ネットワーク診断の概要
概要
当研究所の「ネットワーク診断」は、インターネット経由または社内LANから診断対象となるお客様のネットワークにアクセスし、攻撃者の視点からネットワーク上に存在する各端末(ホスト/ノード)の脆弱性の発見および擬似侵入を行うことで、そのリスクレベルを判定します。単純なスキャニングツール、自動診断ツールや簡易的なペネトレーションテストとは異なり、当研究所独自のネットワーク診断の経験から生まれた最良の診断手法により、お客様のネットワーク・セキュリティの実態および脆弱点を的確かつ端的に指摘します。
特長
- 診断対象のセグメント上に存在する全てのホストを対象とし、ホスト間の信頼関係を検証
- インターネット・ダイヤルアップ/モデム回線・パートナーとの接続回線・ワイヤレスなど、外部からのあらゆる脅威に対応
- 管理者に検知されない方法で侵入開始、ドミノエフェクト[1]による侵入拡大
ネットワーク診断全体の流れ
診断前顧客ブリーフィング
診断工程の確認およびお客様と当研究所診断チームとの連絡・調整方法を確認するためのブリーフィングです。後述の攻撃・侵入フェーズの作業は、お客様ネットワークの異常検知機能をテストする作業ともなるため、診断チームの作業がお客様ネットワークで異常として検知された際に所定の手順や対応をとれるようにします。
診断フェーズ - 1 : 環境調査
環境診断フェーズ
診断は、お客様ネットワークへの接続ポイントの調査から始まります。
接続ポイント:
インターネット/パートナーとのプライベートネットワーク/ダイヤルアップ接続/無線LANアクセスポイント
これらのパブリックあるいはプライベート接続ポイントをお客様に全て把握していただくため、リストを提出します。
ネットワークインフォメーション
お客様ネットワークの情報収集が完了すると、診断は、次の診断フェーズへ移行します。診断フェーズの前に、ブリーフィングをさせていただく場合もあります。
環境調査後ブリーフィング
お客様ネットワークのトポロジや接続ポイントについて、お客様から頂いた書類の内容と、診断チームが実際に調査・発見した情報の内容が大きく異なった場合 (書類にはないホストあるいはダイヤルアップ接続ポイントが多数存在していた場合など)、ご担当者様とブリーフィングをさせていただきます。この調査結果を、診断後ブリーフィングを行う前にお客様にお知らせするためです。また、診断の作業範囲についてお客様に再確認を行います。
診断フェーズ - 2 : 診断
診断フェーズ
診断および後の攻撃・侵入フェーズは、外部と内部に分けて行います。外部診断では、お客様の環境への侵入を可能にする脆弱性の発見を重視します。内部診断では、認証済みユーザが権限を超えたアクセスを行うことを可能にする脆弱性にフォーカスします。両診断の関係は密接です。外部からのアタッカに侵入を許せば、このアタッカが内部の脆弱性を悪用することが可能になり、連鎖的に被害が拡大する 「ドミノエフェクト[1]」が発生する可能性があるからです。後の分析・対策フェーズでは、両診断の結果を組み合わせて、お客様環境の脆弱性を総合的に判断します。また、診断フェーズ終了までに診断チームがまとめるお客様環境の脆弱性情報は、報告書に付録として添付します。
ドミノエフェクトとは・・
「個人情報や知的財産などを保有する重要なシステムあるいはドメインとは一見無関係なネットワークノードを基点とし、そこから"ドミノ倒し"のように侵入を重ね、最終的に攻略目標のシステムやドメインに侵入を果たすハッキング手法あるいはそれを許してしまう複合的な脆弱性の悪用が可能な状況」
<この侵入では、たった1台のプリンタから全てを攻略!!>
- 某インフラ会社の業務系ネットワークでSNMPが活用されていたが、コミュニティ名は変更されていた
- しかし、ネットワークに接続されていたプリンタのアカウントにパスワードがなかった
