NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Advanced Incident Response, Threat Hunting, and Digital Forensics
Digital Forensics and Incident Response
English2021年7月5日(月)~7月10日(土)
1日目:8:30 ~ 17:00
2日目~6日目:9:00 ~ 17:00
オンライン
840,000円(税込 924,000円)
※オプション価格は、講義と同時にお申込いただく場合にのみ有効です。
※講義へのお申し込み後、講義開始までの間に追加でお申し込みいただく場合は、事務手数料(10,000円(税込 11,000円))が必要です。
※講義開始後は、こちらのページ(英語)を参照のうえ、GIACへ直接お申し込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCが必須です。下記要件を確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。
注意:実習のためのツール類をインストールすることによって、一部のシステムの動作に支障をきたす可能性があります。また、ネットワークへの接続を伴う実習内容があり、故意過失を問わず、自分のノートコンピュータのデータに他の受講生からアクセスされる可能性もあります。いずれの場合もSANSではデータの破損や読み書きに関して責任をとることはできませんので、重要なデータが格納されているノートPCでの実習はお控えください。
ホストOSは、VMware仮想化ソフトウェアを正常にインストールすることができるWindows、Mac OSX、Linuxのいずれかの64bit版を使用してください。Macの場合、Boot Campを使用して直接Windowsを動かすことをお勧めいたします。演習をするにあたり、VMware Fusionではいくつかの問題が見つかっています。
利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。VMwareはWindows、Linux用に、ご利用になるノートPCの環境が64bitのゲストOSを動作させることができるかどうか確認するフリーツールを提供しています。また、こちらのページで、CPUとOSが64bitをサポートしているか確認する方法が説明されていますので参考にしてください。Macユーザーの方は、サポートページをご確認ください。
事前にVMware製品をダウンロードしてインストールしてください。VMware Workstation 15.5、VMware Fusion 11.5、VMware Workstation Player 15.5以降のバージョンを選択します。
VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。
コースのメディアがダウンロード版で配信されるようになりました。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。
SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。セカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください。(英文)
あなたのネットワークには高度な脅威があります。ハンティングする時がきました!
本コースは、以下の項目を理解することに主眼が置かれています。
政府機関のエージェントから、あなたの組織の機密情報が標的型攻撃によって侵害されているという連絡を受けましたが、侵害を受けているという事実以外は聞き出すことができませんでした。あなたの組織はどうやら、新しいタイプの攻撃(APT)と呼ばれる危険にさらされているようです。
これは、システムやデータを守るためにあなたが直面する最も洗練された脅威であり、このような攻撃者は組織のネットワーク内に何か月も潜伏している可能性があります。上記は仮の話ではありますが、組織のネットワーク内に脅威が潜んでいる可能性は非常に高いです。組織は、セキュリティ上の予防措置がどれほど万全であっても、セキュリティ対策が完璧で侵入される可能性はないとは言い切ることはできません。多くのセキュリティと監視ツールを回避する方法を良く知っている攻撃者に対抗するには、予防システムだけの対策では十分ではありません。
