「Red Teamサービス」は、従来のペネトレーションテストや脆弱性診断とは異なり、実際に攻撃者らが使用する戦術・テクニック・手順(TTP)などを駆使して、実践的なサイバー攻撃シミュレーションを行うもの。
ビジネスリスクや環境要因といった複合的な観点を含め、攻撃者が狙いやすい侵入経路や戦術、セキュリティ対策やその運用における盲点に有効な攻撃手法を採用して演習を行うこのサービスは、インシデントマネジメント(CSIRT含む)演習の一環として活用されるケースも増加しているという。
Secureworks Red Teamサービス実施フローの主なポイント
・キックオフ時に顧客企業と必ず顧客情報、知的財産等の情報の漏えい・改ざん、最重要システムに対する不正アクセスといったゴール設定および演習のアプローチに関する合意締結。
・実際の攻撃者が使用するTTPを駆使しながら、物理的アクセスや標的型メールなどによる組織内部への侵入、ソーシャルエンジニアリングによる情報収集や不正操作、横断的侵害、重要システムの掌握や機密情報の持ち出しなどの目的達成までサイバーキルチェーンに沿って演習を実施。
・プロジェクト終了後には、攻撃実施フェーズごとに詳細を記載した報告書を作成し、経営層、CSIRT、システム管理者などに報告会を実施。
Secureworksは、「フルカスタムRed Teamサービス」を2015年11月から国内において提供してきた。今回、BRONZE BUTLERなど特定サイバー攻撃グループのTTPをテーマにして演習を行う「脅威プロファイルベースRed Teamサービス」を新たに提供する。
脅威プロファイル、すなわち特定サイバー攻撃グループのTTPを踏襲した演習を実施することで、現実的な防御力をより短期間で客観的かつ具体的に評価することができる。またこのサービスは、インシデント対応サービス、マネージド・セキュリティ・サービス(MSS)サービス、そしてSecureworksのリサーチチーム カウンター・スレット・ユニット(Counter Threat Unit:CTU)による世界の脅威リサーチ情報により蓄積され、実際のサイバー攻撃で利用されている脅威インテリジェンスを演習に導入している。
Secureworks Red Teamサービスの主な特徴
・このサービスに活用するTTPは、年間800件以上のインシデント対応事案、4,400社以上のMSS提供実績、CTUが解析・蓄積する世界の脅威インテリジェンスを集積した、実際にサイバー攻撃で利用されている手法がベース。
・世界中のサイバー攻撃グループを常時追跡するCTUにより手法をさらに強化。
・経験豊富なコンサルタントの業界屈指のティスティングスキルを最大限に活用。
・物理的な侵入により、物理的なセキュリティおよびその運用の評価が可能。
・自組織のインシデント対応チームの対応能力や監視運用の有効性などを効果的に評価・確認。
