公開日:2023年12月20日
寄稿者:Teaganne Finn、Amanda Downie
ネットワーク・ペネトレーション・テストは、エシカル・ハッキングの実践を通じて企業のコンピューター・ネットワーク全体を特にターゲットとするペネトレーション・テスト(または「ペン・テスト」)の種類の一つです。
ネットワーク・ペネトレーション・テストの目的は、組織内の脆弱性を明らかにして特定することです。これには、Webアプリケーションのテストや疑似フィッシング攻撃などの外部テストや内部テストを通じて、ネットワーク・セキュリティー対策の詳細な評価を行うことが含まれます。
IBMの月次ニュースレターを購読する
ネットワーク・ペネトレーションの仕組みは、エシカル・ハッカー、つまりレッド・チームがハッキング・ツールと技術を使用して、組織のコンピューター・システムに対して疑似サイバー攻撃を行うことです。目的は、組織のファイアウォールの背後に侵入し、不正アクセスを取得することです。
ネットワーク・ペネトレーション・テストには、Webアプリケーション、API、エンドポイント、物理的コントロールへの攻撃が含まれる場合があります。オペレーティング・システムに対する攻撃をシミュレーションすると、セキュリティーの弱点が明らかになり、組織のどこに弱点があるかがわかります。
偽の攻撃は、セキュリティー・チームがネットワーク・インフラストラクチャーに関連するセキュリティーの脆弱性を発見するのに役立ちます。テストできる一般的な脅威には、分散型サービス拒否(DDos)攻撃、ドメイン・ネーム・システム(DNS)、マルウェア、フィッシング、SQLインジェクションなどがあります。
テスターはツールを使用して偵察を実施し、ペン・テスト・プロセスを自動化します。多くの場合、内部テストと外部テストの2種類のテストが使用されます。
内部ネットワーク・テスト:内部テストでは、ペン・テスターは内部攻撃者、または盗まれた認証情報を使用して悪意のある行為を実行しようとする可能性のある人物として機能します。このタイプのテストの主な目的は、個人や従業員が情報を盗んだり、個人データや機密データにアクセスする特権を悪用したりすることで、組織内から悪用される可能性のある脆弱性を見つけることです。
外部ネットワーク・テスト:外部ネットワーク・ペネトレーション・テスト・サービスは、ネットワークに侵入しようとする外部の攻撃者を模倣することを目的としています。これらのペン・テスターは、サーバー、ルーター、Webサイト、アプリケーション、従業員のコンピューターなど、オープンソースのリスクであるインターネットに直接接続されているセキュリティー問題を見つけ出します。
多くの場合、ネットワーク・ペネトレーション・テストは4つの特定のステップに従います。テストは、ビジネス・リスクとリスクの結果を詳細に分析したネットワーク・ペン・テスト・レポートで終えます。
この第1フェーズでは、エシカル・ハッカーが主要なステークホルダーと、テストの全体的な目標と、組織が特定した脆弱性について話し合います。ペン・テストを行う前に、脆弱性評価を行う必要があります。
そこから、ペン・テスターとステークホルダーは、どのテストを実行するか、および使用する予定の成功のメトリクスを決定します。テスターは、ポート・スキャンやネットワーク・マッピング(nmap)など、いくつかの異なるツールや手法を使用して偽の攻撃を実行します。
一般的に使用されるテスト・パースペクティブは、3種類あります。組織に応じて、これらを個別に使用することも、組み合わせて使用することもできます。
ブラックボックス・テスト:「ブラックボックス」テストは、ネットワーク・システムに関する内部知識がほとんどない、またはまったくない平均的なハッカーの観点から実施されます。このタイプのテストは、ネットワーク内の外向きの脆弱性を悪用することが目的であるため、外部ペン・テストになります。
グレーボックス・テスト:この種類のネットワーク・ペネトレーション・テストは、より内部に焦点を当てており、外部ハッカーのいくつかの側面を維持しながら、内部システムにアクセスできるハッカーを模倣することを目的としています。グレーボックス・テストは、悪意のある方法で使用されている昇格された特権を持っている可能性のある組織内の悪役を対象としています。
ホワイトボックス・テスト:最後に、ホワイトボックス・テストは、3つのセキュリティー・テストの種類の中で最も侵入型です。このテストは、ITスペシャリストまたは組織のソースコードとシステムに関するすべての考えられるデータにアクセスできる人物を模倣するために実行されます。このテストは通常、ITアーキテクチャーの整合性をテストするために最後に実行されます。さらに、ターゲット・システムへのハッカーやサイバー攻撃の可能性を確実に阻止します。
