自動ペネトレーションテストプラットフォーム
Pentera | PenTera
従来のホワイトハッカーが手動で行うマニュアルペンテストは高額な費用が発生するため、ごく限られた対象に対して年1回から多くても数回程度しか実施できないという問題がありました。しかしながら、IT環境はコロナウィルス感染拡大に伴うリモートワークの拡大や、クラウドサービスの利用に伴う構成の複雑化などにより、ハッカーにとってより攻撃しやすい状況に変わりつつあります。また、企業、組織のIT管理者にとってもこのような環境の複雑化とサービスの拡大に多くの予算と時間を奪われる状況となっており、セキュリティに対して十分な工数を割けないのが現状です。
「セキュリティ製品導入後の製品の有効性や投資対効果がわからない」
「日々発生する多くの脆弱性の対策優先度がわからない」
「ペネトレーションテストの実施による検証を行うも、診断機会が年に1度で有効性が薄い」 …など
セキュリティにおいて見えていないことによるリスクは非常に大きい上に可視化がされていないことによってそもそもこれらのリスクが認識自体されていない状況ではないでしょうか?
Pentera(ペンテラ)は外部と内部からにて、網羅的に疑似的な攻撃を実施することで、想定と現実とのセキュリティギャップを埋める自動セキュリティ検証プラットフォームです。
上記課題に対して、エージェントが不要な本当の意味での攻撃者視点での診断を自動化する事で、継続的な診断により製品を含めた、セキュリティ耐性や有効性を把握することができるようになりました。また、疑似的な攻撃による優先度付けにより、自社にとっての影響度の大きさを考慮した脆弱性対応で運用負荷を下げられるようになります。
Penteraを用いた実際のテスト範囲の設定から、テスト実行、権限奪取、レポート抽出までの流れをご覧ください。
ランサムウェア攻撃の無差別化が加速する状況で、電子メールへの添付ファイルを介在して感染を広げる「Emotet」やVPN機器のゼロデイ脆弱性など、侵入される機会が増す一方、「サイバー攻撃の被害に遭ったら」を疑似体験でき、コストをかけるべき重点施策の参考になるペネトレーションテストは、ゼロトラストによるセキュリティ構築を進めている状況でも非常に有効です。
従来、このようなペネトレーションテストツールは、高度な専門知識を持つセキュリティのプロフェッショナルが使用するもので、企業、組織などのIT管理者が容易に使用できる物ではありませんでした。
PenteraはIT管理者が使用する事を前提として開発されており、セキュリティについての基本的な知識を持っていれば、ペネトレーションテストの実施、問題点への対処が出来るよう設計されています。もちろん、セキュリティプロフェッショナルにとっても、手動では膨大な時間が掛かる検査が自動化される事で調査段階の工数を大幅に削減し、結果の分析や対処方法の調査に十分な時間を掛ける事が出来るようになります。
具体的には、以下のような特徴を持っています。
得られた結果を可視化し、また全体の状況を統合的に表示する事で、容易に状況を把握し、迅速な対処が出来るようになっています。
どの問題から対処すべきかについて、脆弱性の危険度についてはCVSSスコアなどの基準が存在しますが、これらの基準は汎用的なもので有り、その組織にとっての重要度、深刻度は加味されていません。
また、その脆弱性がハッカーにとって利用しやすく、実際の攻撃に多用されているといった実情も反映されていません。
Penteraでは通常セキュリティ分析の専門家が実施するような、様々な情報の分析を実施し、検査した環境において対処すべき事項を優先順位付けして提示します。
多くのマニュアルペネトレーションテスト支援ツールでは、検査結果は示してくれるものの、問題点への対処方法についてはユーザー自身で調査、検討する必要があるケースがほとんどでした。
Penteraでは多くの脆弱性/脅威について、対処方法を「処方箋」という形で以下のような内容をわかりやすく提示してくれます。
・どのような脅威であるのか
・考えられる被害
・対処方法
ペネトレーションテストツールの中には、*¹BAS (Breach and Attack Simulation)と呼ばれる物が存在します。
BASはシミュレーションのため検査対象に影響を与えないというメリットは存在するものの、検査対象の実際の挙動を見ているわけでは無く、また全ての挙動をシミュレートできるわけではないため、検査結果の精度という意味では本来のペネトレーションテストに及ばない事がほとんどです。
また、追加機能のランサムウェアエミュレーションでは単にランサムウェアを送り込んで暗号化を実施するだけでは無く、
実在する攻撃グループの攻撃をシュミレートしたシナリオによるランサムウェアによる攻撃フローを忠実に再現することができます。Penteraなら実際にハッカーが使用するテクニックを用いて検査対象に対して攻撃を実施することで、精度の高い検査結果を得る事が出来ます。
*¹BAS(Breach and Attack Simulation):検査対象から収集した情報を元に仮想的な攻撃シミュレーションを実施し、問題点を分析するもの
ペネトレーションテストを実施する上での懸念点としてよくあげられるのが、検査が与えるサービス、システム等への影響です。
Penteraは自動ペネトレーションテストツールとして、業務時間中でも定期的な検査を実施する事を想定し、サービス、システム等へ高負荷を与えたり、ダウンさせてしまうといった事が無いよう設計がなされています。
Penteraは実施した検査結果をアタックフローという形で視覚的にわかりやすいフローチャートとして表示します。
これによりユーザーは攻撃がどのような流れで行われたか、関連する脆弱性などは何かなどを容易に把握する事が出来ます。
また、アタックフロー上で問題点の対処をシミュレーションする事が可能で、特定の脆弱性などを対処した場合にそのアタックフローがどのように変化するのかを事前に予測する事が可能です。
必要に応じて重要な検査の前に、ユーザーに承認を求めるプロセスを含める事も可能ですが、Penteraは通常検査を開始したら終了まで全自動で検査が実施されます。これにより、スケジュール機能を利用して夜間や休日などにも検査を実施する事が可能になります。
ペネトレーションテストで発見された問題について、その全てを対処する事は現実的ではありません。よって、どの問題について対処すべきであるかという判断が必要となります。
Penteraでは通常ペンテスターが実施するような高度な分析を実施し、その環境で対処すべき問題点の優先順位を提示します。
これによりユーザーは容易に対処方針を決定できるようになります。
従来のマニュアルペンテストでは実際の検査から最終的な結果が出るまでに数週間~1ヶ月以上かかる事が一般的でした。
しかし、この期間の間にも検査対象の状況は変化し続けており、検査結果が出てから対処を開始した段階では、すでに適切な対応が出来ない状況となっている事がしばしば発生します。
Penteraは検査の開始からわずか数時間程度で結果を確認でき、実際の状況により即した対処を行う事が可能です。
Penteraは元イスラエル国防軍のエリートハッカー部隊出身者が立ち上げた会社であり、豊富な経験と高度な知識を有し、最新のハッキング技術にも精通しています。
Penteraにはそれらの技術が反映されており、また、独自の分析チームを持つ事で、影響度の大きい脆弱性等については最短1週間以内に対処できるような即応性も持ち合わせています。
Penteraは検査対象に影響を与えないよう注意深く設計されていますが、シミュレーションでは無く実際に攻撃を実施する関係上、検査対象にファイルやアカウントを作成するといった変更を加えます。そのため、Penteraは検査終了後にこれらのクリーンナップを実施し、検査前の状態に戻します。
マニュアルペネトレーションテストとの違いについてわかりやすくまとめてみました。
ピンチアウトで拡大
