セキュリティイニシアティブはまだ脅威ベースのペネトレーションテストという言葉が世の中に広まる前からペネトレーションテストがどうあるべきかを常に突き詰め、創業当初から脆弱性診断と明確に切り分けてペネトレーションテストを実施してきた実績と経験があります。その一部をご紹介いたします。

脅威ベースのペネトレーションテスト

金融機関トランザクションシステムのペネトレーションテスト

ペネトレーションテスト形態:クローズドネットワークのオンサイト

監査によりペネトレーションテストの要求があり実施。仕様書やヒアリングからリスクベースで脅威モデルを検討しシナリオを策定。ネットワーク内部の悪意のある保守担当者を想定、メインサーバーへの侵入及び権限昇格を成功要件としたシナリオにより実施。脆弱性診断は定期的に実行していたものの、実際の攻撃を行うことで複数の致命的な攻撃経路を発見し、その攻撃経路を元に対策案をご提案し、監査人からの要求をみたすよう連携しながらコンサルティングを続行。

大規模製造プラントにおけるペネトレーションテスト(パープルチームサービス)

ペネトレーションテスト形態:プラント内アクティブディレクトリ環境のオンサイト

事前に行った脆弱性診断からネットワーク内アクティブディレクトリのユーザー権限を持たない悪意のある一般作業者を想定、プラント内のWi-Fiネットワークを起点とし、権限昇格によりドメインサーバーの管理者権限を奪取することを成功要件としたシナリオにより実施。ネットワーク内部で採取した情報からドメインユーザーを推測、パスワードスプレイ攻撃により複数のドメインの一般ユーザー権限を奪取しそこを起点として、ドメイン管理者権限への昇格に成功。またその過程で想定外のサーバー機能を持つホストやユーザー権限の設定不備を発見。攻撃後は攻撃の痕跡をフォレンジック調査し、ログや痕跡が適切に残されているかを調査。その結果を元に組織の総合的なセキュリティ向上のために設定の見直しとカバーできない範囲については検知システムの導入をご提案しコンサルティングを続行。

他多数