製品概要
「レッドチーム」は、攻撃者がどのように対象組織を攻撃するかの観点で、セキュリティ態勢や対策の有効性を確認するチームです。
サイバー攻撃への備えとして、ウイルス対策やIDS/IPSなどのセキュリティ対策製品の導入、対応ルール・手順の整備、対応チーム(CSIRT:Computer Security Incident Response Team)の組成といった施策を進めている組織(企業)は増加しています。
しかし、その態勢や対策は、高度な攻撃から実際に被害を防ぐことができるでしょうか?いざというときに有効に機能しなければ、投資の意味がありません。そのためには有効性の検証が必要です。
有効性を検証するためには、攻撃者がどのようなアプローチで自組織を攻略するのか、つまり、自組織で発生し得るサイバー攻撃を、攻撃手法や脅威動向を踏まえ、攻撃者同様の目線で想定する必要があります。
このような能力を持ったチームを自組織内に持つことは難しいと想定されますので、当社の「レッドチームオペレーションサービス」をご活用ください。
[「レッドチームオペレーションサービス」の実施内容とサービスによる効果]
「レッドチームオペレーションサービス」では、ペネトレーションテスト、インシデントレスポンスを経験したプロフェッショナルが、お客様の環境を対象として、攻撃シナリオを作成し、疑似攻撃を実施します。
これにより、導入しているセキュリティ対策製品で攻撃を検知できるか、対応ルールや手順に不備があるかを確認可能であることに加え、実際のサイバー攻撃(インシデント)の発生から収束までを体験することで、SOC(Security Operation Center)によるインシデントの切り分けが適切に行われるか、重要度設定が想定通りであるか、報告を受け取ったCSIRTは事態の収拾に向けた活動ができるかなどを確認し、自組織が現在どのようなサイバー攻撃にどの程度対応可能かを明らかにできます。
実施後には、攻撃検知結果やサイバー攻撃への対応時に役立った情報が何かを元にセキュリティ対策製品の過不足、SOC・CSIRTにおいて強化すべき点といった課題が生じることとなりますが、その課題に対応していくことで自組織としてのサイバー攻撃対応態勢のレベルアップが可能です。
なお、攻撃シナリオは、一定の内容のみではなく、対象組織のシステム環境やこれまでに経験したサイバー攻撃などを考慮し、お客様とご相談の上で作成するため、対象範囲の絞り込みや目標レベルに応じた内容変更、SOC・CSIRTのトレーニングを目的とするなど、様々な形態でサービスをご提供可能です。
[実際のインシデント対応経験を通じてサイバー攻撃態勢を強化]
一般にレッドチーム演習と呼ばれる取り組みは、机上訓練でも実施することが可能です。
しかし、攻撃と思わしきイベントを切り分ける役割を担うSOCでは、机上訓練では結論が出ていることが多く、検知したアラートや残されたログから攻撃であるかを識別するといった経験を得ることが困難です。
「レッドチームオペレーションサービス」では、例えば、遠隔操作マルウェアによる社内侵害を想定したシナリオであれば、エンドポイント端末を疑似マルウェアに感染させるなど、サイバー攻撃と同様のインシデントが自組織で発生している状態を作り出すため、同様のアラートやログを取り扱った経験が得られます。
また、実環境で実施することにより、ネットワーク上に設置したセンサー(IDS、サンドボックス製品など)やOA端末に導入した対策製品が、シナリオで想定した攻撃に対して、有効に機能するかを確認可能です。
特徴
・セキュリティ診断、ペネトレーションテストを通じて得た攻撃者の観点と、MSSサービスを通じて得たインシデントハンドリングの知見を組み合わせてサービスを提供
・セキュリティ診断、ペネトレーションテスト、インシデントレスポンスを経験したメンバによりサービスを提供
・実施目的に合わせて攻撃シナリオをカスタマイズ可能