OSINTベースのペネトレーションテスト
 

OSINTベースのペネトレーションテスト

OSINTを活用した包括的なペネトレーションテストサービス

本サービスは、OSINTにより入手した情報を攻撃者目線で攻撃に有用な情報として整理、ソーシャルエンジニアリング攻撃やフィッシングなどあらゆる攻撃手法を考察し、その情報を用いた攻撃手法を攻撃者よりも先に指摘するサービスです。

OSINTとは

OSINTとは、オープンソース・インテリジェントの略で、公開された情報をもとに機密情報を収集、解析する手段のことです。

企業サイトへ掲載されている情報やプレスリリースなどの何気ない情報でも、攻撃側から見ると、ソーシャルエンジニアリング攻撃やサプライチェーン攻撃を行うための手がかり、つまり「おいしい情報」となる状況が多々発生します。また、重要な情報を意図せずに公開していることもあります。

OSINTペネトレーションテストは、このような攻撃につながる経路を、攻撃者であるペンテスターの目線で調査します。

また、調査結果に応じ、セキュリティのプロコンサルタントが対策・実施支援を行います。テストをやっただけではセキュリティは強化されません。コンサルタントが伴走し、セキュアな組織を作るためのサポートをします。

期待できる効果

・自社のセキュリティ強度を知ることができます
・漏洩文書・ネットワーク構成・システム構成・社員の個人情報などの漏洩情報を発見することにより、その情報を悪用したサイバー攻撃を未然に防ぎます
・セキュアな組織をつくるために、出していい情報と出してはいけない情報を知ることができます

本サービスの利点

本テストは、公開情報を利用して実施する調査のため
・社内ネットワークに負荷をかけずに実施できる
・実施にあたり、セキュリティ担当部署や情報システム担当部署との連携が不要
・取引先や部署に知らせることなく実施可能 と、メリットが多いことも特徴です。
また、サプライチェーン攻撃への対策をとして、取引先の調査も可能です。

他社提供サービスとの違い

・OSINT技術で収集した情報を基に、攻撃手法を脅威モデリングにより検討します
・ヒアリングの上で要件定義を行いますので、企業ごとのオリジナルシナリオで実施します
・OSINTスペシャリストとペネトレーションテスターがそれぞれの知見を活かして実施します

実施手順

① 要件定義

現時点での懸念点をヒアリングし、その内容をもとに要件定義を行います。

② ターゲット設定

ネットワークシステム・アプリケーション・データ・人・組織・拠点、など。

③ OSINTペネトレーションテストの実施

ターゲットに基づき、OSINT技術者にてペネトレーションテストを実施します。

ペネトレーションテスト内では、以下のような情報の探索を行います。

・漏洩文書の探索
・公開文書の探索
・ログイン情報などの探索
・人と人との関係の探索
・社内で使用されている言葉や略語の探索
・会社の相関関係の探索
・社員番号の規則やログインID等の命名規則
・ソーシャルエンジニアリングのプリテキスティングにつながる情報
・ネットワーク侵入につながる情報

④ 脅威モデリング

OSINTから直接的なネットワーク攻撃やソーシャルエンジニアリング攻撃に繋がる経路やシナリオを考察します

⑤ 対策の考察

脅威モデリングに基づき未然防止策を検討します

⑥ レポート提出

テストの実施結果をレポートとして提出します

⑦ 対策実施支援

レポートをお渡しして終わりではなく、判明した情報漏洩やその情報を悪用した際のセキュリティリスクへの対策を行うために、

テストを実施した技術者から、コンサルティングとアドバイスを行います。対策支援もサポート。

実施費用と期間

・200万円(税別)
2週間程度でテスト実施〜レポート提出まで行います