フーディーを脱いで、シューズを履いて、攻撃者のマインドセットで、弱みをとても大きな強みに変える方法について、網羅的なデータと実行可能な調査結果、そして、もうそれほど秘密という訳でもない逸話と共にサイバーセキュリティーを学びましょう。
Read the Report
セキュリティの前進に役立つリアルなストーリー
信頼性の高い侵入検知の突破など、時折、難しいことが上手くいくことがあります。そして、時折、ノートパソコンをロックされていない車の中に放置するなど、ささいなことを見落とすことがあります。そのようなことが必ず起きるものです。設定ミス、コントロールの欠如、人為的エラーなど、攻撃対象領域が拡大し続けているということは、セキュリティポスチャに対して自信を持てるように、対策を行う必要があるという意味です。侵入テストのチームを雇ってネットワークに侵入させて、防御策を試すこともその方法の1つです。
2019年6月以降、侵入テストのチームが、206回にのぼるエンゲージメントを実施しました。侵入テストのテクニックが研究できる機会が206回あったのです。これは、アニメーションビデオに仕立てられる206回の実際のストーリとも言えます。
映画館に行った気分でポップコーンを片手にご覧ください。それでは、ともすると「とんでもない」と思われるかもしれないストーリーをいくつかご紹介します。
明日を切り開くリサーチ
侵入テストというものは、通常、特定の組織のために秘密裏に行われるものです。しかしながら、その性格上、広く一般の方が、脆弱性、設定ミス、悪用につながる攻撃者の戦術について理解するのは非常に困難です。
だからこそ、ラピッドセブンでは、侵入テスト調査を公開しています。リサーチ活動は、ラピッドセブンにとって核となる重要な部分です。レポートでは、侵入テストの要点を探り、データを収集して分析することで、主要なトレンドを明らかにします。これらすべてを活用することで、お客様は、次回の侵入テストの前に、調査と修正をする項目について優先順位付けが可能となります。
主な調査結果は次の通りです。
- 内部ネットワーク構成とパッチ管理により、継続的に、侵入テスト担当者に容易に攻撃可能な標的が提供されています。侵入テストの担当者は、コモディティ化された既存の攻撃パターンを活用して権限昇格し、検知されないままネットワーク内の横移動が可能です。
- 2要素認証(2FA)のようなエンタープライズレベルのパスワード管理と二次制御が大幅に不足しているため、シミュレートされたセキュリティ侵害において、取得されたパスワードスプレー攻撃とハッシュされたパスワードの解読の双方によって、容易に悪用につがっています。
- かつてないほど、人々はオンサイトや従来の内部ネットワーク制御ではなく、VPNやインターネットベースのアプリケーションに依存しています。一方、侵入テストの担当者は、これらのVPNターミネーターとカスタムWebアプリケーションに重大な欠陥を見つけています。
以前のレポートはこちらです。 Under the Hoodie 2017、Under the Hoodie 2018、Under the Hoodie 2019
