Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
米国のペネトレーションテスト事情
2017/02/20 #ssmjp
Tomohisa Ishikawa
$ whoami
• Tomohisa Ishikawa
• セキュリティ・コンサルタント @ 某セキュリティ企業
• 専門:ペネトレーションテスト・インシデント・レスポンス etc.
• 対外発表経験
• SANSFIRE 2011, SAN...
今日お話したいこと
• 1年間米国企業で、海外トレーニーとして滞在
• その中で感じたペネトレーションテストの違いに
ついてお話したいと思います。
• この発言は個人の見解であり、所属する組織の
公式見解ではありません。
日本で言うペネトレーションテストって…
• 某M社とか某L社とか某N社のページを見てみると..
• Webセキュリティ診断サービス
• プラットフォーム診断サービス
• 標的型攻撃診断サービス(メール訓練サービス・出口対策検証)
• 無線LAN...
(ちょっと煽りすぎだが…)
そもそも米国では、Penetration Test
という言葉が使われなくなりつつある。
Red Teamサービスでは何が変わるのか?
→診断対象が変わる(3領域全てをカバー)
Digital
Physical Social
• Webアプリケーション診断
• プラットフォーム診断
• 標的型診断(出口対策検証)
• 標的型診断(メ...
Red Teamサービスでは何が変わるのか?
→定義が違う
• Digital・Social・Physicalの攻撃ベクタを組み合わせて
管理された状態で実際の攻撃さながらの検査を行うこと
• Controlled but Real Intru...
Red Teamサービスでは何が変わるのか?
→ペネトレーションテストとは違う!!
• ペネトレーションテストというと、個別の評価技術をさす文脈で使われる
ことが多い。
Penetration Test Red Team
作業内容
ある観点から...
ケース1:物理ペネトレーションテスト
物理ペネトレーションテスト
• ゴール
• どこまで内部侵入して情報が取れるのか?
• 物理セキュリティの観点から正しく設計されていれば、ゾーニ
ングがされているため、どこまで突破できるのか調べる。
• やり方は色々
ケース2:標的型攻撃サービス
標的型サービス
• 米国のサービスレベルは大きく3種類に分類される。
• Awareness Phishing
• Penetration Test Phishing
• Red Team Phishing
Red Team Phishing
• 日本年金機構への攻撃をそのまま再現!!
• OSINTで情報収集(LinkedIn・リクルータを装う)
• 1~2名ほど選定して、攻撃メールを送付
• 発表ばかりの新鮮な脆弱性を利用
• PowerShe...
まとめ
• 米国では、3領域をカバーするRed Teamサービスが主流と
なりつつある。
• 日本ではまだ実施されていない深度・種類のサービスも
登場しており、今後日本でもこのようなサービスが求められ
てくるのでは…
Bonus Session
Social-engineer.com
Christopher Hadnagy氏
Digital Penetration Test分野の話
• PowerShellを活用した攻撃が主流となりつつある。
• 最近のトレンドについては別の機会に
• ペネトレーションテスト系の資格
• CEH (by EC-Council)
• ...
Thank you !!
Any Question ??
スライドは後日Slide Shareにアップロードします。
• メール scientia.admin@gmail.com
• ブログ http://www.scientia-securi...
米国のペネトレーションテスト事情(ssmjp)
米国のペネトレーションテスト事情(ssmjp)
米国のペネトレーションテスト事情(ssmjp)
Upcoming SlideShare
Loading in …5
×

米国のペネトレーションテスト事情(ssmjp)

5,593 views

Published on

2017年2月に実施した、「米国のペネトレーションテスト事情」のスライドです。

Published in: Technology
  • Hello! Get Your Professional Job-Winning Resume Here - Check our website! https://vk.cc/818RFv
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

米国のペネトレーションテスト事情(ssmjp)

