Industrial Control Systems 515

ICS515 PC設定詳細

重要！この説明書に従って設定されたノートPCを持参してください。
講義の全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく授業を受けることができない可能性が高いです。そのため、以下の条件をすべて満たすシステムを用意することを強くお勧めします。

授業の前にシステムをバックアップしてください。それよりも、機密データや重要なデータがないシステムを使用してください。SANSは、あなたのシステムやデータに対して責任を負いません。

必須 ICS515のシステムハードウェア要件

• CPU： 64ビット Intel i5/i7（第8世代以降）、またはAMD同等品。このクラスでは、x64ビット、2.0+ GHz以上のプロセッサーが必須です。
• CRITICAL（重要）： M1/M2プロセッサーを使用したApple社製システムは、必要な仮想化機能を実行できないため、このコースには一切使用できません。
• Intel-VTx」または「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定を行う必要があります。BIOSがパスワードで保護されている場合は、変更が必要な場合に備えて、BIOSにアクセスできることを絶対に確認してください。
• 8GB以上のRAMが必要です。
• 160GB以上のストレージの空き容量が必要です。
• USB 3.0 Type-Aポートが1つ以上必要です。新しいノートパソコンでは、Type-C to Type-Aアダプターが必要な場合があります。エンドポイントプロテクションソフトウェアによっては、USBデバイスの使用ができないものもありますので、授業前にUSBドライブでシステムをテストしてください。
• ワイヤレスネットワーク（802.11規格）が必要です。教室では有線インターネット接続はできません。

必須 ICS515のホスト構成とソフトウェア要件

• ホストOSは、Windows 10、Windows 11、またはmacOS 10.15.x以降の最新版である必要があります。
• 授業前にホストOSを完全にアップデートし、正しいドライバとパッチがインストールされていることを確認してください。
• Linuxホストは、多くのバリエーションがあるため、教室ではサポートされていません。Linuxをホストとして使用する場合、教材やVMと連動するように設定することは、各自の責任で行ってください。
• ローカルアドミニストレーターアクセスが必要です。(はい、これは絶対に必要です。IT チームにそうでないと言われないようにしてください)。もし、あなたの会社がコース期間中、このアクセスを許可しない場合は、別のノートパソコンを持参するよう手配する必要があります。
• ウイルス対策ソフトやエンドポイント保護ソフトが無効になっているか、完全に削除されているか、またはそのための管理者権限を持っていることを確認する必要があります。当社のコースの多くは、オペレーティングシステムへの完全な管理者権限を必要とするため、これらの製品によってラボの達成を妨げる可能性があります。
• 退出トラフィックのフィルタリングは、コースのラボを達成するのを妨げる可能性があります。ファイアウォールは無効にしておくか、無効化するための管理者権限が必要です。
• VMware Workstation Pro 16.2.X+ または VMware Player 16.2.X+（Windows 10ホスト用）、VMware Workstation Pro 17.0.0+ または VMware Player 17.0.0+（Windows 11ホスト用）、VMWare Fusion Pro 12.2+ または VMware Fusion Player 11.5+ （macOSホスト用） をクラス開始前にダウンロードしてインストールします。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料体験版をダウンロードすることができます。VMware社のウェブサイトからトライアルに登録すると、期間限定のシリアルナンバーが送られてきます。また、VMware Workstation Playerは、VMware Workstation Proよりも機能が少ないことに注意してください。Windowsのホストシステムを使用している場合は、よりシームレスな学生体験のために、Workstation Proをお勧めします。
• Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。最良の体験をするためには、VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要がある場合があります。Hyper-V、Device Guard、およびCredential Guardを無効にする手順は、コース教材に付属するセットアップ文書に記載されています。
• 7-Zip（Windowsホスト用）またはKeka（macOSホスト用）をダウンロードし、インストールします。これらのツールは、ダウンロードしたコース教材にも含まれています。

LiveOnlineでのコースメディアの事前準備、テキストについて

教材には、ライブ授業に参加する前、またはオンライン授業を開始する前に行うべき重要な手順が記載された「セットアップ手順書」が含まれています。これらの手順を完了するには、30分以上かかる場合があります。ノートパソコンの仕様についてさらにご質問がある場合は、laptop_prep@sans.org までご連絡ください。

「ICS515：ICS アクティブディフェンスとインシデントレスポンス」は、ICSのサイバー攻撃をひもといて、アクティブディフェンスという考え方を採用することで、あなたのICSに対する脅威を特定し、対応を支援できるようになることを目指しています。また、インシデントレスポンスの手順により、安全で信頼性の高い運用が可能になるでしょう。

本コースでは、ネットワーク化された産業制御システム（ICS）環境の理解から、システムに対する脅威の監視、特定された脅威へのインシデントレスポンス、および攻撃者と対峙可能なネットワークセキュリティの強化につなげていくようになっています。このアプローチは、STUXNET、HAVEX、BLACKENERGY2、CRASHOVERRIDE、TRISIS/TRITON、ランサムウェアなどのマルウェアで見られるような高度な脅威に対抗するために重要です。さらに、この取り組みは、現代の複雑なオートメーション環境を理解し、運用し、ネットワーク上に現れる非サイバー関連事象の根本原因分析を達成するためにも重要です。このコースは、ICSサイバーセキュリティプログラムに必要なコアスキルを習得することができます。

