ペネトレーションテスト
プロフェッショナルペネトレーションテスト
プロフェッショナルペネトレーションテストについて
本診断では、実際の攻撃シナリオに基づいて侵入可否を調査します。脆弱性診断の工程を使い攻撃可能な糸口を見つけ出した上で、疑似的な攻撃を行いながら侵入を試みます。攻撃シナリオを立てることで、より現実的な攻撃に対しての耐性を測ることが可能です。
ペネトレーションテストとは、実際の攻撃を想定した疑似攻撃を行いシステムに対して侵入を試みることで、脆弱性のチェックをはじめとしたセキュリティ耐性や、あるいは設計上の問題などをテストする手法のことです。
脆弱性診断の工程を使い攻撃可能な糸口を見つけ出した上で、疑似的な攻撃を行いながら侵入を試みます。攻撃シナリオを立てることで、より現実的な攻撃に対しての耐性を測ることが可能です。
脆弱性診断の実施範囲
- 情報収集
-
- オープンポートの確認
- システム情報収集
- 脆弱性の検証
-
- 既知の脆弱性の調査・検証
- システム情報収集
ペネトレーションテストの実施範囲
- 攻撃・侵入試行
-
- 既知の脆弱性を利用したシステムへの侵入
- パスワード攻撃による侵入試行
- ゼロデイ攻撃による侵入試行
- 権限昇格ドミノエフェクト
-
- 管理者権限への昇格
- 他システムへの侵入・影響調査
検査フロー
flow 01
初期調査
- 内部ネットワーク情報
- システム情報
- ユーザー情報等
flow 02
リモートアクセス
基盤の構築
基盤の構築
- 外部ネットワークへの接続(攻撃者サイト)
- リモートからのアクセス
flow 03
攻撃基盤構築
- 標的ネットワーク上に攻撃基盤を構築
- 各PCやサーバへの侵入
flow 04
侵入/権限昇格
- 他のPCやサーバ等に侵入
- 権限昇格
flow 05
目標達成
- 当該対象サーバへの侵入
- 当該対象サーバの情報漏洩
ペネトレーションテスト シナリオ例
お客様の実際の運用環境に合わせ、シナリオをチューニングし実施いたします。
