報から標的とする企業の情報を収集します | 本調査対象外 |
| 2 | 攻撃準備 | 偵察結果を基に、標的とする企業オリジナルの攻撃コード(エクスプロイト)とマルウェア(実行ファイル)を作成します | 本調査対象外 |
| 3 | 初期潜入 | 添付ファイル付きメール(Email)、URLリンク付メールからドライブバイダウンロード(Web)、USBで武器を配送します | 【パターン 1】 本調査では、不正URLを紙面でお伝えします ※標的型メールを受信したという想定です |
| マルウエア設置サイトに誘導します | 【パターン 2】不正URLに接続いただき、不正ファイルのダウンロードを実施いただきます ※不正ファイルをダウンロード・実行したという想定です | ||
| 4 | 基盤構築 | ・バックドア開設 ・ネットワーク環境の調査・探索 |
① バックドアの開設が可能かを確認します ② 感染端末の情報を収集します |
| 5 | 内部侵入・調査 | ・端末間での侵害拡大 ・サーバへの侵入 |
① ポートスキャンなどによりローカルネットワークを調査します ② 共有フォルダに不正ファイルをアップロードします |
| 6 | 目的遂行 | ・データの外部送信 ・データの破壊 ・業務妨害 | ① 取得情報をC&C サーバへアップロードします |
サービス対象範囲
引用:IPA 『高度標的型攻撃』対策に向けたシステム設計ガイド
評価手法
事前ヒアリングによりお客様のネットワーク環境に実害を与えない内容を選定、実施します。
シナリオ* |
実施内容 |
評価ポイント |
|---|---|---|
①計画立案 |
|
|
②攻撃準備 |
|
|
③初期潜入 |
|
|
④基盤構築 |
|
|
⑤内部侵入・調査 |
|
|
⑥目的遂行 |
|
|
| 評価対象内容 | ||
| *IPA「「『高度標的型攻撃』対策に向けたシステム設計ガイド」の公開」より抜粋。 | ||
攻撃シミュレーション例
| No. | 攻撃シミュレーション例(基本形) |
|---|---|
| 1 | カレントディレクトリ確認 |
| 2 | ディレクトリ移動(Desktop) |
| 3 | テスト用フォルダ作成 |
| 4 | ディレクトリ移動 |
| 5 | システム情報取得 |
| 6 | IPアドレス取得 |
| 7 | プロセス情報取得 |
| 8 | カレントディレクトリ取得 |
| 9 | 同一ネットワークの情報取得 |
| No. | 攻撃シミュレーション例(基本形) |
|---|---|
| 10 | 共有ファイルサーバの情報探索 |
| 11 | ファイルサーバからテストファイルをテスト端末のデスクトップにダウンロード |
| 12 | テストファイルをC&Cサーバにアップロード (テスト端末からC&Cサーバへ) |
| 13 | C&Cサーバからテスト端末にファイルをアップロード (C&Cからテスト端末へ) |
| 14 | C&Cサーバからアップロードされたファイルをファイルサーバにコピー |
| 15 | 特定端末へのポートスキャン |
| 16 | スクリーンショット取得 |
| 17 | キーストローク保存 |
- 上記のような攻撃シミュレーションをお客様とご調整の上、実施をさせていただきます
- お客様にご用意いただくPCの権限設定により、攻撃シミュレーションのシナリオが変わる可能性がございます
01|評価内容の確認
キックオフミーティングを開催し、評価の目的、内容、および双方のタスクとスケジュールについてご説明し、確認します。
02|対象環境の確認
評価対象環境の情報をご提供いただきます。また評価実施項目について実施の可否をご判断いただきます。
03|評価実施準備
当社は評価に使用するサーバや疑似マルウェアを準備します。お客様は評価に使用する端末の用意、関係者への周知をします。
04|評価作業の実施
お客様の指定する場所にて、評価作業を実施します。作業は原則1日以内、平日営業時間内に実施します。
05|評価証跡の収集
評価実施時間に発生した、セキュリティ機器類のログ等を、報告書作成のための証跡としてご提供いただきます。
06|報告書作成
評価結果および証跡類を元に、報告書を作成します。報告会前にご提供しご確認いただくことも可能です。
07|報告会
報告会を開催し、報告書の内容をご説明します。その後のお問い合わせにつきましては、1ヶ月間ご対応します。
注意事項
- 現在導入されているセキュリティ機器などから、調査後のログ取得ポイントを確認させていただきます
- (本調査目的として)バックドアの設置によって”乗っ取られる端末”をお客様にご用意いただきます
※端末は調査終了後、お客様にてクリーンインストールいただきます
※端末のご用意が難しい場合には、弊社から端末をお持ち込みさせていただきます
※お客様環境やログの受領状況により全体のスケジュール感や追加費用を頂戴することがございます
「セキュリティリスク評価報告書」の目次内容
2-1.疑似攻撃環境
2-2.疑似攻撃実施 内容と結果