このコースでは、脅威の検出と対応を高度にシミュレートするために、ICSレンジと機器からの多数の技術データセット、模擬攻撃、レンジに展開された実世界のマルウェアを使用した実践的なアプローチを採用しています。また、プログラマブルロジックコントローラ（PLC）、発電・送電・配電レベルの電力システム運用をエミュレートする物理キット、ヒューマンマシンインターフェース（HMI）およびエンジニアリングワークステーション（EWS）として設定された仮想マシンを操作・管理することもあります。

学生はコースの約半分を費やし、25以上の技術演習と終日の技術キャップストーンを通し、実技を行います。ICSサイバーセキュリティ戦略の定義、脅威インテリジェンスの活用、ネットワークセキュリティ監視、インシデントレスポンスについて、実践的かつ技術的に理解することができるようになります。ICSサイバーキルチェーン、コレクションマネジメントフレームワーク、アクティブサイバーディフェンスサイクルなどのフレームワークを学び、授業後に活用できる再現性の高いフレームワークとモデルを身につけます。

主な内容：

• セキュリティ運用に注力したインシデントレスポンスを実施し、運用の安全性と信頼を優先させる方法。
• 環境を維持するために必要な、脅威情報の生成プロセス、コミュニティからの入手方法や活用方法。ICS脅威情報の詳細な分析と適用を定期的に行うスキル。
• 資産とそのネットワークトポロジを特定する方法、および注目すべきICSでの異常や脅威を監視する方法。ICSネットワークセキュリティ監視などの方法論と制御システムの脅威環境を低減するための方法。
• 素早く環境の特定をするために必要な、重視すべき情報と脅威の根本原因の理解につながるマルウェアの分析方法
• 攻撃を受ける中で、運用チームや意思決定者に対して、稼動停止をするか否かの指示を行うために必要な情報の取得方法。
• アクティブディフェンスと防護を目的とした、複数のセキュリティ施策の相互連携方法。テクニカルコンセプトとハンズオンの二つで補強します。

本講座受講にあたっての前提

ITまたはICSの経験がある方のほか、SANSのICS410、ICS456、SEC401またはそれらと同等のサイバーセキュリティに関する経験をお持ちの方。ICSに関する経験は必須ではありませんが、SCADA、DCS、PLC、RTUなどのICS用語やOT環境におけるリスク分解と緩和アプローチに関する理解があることをお勧めします。

• ICSインシデントレスポンスチームのリーダーまたはメンバーで、ICSを安全に運用するために必要な、高度な脅威に対応する方法に学びたいと考えている方。
• ICSや運用、およびセキュリティプロフェッショナルで、ICSアクティブディフェンスを活用し、ネットワークセキュリティ監視や脅威情報の取組みについて学びたい方
• ITセキュリティプロフェッショナルで、ICSプロトコル、脅威、優先順位など、ICS分野の知識を伸ばしたい方
• SOCチームやアナリストで、ICS SOCやデュアルIT/OT SOCにおいて、OTネットワークやICS資産を関する方法を学びたい方
• ICSレッドチームとペネトレーションテスターの方で、最新の防御戦略のなかで、　最大限のパフォーマンスを発揮し、ICSネットワークの改善ポイントを見出したい方
• アクティブディフェンスを担当する方で、自ら高度な標的型攻撃を特定し、対応する方法を学びたい方

• ネットワークにおける高度な脅威を特定するうえで、必要なネットワークの基本情報を得ることを目的としたICSネットワークの検査、資産情報やそのデータフローを特定します。
• アクティブディフェンスのコンセプトを活用し、脅威情報の使いかたやネットワークセキュリティ監視、マルウェア分析など、ICS防御に焦点を定めたインシデントレスポンスの進め方を理解します。

•  ICS515 Student Kitを使用した独自PLCの作成をします。

• STUXNET、HAVEX、BLACKENERGY2、CRASHOVERRIDE、TRISIS/TRITON、EKANSなどのICS標的型脅威とマルウェアに関する深い知識を得ることができます。
• Shodan、Wireshark、Zeek、Suricata、Volatility、FTK Imager、PDF アナライザ、PLC プログラミングソフトウェアなどの技術ツールの利用
• YARAでIOC(indicators of compromise)を作成する。
• Sliding Scale of Cybersecurity、Active Cyber Defense Cycle、Collection Management Framework、ICS Cyber Kill Chain などのモデルを利用して、脅威から情報を抽出し、ICS ネットワークセキュリティの長期的成功を促進するために利用することができる。

ハンズオン

• ICS515 Student Kitを用いたPLCの構築。
• Shodanを用いた資産情報の確認。
• 競合仮説分析
• 脅威情報レポートの取り込み
• ラボのネットワーク上でadvanced persistent threat （APT）の影響を受けたHuman Machine Interface（HMI）にインシデントレスポンダーを誘導するための新しいアクティブ・ディフェンス・スキルの確認
• ネットワーク上で確認されたAPTマルウェアの影響を受けているシステムを特定し、分析可能な脅威のサンプルを収集
• 感染したHMIと特定されたAPTマルウェアのサンプルから、マルウェアを分析し、情報を抽出し、アクティブディフェンスを完成させるためのYARAルールを作成
• SANS ICS515 Student Kitに侵入して収集したライブデータ、およびマルウェアに感染した分散制御システム（DCS）から収集したデータを含む、3種類の実地シナリオに対応します。