レッドチーム攻撃診断

Mandiantコンサルティング

人材、プロセス、テクノロジーの観点から、重要資産の保護体制を診断

データや人材、システムなどの重要資産を狙う攻撃者は、どのような戦術で巧妙な攻撃を仕掛けてくるでしょうか。攻撃者の観点で組織のセキュリティ体制を見直すと、対策の実効性を大幅に改善できます。Mandiantは、セキュリティ・プログラムの強みと弱みを診断する2つのサービス、レッドチーム攻撃診断レッドチーム攻撃演習で、お客様組織のセキュリティ強化を支援します。

Videos

レッドチーム・トレーニング動画シリーズ

概要

レッドチーム攻撃診断は、実際のサイバー攻撃への対応を実地に経験していただくためのサービスです。破壊的、妨害的な活動を避けながら、一般的なサイバー攻撃や高度な攻撃のTTPを使用して模擬攻撃を実施します。攻撃の目的はお客様が設定し(一般的には、最悪のシナリオを想定)、Mandiantのレッドチームがその目的の遂行に向けて攻撃活動を展開します。Mandiantのレッドチームは、初期の偵察から目的の遂行に至る攻撃のライフサイクル全体を実行します。

レッドチーム・サービスでは、お客様組織のセキュリティ担当者が、重要な資産を保護する十分な能力を備えているかどうかを診断します。FireEyeの専門家が、サイバー攻撃の最前線における長年の経験をもとに、現実の標的型攻撃で使用される戦術、技術、手順を用いて模擬攻撃を実施します。お客様組織に実害が及ぶことは一切ありません。

パープルチーム・サービスとも呼ばれるレッドチーム攻撃演習では、攻撃ライフサイクルの段階ごとに複数の攻撃役を立てながら、段階ごとの攻撃手法をシミュレートして、模擬的な標的型攻撃を実施します。この際、Mandiantのインシデント対応担当者が、レッドチームに対応するお客様組織のセキュリティ担当者に付き添い、各ステップでの対応方法(人材、プロセス、ツール)についてアドバイスを提供し、作業内容を評価します。

レッドチーム・サービスは、標的型攻撃から重要資産を保護する組織の能力を確認したいという目的に適しています。

レッドチーム攻撃演習は、セキュリティ担当者をコーチングして、標的型攻撃に対する検知、対応能力の改善という目的に適しています。

2つのサービスの違い

  レッドチーム・サービス   レッドチーム攻撃演習  
目的 経営幹部のEメールや顧客データなどの重要資産を標的型攻撃から保護できるかどうかをテストする 検知、防御、対応能力を診断する
内容 目標達成に必要なすべての手段を講じながら、現実に即した模擬的な標的型攻撃を実施する Mandiantのインシデント対応担当者がお客様のセキュリティ・チームと連携し、その過程でコーチングも行う
お客様のセキュリティ・チームの関与 標的型攻撃に対応する。セキュリティ・チームに対して演習であることを事前に知らせることも可能 Mandiantのインシデント対応担当者による観察とコーチングの下で、攻撃シナリオに対応する
  データシートを見る データシートを見る

レッドチーム攻撃診断のメリット

  • 現実のセキュリティ侵害への対応を擬似的に体験(レッドチーム攻撃演習)
  • 機密データの不正アクセス対策の実効性を検証
  • セキュリティ・イベントやインシデントへの対応に要する時間を短縮
  • 現実に即した「制約なし」の模擬攻撃で組織のセキュリティ体制を診断
  • 現実のセキュリティ・インシデントに対するセキュリティ・チームの防御・検知・対応能力を強化
  • 攻撃者に悪用される前に複雑なセキュリティの脆弱性を発見、解消
  • 事実に基づくリスク分析と改善に向けた提案

サービスの内容と特長

  • 経営幹部や管理職向けの概要レポートと、調査結果の再現に十分な情報を含む技術的な詳細レポートを提供
  • 事実に基づくリスク分析で、自社環境特有の問題を把握
  • 短期的な改善に向けた戦術的な改善策
  • 長期的な改善に向けた戦略的な改善策

関連リソース

Mandiantのアプローチ

Mandiantレッドチームは、体系的で再現性のある方法論に基づいてサービスを実施します。まず、お客様組織の上層部と協議しながら、以下の情報と診断上のルールについて合意します。

  • 対象環境に関する情報を収集した上でのサービス実施(ホワイト・ボックス)、または情報なしでのサービス実施(ブラック・ボックス)の選択
  • お客様の業種で特に狙われやすい資産や脆弱性について、Mandiantがすでに把握している情報
  • 現実に即した模擬攻撃を実施するに当たり、レッドチームが遂行すべき目的

レッドチーム・サービス

攻撃の目的を設定した後、環境への侵入を開始し、永続的なアクセス手段の確保、権限の昇格、重要システムへのアクセス権の入手、実際の機密データを模した偽データの生成、データ窃取などの活動を実施します。一連の作業では、事業の妨害やシステムまたはデータの破壊が発生しないよう配慮しながら、目的の遂行に向けた活動を行います。実際の攻撃者も、サービス停止による攻撃の発覚を防ぐため、可能な限り破壊的、妨害的な活動を回避しようとするからです。

レッドチーム攻撃演習

レッドチーム・サービスをベースにしたレッドチーム攻撃演習では、段階的なシナリオに基づく演習を用いて、攻撃ライフサイクルの各段階における検知、防御、対応能力を診断します。

Mandiantの攻撃ライフサイクル

 

このようにレッドチーム攻撃演習では、セキュリティ体制の実効性と、現実の不正な活動に対する防御・検知・対応能力を効果的に診断できます。