サイバーセキュリティ攻撃に関する新しいニュースが目に入らない日はありません。ハッカーは、何百万件もの記録と何十億ドルもの資金を、驚くべき頻度で盗み続けています。こういった試みへの対策としてキーとなるのが、通年を通した徹底した侵入テストの実施です。
侵入テストは、攻撃者に先んじてセキュリティを評価するために設計されたものます。侵入テストツールは、実世界の攻撃シナリオをシミュレートし、記録の盗難、認証情報の侵害、知的財産、個人識別情報(PII)、カード会員のデータ、個人情報、保護された医療情報、データの身代金、あるいはその他の有害なビジネス結果につながるセキュリティギャップを発見して、エクスプロイットします。セキュリティの脆弱性を突く侵入テストは、将来のサイバーセキュリティ攻撃を軽減して、重要なビジネスデータを保護するために最適な方法を判断するために役立ちます。
典型的な侵入テストには、完了しなければならない5つの重要な段階があります。
侵入テストチームで何らかのアクションを起こす前に、ターゲットとなる対象に対して適切な情報収集をおこなう必要があります。この期間は、攻撃計画を立てるために不可欠であり、取り組み全体の足場となります。
次の偵察段階では、セキュリティシステムが複数の侵害攻撃に対してどのように対応するのかを把握するため、ターゲットに対して一連のスキャンを実行します。ネットワークのインフラストラクチャ内にある脆弱性、オープンポート、およびその他の弱点を発見することで、侵入テストでどのように計画されている攻撃を続けるのかがわかります。
データを収集した後、侵入テストでは、SQLインジェクションやクロスサイトスクリプティングなどの一般的なウェブアプリケーション攻撃を利用して、現存する脆弱性をエクスプロイットします。アクセスを取得した後は、悪質な攻撃から発生する可能性のある潜在的な損害の範囲を模倣します。
この段階の主な目的は、ターゲットとなる環境内に常に存在することです。時間が経つにつれて、悪用されたシステム全体から収集されるデータ量も多くなり、APT攻撃(Advanced Persistent Threat)を模倣することができるようになります。
最後に、攻撃の完了後には、匿名性を確保するために、攻撃の痕跡を一切残さないようにしなければいけません。ログイベント、スクリプト、およびターゲットから発見される可能性のあるその他の実行ファイルはすべて、一切追跡できないものでなければなりません。エンゲージメント全体について詳細に分析した包括的なレポートがターゲットと共有され、主要な脆弱性、ギャップ、侵害の潜在的な影響、およびその他さまざまな主要セキュリティプログラムのコンポーネントが報告されます。
侵入テストは、自社の専門家が侵入テストツールを使用して社内で実施することも、侵入テストのサービスプロバイダに委託して実施することもあります。侵入テストは、セキュリティ プロフェッショナルがターゲットのネットワークをエミュレートし、脆弱なシステムやアカウントを見つけることから始まります。これは、ネットワーク上の各システムをスキャンして、サービスが実行されているオープンポートがないか探すことを意味します。ネットワーク全体で、すべてのサービスが正しく設定され、適切にパスワード保護され、パッチが完全に適用されていることは極めて稀です。侵入テスターは、ネットワークと存在する脆弱性を十分に理解した上で、侵入テストツールを使用して脆弱性をエクスプロイットし、好ましくないアクセスを取得します。
しかしながら、セキュリティ プロフェッショナルはシステムをターゲットにするだけではありません。多くの場合、侵入テスターは、フィッシングメール、電話詐欺、オンサイトによるソーシャルエンジニアリングを通して、ネットワーク上のユーザーもターゲットにします。
企業のユーザーもリスク要因となります。人為エラーを介したネットワーク侵害や認証情報の漏洩は、新しいものではありません。絶え間ないサイバーセキュリティ攻撃やデータ漏洩から学んだことは、ハッカーがネットワークに侵入してデータや資金を盗む最も簡単な方法は、依然としてネットワークユーザーを介することだということです。
侵害された認証情報は、毎年報告されるデータ侵害における最大の攻撃ベクトルであり、この傾向はVerizonのデータ漏洩レポートでも証明されています。前述のような、ユーザーエラーによるセキュリティ上の脅威を解決することも、侵入テストの一貫です。侵入テスターは、システムやアプリケーションにアクセスするために、発見されたアカウントに対してブルートフォース攻撃でパスワードの推測を試みます。1台のマシンを侵害することで侵入へとつながりますが、現実のシナリオでは、攻撃者は通常、横移動しながら最終的に重要なアセットへと到達します。
ネットワークユーザーのセキュリティをテストするにあたりよく使われるもう1つの方法が、フィッシング攻撃のシュミレーションです。フィッシング攻撃では、個人的な通信手段を用いて、ターゲットが自分の利益にならないことをするように仕向けるます。例えば、フィッシング攻撃では、「パスワードの強制リセット」のタイミングだとユーザーに思い込ませて、メールに埋め込まれたリンクをクリックさせようとしたりします。悪質なリンクをクリックすることでマルウェアに感染する場合もあれば、攻撃者が将来使用する認証情報を盗むために必要な侵入手段となる場合もあり、フィッシング攻撃はネットワークユーザーをエクスプロイットする最も簡単な方法の1つとなっています。フィッシング攻撃に対するユーザーの認識をテストしたいのであれば、使用する侵入テストツールにこれらの機能が備わっていることを確認してください。
侵入テストは、ネットワークセキュリティの重要なコンポーネントです。これらのテストを通して、ビジネスは以下を特定することができます。
侵入テストを通して、セキュリティ プロフェッショナルは、多層ネットワーク アーキテクチャ、カスタム アプリケーション、ウェブサービス、およびその他のITコンポーネントのセキュリティを効果的に発見し、テストすることができます。これらの侵入テストツールおよびサービスは、最もリスクの高いエリアを迅速に把握し、セキュリティ予算やプロジェクトを効果的に計画するために役立つインサイトを得るために役立ちます。ビジネスのITインフラストラクチャ全体を徹底的にテストすることは、サイバーセキュリティ ハッカーから重要なデータを守るために必要な予防措置を講じながら、攻撃時のIT部門の対応時間を向上させるために不可欠です。