概要
ネットワーク侵入テストは、ネットワークインフラに対する実際の攻撃を模擬します。外部テストは攻撃者の視点でインターネットに面した資産を狙い、内部テストは悪意ある内部者や侵害された足がかりが到達できる範囲(権限昇格や横展開を含む)を評価します。これは、ネットワークインフラに対する実際の攻撃を模擬することで、内部、外部、無線の各環境におけるセキュリティ上の弱点を特定するのに役立ちます。
方法論&標準
PTES、NIST SP 800-115、OSSTMMを用い、結果はMITRE ATT&CKにマッピングします。内部テストはActive Directoryへの攻撃とセグメンテーションを対象とします。提供されるアクセスレベルに応じて、ブラックボックス、グレーボックス、ホワイトボックスのテストとして実施できます。
含まれる内容
露出したサービスと設定ミスを対象とした外部境界のテスト
セグメンテーションとActive Directoryを対象とした内部の侵害想定テスト
権限昇格と横展開の評価
MITRE ATT&CKにマッピングされた攻撃経路の記述
無線ネットワークの評価
ネットワーク設定ミスのレビュー
リスクの優先順位付けと修正ガイダンス
提供される成果物
証跡を伴う結果ごとのCVSS評価
セグメンテーションおよびActive Directoryに関する結果(内部)
優先順位付けされた修正、再テスト、証明書
経営層向けレポート、優先順位付けされた修正ロードマップ、再テストによる検証支援
OWASP準拠経営層向けレポート修正ガイダンス再テストを含む証明書スキャナーのダンプなし
よくある質問
外部テストは、リモートの攻撃者が見るとおりにインターネットに面した境界を評価します。内部テストは、攻撃者がすでに内部にいると想定し、セグメンテーション、Active Directory、横展開をテストします。ほとんどのフレームワークは両方を求めます。
内部テストでは必要です。通常は接続済みの端末、VPN、または当社が送付する小型のテスト用機器を通じて行います。侵害された足がかりという現実的なシナリオを反映するよう、スコープ策定時に方式を合意します。
影響は小さいです。明示的な許可がない限りサービス妨害(DoS)の手法は避け、スキャンを抑制し、機微なチェックを計画したうえで、リアルタイムの調整のための連絡窓口を設けます。
組織は定期的に、また主要なインフラ、ネットワーク、アプリケーションの変更後に侵入テストを実施し、新たなリスクが速やかに特定・対処されるようにすべきです。