- そのプリンタにSNMPが稼動しており、設定ファイルを閲覧し、コミュニティ名等の重要情報を取得
- 取得したSNMP情報を基に、シスコのルータへのログインを試みたところ、接続成功
- シスコルータの設定ファイルを閲覧し、アカウント名およびパスワードハッシュを取得
- パスワードを解析した後、DCに取得したアカウントでログインを試みたところ、成功
- DCの管理者権限でSAMを取得し、同時にドメインのホストからすべてSAMファイルを取得
- 業務系ネットワークのほぼすべてのホストを攻略
診断フェーズ - 3 : 攻撃・侵入
攻撃・侵入フェーズ
自動診断ツールのみでは不可能なレベルでの診断を行います。自動診断ツールは、脆弱性をリポートしますがそれが実際の脅威かどうか検証することはできません。また、多くの場合そのようなツールは TCP/IP のネットワークでしか有効ではありません。
攻撃・侵入フェーズでは、診断のエキスパートが手作業で診断を行います。内部ユーザによる不正アクセスや、インターネット、データネットワーク、ワイヤレスあるいはダイヤルアップ接続を利用した侵入を擬似的に行い、お客様ネットワーク内部および外部に潜む脆弱性の検証を行います。
擬似アタックにおいては、お客様ネットワークの侵入検知システム、ユーザおよびシステム管理者の方の異常検知能力をテストするため、「検知しにくい」技法から用い始め、「検知しやすい」技法に移行していきます。
診断のエキスパートが、調査で発見したお客様環境の情報と既知の脆弱性を組み合わせ、様々なシナリオのもとで擬似アタックを行い、お客様ネットワークが抱える真の脅威を顕在化します。
擬似アタックによる検証のマイルストーンは、お客様とご相談の上で決定します。通常は、実際にアタックを行わず、お客様のデータやサービスを妨害せずに脆弱性のリスクを検証します。ご要望に応じて、指定の標的システムをDoS状態にして検証とすることも可能です。この場合、お客様システム管理者と密に連携し、作業は夜間など指定の時間帯に行います。
診断フェーズ - 4 : 分析・対策
分析・対策フェーズ
これまでのフェーズを分析し、お客様のセキュリティ向上のための優先度別の推奨対策を提示します。特定の脆弱性、インセキュアなプラクティス、設定管理あるいはネットワークの設計などについての推奨対策を含んだ最終報告書をお届けします。報告項目については、下記の報告項目サンプルをご覧ください。
診断結果ブリーフィング
診断結果のキーポイントや擬似アタックに用いた手法についてのプレゼンテーションおよびセッション、そしてお客様と診断チームとのQ&Aセッションです。
報告項目とフォーマット
お客様環境やリソースおよび作業範囲に応じて異なりますが、報告項目のサンプルは以下の通りです。報告書は、印刷物および.pdf 電子ファイルでお客様にお届けします。
報告内容
報告書項目
エグゼクティブサマリ/診断対象/外部および内部脆弱性情報サマリ/診断手順/バックグラウンド/環境調査フェーズ/攻撃・侵入フェーズ/推奨対策案およびサマリ/ネットワークマッピング/脆弱性情報/ 推奨対策案/設定管理/ユーザ認証/パスワード管理/ネットワークの設計/DNSゾーン転送情報/ホスト対象ペネトレーションテストの結果/診断中に取得したアカウント情報/Windows NT/2000 特記情報/NFS 脆弱性情報/NetBIOS 脆弱性情報/ネットワークマップ等
ケーススタディ
サイトネットワーク別での診断パターン
ブランチLAN
- 規模:50台前後のPC、ルータ、ファイアウォール
- 診断日数:約1日〜2日
本社LAN
- 規模:複数の27ビットセグメントに存在するPC、1ルータ、ファイアウォール、DMZサーバ
- 診断日数:約3日〜1週間
大規模LAN
- 規模:複数の24ビットセグメントに存在するPC、ルータ、ファイアウォール、DMZサーバ複数のアクセスポイント
- 診断日数:約1週間〜
