レッドチームサービス
概要
Mandiantレッドチームサービスでは、サイバー攻撃への対応経験が豊富なMandiantのセキュリティ専門家が、現実の攻撃者が使用するツール、戦術、手順(TTP)を用いて、お客様の環境を模擬攻撃します。
レッドチーム攻撃診断は、重要資産の保護能力の診断に焦点を当てたサービスです。一方のレッドチーム攻撃演習では、レッドチーム攻撃診断の内容に加えて、お客様組織のセキュリティ・チームやセキュリティ・オペレーション・センター(SOC)による模擬攻撃への対応をMandiantのコンサルタントが支援し、お客様の検知および対応能力を事後分析します。
レッドチームサービスのメリット:
- 現実のセキュリティ侵害への対応を擬似的に体験(レッドチーム攻撃演習)
- 機密データの不正アクセス対策の実効性を検証
- セキュリティ・イベントやインシデントへの対応に要する時間を短縮
- 現実に即した「制約なし」の模擬攻撃で組織のセキュリティ体制を診断
- 現実のセキュリティ・インシデントに対するセキュリティ・チームの防御・検知・対応能力を強化
- 攻撃者に悪用される前に複雑な脆弱性を発見、解消
- 事実に基づくリスク分析と改善に向けた提案
サービスの内容と特長
- 経営幹部や管理職向けの概要レポートと、調査結果の再現に十分な情報を含む技術的な詳細レポートを提供
- 事実に基づくリスク分析で、自社環境固有の問題を把握
- 短期的な改善に向けた戦術的な改善策
- 長期的な改善に向けた戦略的な改善策
M-Trends 2017:セキュリティ侵害およびサイバー攻撃の背景にある最新トレンド
特に影響が大きかったセキュリティ侵害やサイバー攻撃の調査結果をもとに、2016年のセキュリティ脅威トレンドを解析します。
M-Trends 2017 Infographic
世界各地で発生したセキュリティ侵害やサイバー攻撃の現場を調査したMandiantの知見からわかった、最新の攻撃トレンドや統計情報
「レッドチームサービス」トレーニングビデオ
レッドチームおよびレッドチームサービス、その機能やベストプラクティスに関するビデオをご覧ください。
オンデマンドのWebセミナー:見直される「レッドチームサービス」の必要性
現実に即した模擬攻撃によってお客様のセキュリティ体制を診断する、レッドチームサービスについて紹介します。
実戦さながらの模擬攻撃に 実戦と同様の対応を図り、結果を検証
レッドチーム攻撃診断は、実際のサイバー攻撃への対応を実地に経験していただくためのサービスです。破壊的・妨害的な活動を避けながら、一般的なサイバー攻撃や高度な攻撃のTTPを使用して模擬攻撃を実施します。攻撃の目的はお客様が設定し(一般的には、最悪のシナリオを想定)、Mandiantのレッドチームがその目的の遂行に向けて攻撃活動を展開します。レッドチーム攻撃診断では、初期の偵察から目的の遂行に至る攻撃のライフサイクル全体を実行します。
一方のレッドチーム攻撃演習は、レッドチーム攻撃診断をベースにしたサービスです。Mandiantのコンサルタントが、インシデント対応(IR)と防御に関するすべての活動を観察するとともに、レッドチームとの連絡窓口役を務めます。このサービスの目的は、不正な活動の検知能力を検証・確認し、その活動に対する対応能力(プロセス、ツール、担当者のスキル)を診断することです。
セキュリティの監視を外部の事業者にアウトソーシングしている場合は、Mandiantのコンサルタントがその事業者に問い合わせ、発生しているアラートを確認します。コンサルタントは、アラートへの対応責任者と協力しながら、模擬攻撃へのインシデント対応を支援します。
Mandiantのアプローチ
Mandiantのレッドチームは、体系的で再現性のある方法論に基づいてサービスを実施します。まず、次の点を確認し、サービス実施の方針を決定します。
- 対象環境に関する情報を収集した上でのサービス実施(ホワイト・ボックス)、または情報なしでのサービス実施(ブラック・ボックス)の選択
- お客様の業種で特に狙われやすい資産や脆弱性について、Mandiantがすでに把握している情報
- 現実に即した模擬攻撃を実施するに当たり、レッドチームが遂行すべき目的
レッドチーム攻撃診断では、3~5件の攻撃の目的を設定した後、環境への侵入を開始し、永続的なアクセス手段の確保、権限の昇格、重要システムへのアクセス権の入手、実際の機密データを模した偽データの生成、データ窃取などの活動を実施します。一連の作業では、事業の妨害やシステムまたはデータの破壊が発生しないよう配慮しながら、目的の遂行に向けた活動を行います。実際の攻撃者も、サービス停止による攻撃の発覚を防ぐため、可能な限り破壊的・妨害的な活動を回避しようとするからです。
レッドチーム攻撃演習の方法論とレッドチーム攻撃診断の方法論は基本的に同じですが、前者では、MandiantのIR専門家がお客様のセキュリティ・チームやSOCと協力して作業を進めるという違いがあります。IR専門家は、専任の担当者として、お客様チームの防御・検知・対応能力の強化を支援します。また、インシデントの検知や対応に要する時間を短縮するため、既存のプロセスや手順の改善策を提案します。
診断終了後、レッドチームとIR専門家は、お客様のセキュリティ・チームとともに、図1の攻撃ライフサイクルに沿って現在のセキュリティ体制を評価します。

3者による評価作業を通じて、現在のセキュリティ体制の実効性、お客様のセキュリティ・チームが特定した/できなかったレッドチームの活動、既存のセキュリティ・プログラムの要改善点を確認します。このようにレッドチーム攻撃演習では、セキュリティ体制の実効性と、現実の不正な活動に対する防御・検知・対応能力を効果的に診断できます。
さあ、今すぐ始めましょう。
当社が誇るセキュリティの専門家が、インシデント対応の支援やコンサルティング・サービスに関する疑問解決など、いつでもお手伝いできるよう準備してお待ちしています。