NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
ICS Visibility, Detection, and Response
Industrial Control Systems Security
English2023年9月11日(月)~9月16日(土)
1日目:9:00 ~ 17:30
2日目~6日目:9:30 ~ 17:30
◆LiveOnline形式
オンライン
【早割価格】1,200,000円(税込:1,320,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
【通常価格】1,300,000円(税込:1,430,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。
※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要!この説明書に従って設定されたノートPCを持参してください。
講義の全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく授業を受けることができない可能性が高いです。そのため、以下の条件をすべて満たすシステムを用意することを強くお勧めします。
授業の前にシステムをバックアップしてください。それよりも、機密データや重要なデータがないシステムを使用してください。SANSは、あなたのシステムやデータに対して責任を負いません。
教材には、ライブ授業に参加する前、またはオンライン授業を開始する前に行うべき重要な手順が記載された「セットアップ手順書」が含まれています。これらの手順を完了するには、30分以上かかる場合があります。ノートパソコンの仕様についてさらにご質問がある場合は、laptop_prep@sans.org までご連絡ください。
「ICS515:ICS アクティブディフェンスとインシデントレスポンス」は、ICSのサイバー攻撃をひもといて、アクティブディフェンスという考え方を採用することで、あなたのICSに対する脅威を特定し、対応を支援できるようになることを目指しています。また、インシデントレスポンスの手順により、安全で信頼性の高い運用が可能になるでしょう。
本コースでは、ネットワーク化された産業制御システム(ICS)環境の理解から、システムに対する脅威の監視、特定された脅威へのインシデントレスポンス、および攻撃者と対峙可能なネットワークセキュリティの強化につなげていくようになっています。このアプローチは、STUXNET、HAVEX、BLACKENERGY2、CRASHOVERRIDE、TRISIS/TRITON、ランサムウェアなどのマルウェアで見られるような高度な脅威に対抗するために重要です。さらに、この取り組みは、現代の複雑なオートメーション環境を理解し、運用し、ネットワーク上に現れる非サイバー関連事象の根本原因分析を達成するためにも重要です。このコースは、ICSサイバーセキュリティプログラムに必要なコアスキルを習得することができます。
このコースでは、脅威の検出と対応を高度にシミュレートするために、ICSレンジと機器からの多数の技術データセット、模擬攻撃、レンジに展開された実世界のマルウェアを使用した実践的なアプローチを採用しています。また、プログラマブルロジックコントローラ(PLC)、発電・送電・配電レベルの電力システム運用をエミュレートする物理キット、ヒューマンマシンインターフェース(HMI)およびエンジニアリングワークステーション(EWS)として設定された仮想マシンを操作・管理することもあります。
学生はコースの約半分を費やし、25以上の技術演習と終日の技術キャップストーンを通し、実技を行います。ICSサイバーセキュリティ戦略の定義、脅威インテリジェンスの活用、ネットワークセキュリティ監視、インシデントレスポンスについて、実践的かつ技術的に理解することができるようになります。ICSサイバーキルチェーン、コレクションマネジメントフレームワーク、アクティブサイバーディフェンスサイクルなどのフレームワークを学び、授業後に活用できる再現性の高いフレームワークとモデルを身につけます。
主な内容:
ITまたはICSの経験がある方のほか、SANSのICS410、ICS456、SEC401またはそれらと同等のサイバーセキュリティに関する経験をお持ちの方。ICSに関する経験は必須ではありませんが、SCADA、DCS、PLC、RTUなどのICS用語やOT環境におけるリスク分解と緩和アプローチに関する理解があることをお勧めします。
ICS515 Student Kitを使用した独自PLCの作成をします。
本コースは、米国の情報機関や制御システム関連のコミュニティが、産業制御システムを部隊として高度な攻撃者と対峙する時の一助になるように、私の実体験を元に発展させたものです。この講習は、攻撃者と敵と対峙しなければならなかった当時に、自分が受講したいと思える作りになっています。そのため、本講習のコンテンツはあなた方が判別済みの脅威と直面した際に、セキュリティレベルと信頼性のある運用を維持するために必要な事柄から構成されています。ICS515は実行可能な防御方法としてあなた方の強力な後押しになるはずです!
- Robert M. Lee
自分が知らない・認識できていないようなことを、何かから防御するのは非常に困難が伴います。この日はまず、PLCを活用して電力系統の運用を行い、ICSの運用をより深く理解し、資産識別のどのような側面が運用に役立つかを学びます。学生は、パケットキャプチャ、ICSプロトコル、トポロジーを4つの実習で分析し、ネットワーク情報から何を抽出し、機器のメーカーやモデル、ファームウェア、シリアル番号、ポート、プロトコル、論理アドレス情報を含む資産目録を作成できるかを学びます。
この日は、コレクション管理フレームワークの概念を中心に、産業運用とセキュリティ運用の両方のニーズに合わせた収集と可視化の戦略を構築する方法を学びます。
脅威の検知は、標的型および非標的型のICSの脅威に直面したときに回復力を維持するための中核となるものです。このセクションでは、さまざまな種類の検知について学習し、ICS/OTネットワークの検知戦略を構築します。まず、脅威ハンティングとは何か、そしてICSを安全に利用するための方法について学びます。学生は、産業環境への攻撃の始まりを特定し、それを完了まで追跡するために、コースのICS範囲からネットワークキャプチャに一日を費やすことになります。5つの実習を通して、学生は侵入とICSサイバーキルチェーンのステージ1侵入の違いを識別することを学び、敵対者がコントローラのロジックを操作しようとしているステージ2侵入を調査します。
ICSレスポンスを適切に準備し、実践可能な能力を備えるのは、安全かつ信頼できる制御システムを運営するうえで必要不可欠です。ICSインシデントレスポンスは、ICSのアクティブディフェンスを実践するうえでコアとなるコンセプトであり、アナリストは環境における運用上の脅威と影響を勘案しつつ、安全にデジタルエビデンスを取得する必要があります。ICSインシデントレスポンスは、まだまだ未成熟な分野ですが、効果的な戦略とツールを使用して、フォレンジックに必要なデータを収集かつ保全する術を学習します。受講生は、これらの収集したデータを利用して適宜フォレンジック分析を実施し、IOCを作成していきます。このセクションの5つの実習では、データを安全に取得する方法、フィッシングメールなどの初期感染ベクターの分析、メモリフォレンジックの実行、操作されたPLCロジックの分析について学びます。
脅威に対する理解は、ICSに影響を及ぼす能力や、可能性を探索するうえで最も重要な要素です。例えば、マルウェア分析などのプロセスから導き出される情報は、環境に対する脅威を低減させる目的でシステムに対して変更を行う際、たいへん重要な判断材料となります。得られた情報は、ICSアクティブディフェンスに不可欠であり、脅威インテリジェンスを作成し共有するための内部データ収集が必要です。このセクションでは、学生はコースのシナリオを仕上げ、ICSネットワークにおける障害の根本原因を特定し、IOCのマルウェアに関するYARAルールを作成します。半日、学生は、教育的であるガイド付きのシナリオで自分のスキルを試すために、別の完全なシナリオでミニキャプストンを経験します。
根本原因解析のためのロジック分析
ICS515.6: Capstone Day, Under Attack!
概要
このセクションは、パケットキャプチャ、ロジック、メモリイメージなど、危険にさらされたICSレンジや機器からの課題をクリアしていく、1日がかりのテクニカルキャプストンです。これは、ICSとOTの実世界のシナリオに備える技術的な課題を解決することによって、可能な限り多くのポイントを獲得することを試みる、楽しくて教育的な体験を提供することを意図しています。