偵察と発見のフェーズでは、ペン・テスターが偵察からデータを取得してライブ・テストを行い、ソーシャル・エンジニアリングなどの戦術を通じて既存の脆弱性を発見します。ペン・テスターは、詐欺的なツールを使って個人を操作して情報を共有させることで、弱点がどこにあるのかを見つけ出し、それらの脆弱性を狙い始めます。
発見ステップでは、ペン・テスターはポート・スキャナーや脆弱性スキャナーなどのツールを使用する場合があります。ポート・スキャナーは、ハッカーが侵入する可能性のあるシステム上の開いているポートを特定し、脆弱性スキャナーはシステム上の既存の脆弱性を特定します。
次のステップでは、これまでに行ったすべての準備作業を実行に移します。このステップでは、ペン・テスターは、スクリプトを悪用したりデータを盗もうとしたりできるツールを使用して、ネットワーク・ペネトレーション・テストを実行します。その目的は、エシカル・ハッカーがどの程度の損害を引き起こす可能性があるかを把握し、アクセスできた場合にシステム内にどのくらいの期間滞在できるかを判断することです。
ペン・テスターは、一度に1つの脆弱性をテストすることから始めることもできますが、これらのセキュリティー・リスクに対処するために広範なアプローチが取られていることを確認するために、複数の脆弱性に対してテストを実行する必要があります。
最後のステップでは、どのようなネットワーク・ペネトレーション・テストが実行されたかを文書化し、それらの各テストの結果を確認し、修復手順について情報セキュリティー・チームと話し合います。レポートでは、プロセス全体を最初から最後まで詳細に説明し、組織に対する脆弱性、証拠、データ、推奨事項を特定します。このレポートは、ビジネス・オーナーが、特定されたリスクの全体像と、情報に基づいた意思決定をさらに支援する分析を得るために非常に重要です。
組織は多くの脅威に直面しており、ビジネスとその機密情報を保護するには、データにガードレールを設けることが不可欠です。ネットワーク・ペネトレーション・テストはすべての脆弱性を特定し、考えられるすべての侵入ポイントから組織のデータを保護します。脆弱性スキャンは有益な場合もありますが、それほど広範囲にわたるテスト・ツールではないため、どちらかといえば、ペン・テストの補足として使用する必要があります。
ペン・テストを実施することで、どのようなセキュリティー管理が機能していて、どのセキュリティー管理を強化する必要があるかをよりよく理解できます。ネットワーク・ペネトレーション・テストにより、組織はセキュリティー体制を分析することもできます。
組織のネットワークの脆弱性を事前に分析することで、データ侵害の可能性をほぼ排除できます。ペン・テストは、セキュリティー評価とサイバーセキュリティー・スキャンを通じて全体的なセキュリティーを保証します。
IBM® Security Randori Reconを使用して、攻撃者が攻撃する前に、外部攻撃サーフェスのリスクと予期せぬ盲点を明らかにします。
モバイル・アプリケーション、IoT アプリケーション、ネットワーク、ハードウェア、担当者をテストして、危険にさらされている最も重要な資産の脆弱性を特定し、修正します。
実証済みのセキュリティー・スキル、専門知識、最新のソリューションにより、急速に変化する環境の先を行き、高度なサイバーセキュリティーの脅威からインフラストラクチャーとネットワークを保護します。
X-Force Redポータルを使用すると、修復に関わるすべての担当者が脆弱性特定直後に行われたテスト結果を確認し、都合に合わせてセキュリティー・テストをスケジュールできるようになります。
IBM Security X-Force Threat Intelligence Index 2023は、脅威アクターがどのように攻撃を仕掛けているか、そして攻撃が仕掛けられる前に事前対応で組織を保護する方法を理解するのに役立つ実用的な洞察をCISOやセキュリティー・チーム、そしてビジネス・リーダーに提供します。
2023年「データ侵害のコストに関する調査」の包括的な調査結果をご覧ください。データ侵害に見舞われた550以上の組織の経験から学ぶことができます。
X-Forceは、脅威インテリジェンスと調査に裏付けられた、幅広い攻撃製品や防御製品とサービスを提供しています。
最新のX-Force研究を集約し、毎週新しいブログを公開しています。
この電子ブックでは、サイバー・レンジの提供について、そしてあなたの組織がどのように完全なビジネス危機対応のためのトレーニングができるかをご紹介します。