対応を計画するには、システムが攻撃を受けた時点では遅すぎます。チームは直ちに行動を起こし、迅速に連携して対処する必要があります。各メンバーは各自の役割と、躊躇せずに取るべきアクションを把握している必要があります。
このような連携は偶発的に実現するわけではありません。安全な場所で、失敗を恐れることなく、現実世界のシナリオを使って何時間も訓練を重ねる必要があります。
実際の影響が発生しない環境で現実世界の攻撃シナリオを試すことにより、インシデント対応をリハーサルして調整できる仮想環境です。
ThreatSpace は、セキュリティ チームが現実世界のサイバー脅威に対応する際の技術的な能力、プロセス、手順を評価、開発できる、テクノロジーを活用したサイバーレンジです。
これは、実際の影響が発生しない環境で、ネットワーク セグメント、サーバー、アプリケーションを含むシミュレーション インフラストラクチャを使用して行われます。
受講生はエキスパートの講師からリアルタイムのコーチングを受けながら、シミュレーション攻撃を調査して対応します。お客様のチームは、チームの強みと弱みに関するフィードバックを受け、改善のための実践可能なベスト プラクティスのロードマップを入手します。
ギャップと改善の機会を特定する
現実世界の複雑なインシデントを調査し、トレーニング、プロセス、手順、コミュニケーション計画におけるギャップを洗い出します。
インシデント対応のエキスパートから学ぶ
長年にわたってインテリジェントに基づく調査の専門知識を培ってきた Mandiant の経験豊富なインシデント対応担当者と緊密に連携します。インシデント対応担当者が評価を実施し、リアルタイムのフィードバックとコーチングを提供します。
重大なセキュリティ インシデントを調査する
高度標的型攻撃(APT)に関する Mandiant の調査から得た、お客様の組織に関連する最新の攻撃シナリオと攻撃者の TTP を、対応チームとインテリジェンス チームに周知します。
さまざまな攻撃シナリオと脅威アクターへの対応を経験する
インシデント対応チームとインテリジェンス チームがさまざまな攻撃シナリオや脅威アクターにリアルタイムで対応する際の能力を評価し、能力の強化を図ります。
特定された脅威を調査、分析する
攻撃者の TTP を効果的に調査し、ホストベースおよびネットワーク ベースのアーティファクトからセキュリティ侵害インジケーターを特定する方法を学びます。
組織固有の目標を達成するためにカスタム シナリオが提供されます。以下に、よく行われる演習の例を示します。
インサイダー脅威による偵察
このシナリオでは、現在システムに存在している有効なユーザーによるインサイダー脅威をエミュレートします。このユーザーは初回のアクセスホストでリバース シェル セッションを開き、このセッションを利用してネットワーク全体に関する情報を検出します。
ビーコンのデプロイ
このシナリオでは、スピア フィッシングの添付ファイルを介してホストへのアクセスを乗っ取る攻撃者を模倣します。そのホストでバイパス セッションを開き、情報を収集して、ビーコンをデプロイします。
ランサムウェア
ドメイン ユーザーが不正使用され、これにより脅威がシステムにアクセスして横方向に移動し、内部偵察を行って永続性を確立できるようになります。最初の不正使用が成功すると、攻撃者はランサムウェアをデプロイし、複数のミッション クリティカルなシステムでマルウェアを実行します。
Active Directory 攻撃
脅威アクターはホストにアクセスして検出を開始してから、Kerberoast 攻撃とドメイン偵察を行います。その後、アクターはドメイン コントローラを侵害し、パスワードを流出させ、通常のビジネス オペレーションを中断させます。