デジタルフォレンジックやインシデントレスポンスの調査担当者は従来、Windowsマシンを扱ってきましたが、最新のApple Mac や iDevice を目の前にしたらどうなるでしょうか。Apple製デバイスの人気の高まりは、コーヒーショップから企業の役員室に至るまであらゆる場所で見られます。調査の担当者としてこれらのデバイスを扱うことはもはやニッチなスキルではありません - すべてのアナリストは、Appleデバイスを調査するために必要なコアスキルを持っている必要があります。
継続的に更新されてきている 「FOR 518:Mac and iOS Forensic Analysis and Incident Response」コースでは、MacまたはiOSの各対応項目に躊躇なく対応するために必要なテクニックとスキルを提供しています。このコースでは、徹底して実践的なフォレンジック分析とインシデント対応のスキルを習得することで、アナリストの能力を拡大し、MacやiOSデバイスを快適に分析するための自信と知識を得られます。このコースでは、侵入とインシデント対応のシナリオを提示し、Appleデバイスを侵害した攻撃者をアナリストが特定して追跡する方法を学ぶのに役立つこととなるでしょう。
「SANSは、今回も、この市場で最高の技術トレーニングを提供してくれました。サラは、包括的で首尾一貫した、やりがいのある、そして実に楽しい(和気あいあいというには言い過ぎか)コースを用意してくれました。FOR518は、私が望んでいたすべてであり、それ以上のものです。Impera Magis, Aliter Cogita "という言葉がいかに適切か、今になってわかった。このコースで成功したければ、コマンドラインを受け入れ、Windowsの知識はすべて捨てること。このコースを受講できることに興奮していますし、MacOSとiOSのフォレンジックが提供する無限のニュアンスにさらに深く飛び込むのが待ちきれません。」
macOSとiOSのフォレンジック分析とは?
MacOSとiOSのフォレンジック分析とは、Appleデバイスに保存されているデータの復元、分析、解釈です。
ビジネス上の利点
- コンピュータの不正使用、悪意のあるデバイスの侵入、企業スパイ、内部脅威、詐欺など、さまざまな犯罪を調査するための権限を従業員に与える。
- さまざまなAppleデータがどのように保存されているのか、また、高価な商用フォレンジックツールを必要とせずに、ツールにとらわれない方法で分析する方法を学ぶ。
- Appleのプラットフォーム(macOSとiOS)間で異なるフォレンジックアーティファクトとニュアンスを識別します。
- デバイスがどのように使用または悪用されたかを示すことができる、豊富なユーザー関連情報を理解する。
- Appleデバイスが関与する場合のフォレンジックとセキュリティ評価の実行と、他の業界標準のオペレーティングシステムとの違いを学ぶ。
習得スキル
- macOSとiOSデバイスのニュアンスの違いを理解する
- デバイス間でAppleマジックがどのように機能し、それが調査にどのように役立つかを理解する
- 各ファイルシステム・ドメインの重要性を判断し、データがどのように整理されているかを理解する
- データファイルとログ分析を関連付けることで、システムの時間的分析を実施する
- システムの使用頻度、よく使用するアプリケーション、個人的なシステムの好みなど、個人がどのようにシステムを使用したかをプロファイリングする。
- リモートまたはローカルのデータ・バックアップ、ディスク・イメージ、その他の接続デバイスの特定
- 暗号化されたコンテナやFileVaultボリュームの検索、キーチェーンデータの把握、Macパスワードの解読
- Spotlightデータベース、Time Machine、拡張属性におけるmacOSメタデータとその重要性を分析し理解する。
- Safariウェブブラウザ、Apple Mail、その他多くのアプリケーションの内部データベースを調べることで、その知識を深める。
- メッセージ、FaceTime、SSHリモートログイン、画面共有、AirDropを使った他のユーザーやシステムとのコミュニケーションを確認する
- Appleデバイスの侵入分析を行い、侵害やマルウェアの兆候を確認する。
ハンズオンmacOSおよびiOSフォレンジックトレーニング
FOR518のハンズオンはユニークで、特にデータを掘り下げるのが好きな方に適しています。実習は、Appleのデータがどのように保存され、高価な商用ユーティリティを使用せずにデータを解釈する方法を示すために作成されました。これらのラボでは、学生が授業のプレゼンテーションで示されるデータの実践的な視点を得ることができ、コースのデータセットにコンセプトを適用することができます。このコースのラボは、学習経験の主要な構成要素であり、学生は教室を出た後、様々な分析コースのトピックを適用する際の成功率を高めることができます。
「ラボは非常に正確で、授業中に学んだトピックに関連していました。とても面白く、興味深く、やりがいがありました。」
「演習は複雑でしたが、ウォークスルーや質問は簡単に消化できました!最近の授業では、複雑な実習が多く、間違いに簡単に気づくことができなかった。サラは、トラブルシューティングがとても簡単になるような言葉や質問を使いながら、そうでないとしても、同じくらい複雑なラボをデザインしてくれました。」
「コマンドラインツールを使うことが強く推奨されているのが気に入っている。どのベンダーのGUIにも反対はしませんが、サイバーセキュリティの仕事を始めてからの私の目標は、できるだけコマンドラインを使うことでした(実用的ではありませんが)。このコースはそのためのマスタークラスです。」
コーストピック
- 高度なコンピュータ・フォレンジック手法
- アップル固有の取得とライブレスポンスの収集
- ファイルシステムデータ分析
- メタデータ分析
- MacおよびiOSの主要ファイルの復元
- データベース分析
- ボリュームおよびディスクイメージ解析
- Time Machine、Spotlight、FileVaultを含むMacテクノロジーの分析
- AirTags、Apple Watch、FindMy、HomeKitなど、macOSおよびiOSと相互作用するAppleデバイスの分析
- 高度なログ解析と相関関係
- APFSファイルシステムの詳細な検証