  1. 1. 米国のペネトレーションテスト事情 2017/02/20 #ssmjp Tomohisa Ishikawa
  2. 2. $ whoami • Tomohisa Ishikawa • セキュリティ・コンサルタント @ 某セキュリティ企業 • 専門:ペネトレーションテスト・インシデント・レスポンス etc. • 対外発表経験 • SANSFIRE 2011, SANSFIRE 2012, DEF CON 24 SE Village, LASCON 2016, Bsides Philly … • 資格はたくさん • CISSP, CISA, CISM, CFE, GPEN, GWAPT, GXPN, GWEB, GREM, GSNA, GCIH • Social Media • ブログ http://www.scientia-security.org/ • LinkedIn https://www.linkedin.com/in/tomohisaishikawa • スライド https://www.slideshare.net/tomohisaishikawa
  3. 3. 今日お話したいこと • 1年間米国企業で、海外トレーニーとして滞在 • その中で感じたペネトレーションテストの違いに ついてお話したいと思います。 • この発言は個人の見解であり、所属する組織の 公式見解ではありません。
  4. 4. 日本で言うペネトレーションテストって… • 某M社とか某L社とか某N社のページを見てみると.. • Webセキュリティ診断サービス • プラットフォーム診断サービス • 標的型攻撃診断サービス(メール訓練サービス・出口対策検証) • 無線LAN診断サービス • DDoS体制検証サービス • 安全第一!! • ※ ちなみにセキュリティ診断とペネトレーションテストをほぼ同じ意味で 使いますが、宗教上の理由でこの二つを一緒に語ることが許せない人 とは適当に読み替えてください。
  5. 5. (ちょっと煽りすぎだが…) そもそも米国では、Penetration Test という言葉が使われなくなりつつある。
  6. 6. Red Teamサービスでは何が変わるのか? →診断対象が変わる(3領域全てをカバー) Digital Physical Social • Webアプリケーション診断 • プラットフォーム診断 • 標的型診断(出口対策検証) • 標的型診断(メール訓練) • Vishing(Voice Phishing) • OSINT • テール・ゲーティング • なりすまし • IDカード・クローニング • ネットワーク接続された 端末への物理攻撃 • エレベータ・ハッキング • 物理アクセス突破
  7. 7. Red Teamサービスでは何が変わるのか? →定義が違う • Digital・Social・Physicalの攻撃ベクタを組み合わせて 管理された状態で実際の攻撃さながらの検査を行うこと • Controlled but Real Intrusion • 複数の専門家で構成される • 攻撃者のマインドセットを持っていること • コントロールの評価とBlue Teamの有効性の評価 • セキュリティ企業のサービスと提供される以外にも、ユーザ系企業の 一部門としてRed Teamを持っていることも多い。
  8. 8. Red Teamサービスでは何が変わるのか? →ペネトレーションテストとは違う!! • ペネトレーションテストというと、個別の評価技術をさす文脈で使われる ことが多い。 Penetration Test Red Team 作業内容 ある観点から、脆弱性を見つけ、 評価し、悪用可否を検証すること 目的を達成するために必要な脆弱性を 見つけ、評価して悪用すること 方法論 静的な方法論 動的な方法論 攻撃者の プロフィール 用意しない 用意する セキュリティチームへ の通知 (大抵の場合)あり なし 実施時間 業務時間中 24時間 最終ゴール 脆弱性の悪用 脆弱性悪用によるビジネス影響を評価
  9. 9. ケース1:物理ペネトレーションテスト
  10. 10. 物理ペネトレーションテスト • ゴール • どこまで内部侵入して情報が取れるのか? • 物理セキュリティの観点から正しく設計されていれば、ゾーニ ングがされているため、どこまで突破できるのか調べる。 • やり方は色々
  11. 11. ケース2:標的型攻撃サービス
  12. 12. 標的型サービス • 米国のサービスレベルは大きく3種類に分類される。 • Awareness Phishing • Penetration Test Phishing • Red Team Phishing
  13. 13. Red Team Phishing • 日本年金機構への攻撃をそのまま再現!! • OSINTで情報収集(LinkedIn・リクルータを装う) • 1~2名ほど選定して、攻撃メールを送付 • 発表ばかりの新鮮な脆弱性を利用 • PowerShellなどを活用してPost Exploitationを実行 • アカウント情報を盗んでパスワード解析をしたり • Low & Slowの原則 • Red Team vs. Blue Team
  14. 14. まとめ • 米国では、3領域をカバーするRed Teamサービスが主流と なりつつある。 • 日本ではまだ実施されていない深度・種類のサービスも 登場しており、今後日本でもこのようなサービスが求められ てくるのでは…
  15. 15. Bonus Session
  16. 16. Social-engineer.com Christopher Hadnagy氏
  17. 17. Digital Penetration Test分野の話 • PowerShellを活用した攻撃が主流となりつつある。 • 最近のトレンドについては別の機会に • ペネトレーションテスト系の資格 • CEH (by EC-Council) • GIAC (by SANS) • OSCP (by Offensive Security)
  18. 18. Thank you !! Any Question ?? スライドは後日Slide Shareにアップロードします。 • メール scientia.admin@gmail.com • ブログ http://www.scientia-security.org/ • スライド https://www.slideshare.net/tomohisaishikawa

×