重要なことは、攻撃者が目的を完了し組織に悪影響を与えた後ではなく、セキュリティシステムを通過する攻撃を常に監視して、進行中の侵入行為を捉えることです。このプロセスは、インシデントレスポンダでは脅威のハンティング(Threat hunting)として知られています。脅威のハンティングでは、既に知られている攻撃者の行動を使用して、新しいデータ侵害を特定するためにネットワークとエンドポイントを徹底的に調査します。
脅威のハンティングとインシデントレスポンスにおける戦術と手順は、ここ数年で急速に進化しました。組織のチームは、侵害されたシステムを適切に特定したり、効果的に封じ込めたりすることができず、最終的にはインシデントから迅速に復旧することができない、といった時代遅れのインシデントレスポンスと脅威のハンティングに関する技術を使う余裕はないでしょう。インシデントレスポンスと脅威のハンティングを行うチームは、現在や将来の侵入を検出するために使用する正確な脅威インテリジェンスを生成するために、マルウェアインジケータやアクティビティのパターンを特定し、観察することが重要です。
インシデントレスポンスと脅威のハンティングを徹底的に取り扱うこのコースでは、APTのような国家敵対者や犯罪組織、ハクティビズムなど、企業ネットワーク内の様々な脅威を捕捉、特定、対抗、復旧させる高度なスキルを提供します。本コースは継続的に更新され、精鋭のレスポンダやハンターが現実世界の犯罪に対して、正確に検知、対抗、対応するための、インシデントレスポンスと脅威のハンティングにおける戦術と技術をハンズオンにより提供しています。
このコースでは、現実世界でAPT攻撃により侵入された企業をベースにした演習を用いて、ネットワークをターゲットとするAPTグループの戦略に基づき、SIFTワークステーション上の多くのツールを使用して、課題の解決へと導きます。
侵入と脅威のハンティングの演習では、最初の標的型攻撃の発生場所と攻撃者が複数のシステムに侵入し、どのように横断し動いているかを特定します。これにより、重要なサイバー脅威情報を抽出して作成し、適切な脅威の範囲を特定して、将来の違反を検出するのに役立てることができます。
標的型攻撃では、組織は最高のインシデントレスポンスチームが必要です。本コースでは、組織への侵入やデータ侵害に対して、検出、範囲を特定し、停止できるように受講者を訓練します。
インシデントレスポンスチームを集結させ、ハンティングする時がきました!
本講座受講にあたっての前提
本コースは、コンピュータフォレンジックに関してある程度の知識・スキルをもった方向けのコースです。SANSでは、FOR500(Windows Forensic Analysis)とセットで受講することを前提に作っています。FOR500を先に受講することをお勧めしますが、順番が逆であってもあなたにとって有益な体験となるでしょう。
フェーズ 1 - 被害者ゼロに対しての妥協とマルウェア C2 ビーコンのインストール
フェーズ2 - 特権エスカレーション、他のシステムへのラテラルムーブメント、マルウェアユーティリティのダウンロード、追加ビーコンのインストール、ドメイン管理者の資格情報の取得
フェーズ 3 - 知的財産の検索、ネットワークプロファイリング、電子メールのダンプ、エンタープライズハッシュのダンプ
フェーズ 4 - 脱出するためのデータを収集し、ステージング システムにコピー。.rarと複雑なパスフレーズを使用してデータをアーカイブ。
フェーズ 5 - ステージング サーバーから .rar ファイルを削除し、ステージング サーバーでクリーンアップを実行。
Matt OlneyはAPTと先進的な高度な攻撃者達について、「彼らはあなたより賢く、彼らはあなたよりリソースがあり、そして彼らはあなたの近くにまで迫っている。だから本腰を入れて取り組まなければならないのだ」と述べています。これは、ジョークではありません。何年も前から、犯罪組織のハッカーや国に雇われたハッカーにより何度も犯罪が成功しています。APTにより何百もの組織が侵害されており、組織化された犯罪集団は、ボットネットを使用してACH(米国の小額自動振り込みシステム)に対する詐欺行為を毎日のように行っているばかりか、同じ様な集団が銀行や商社に侵入し、クレジットカード情報を日々盗んでいます。このような背景から、フォーチュン500に選ばれた企業では、年次株主報告書に、侵害され盗まれたデータを詳細に記載することを始めています。
敵は、より賢く、より大胆になっており、成功率は見事なほど高くなっているのです。
敵を食い止めることはできますが、それにはこの領域に長けた洗練されたインシデントレスポンダとデジタルフォレンジック調査員が必要です。APTを検知し、即座に根絶してしまうことが出来る腕利きのデジタルフォレンジックにおける達人を必要としています。訓練されたインシデントレスポンダでも出来るのは、侵害を放置したまま企業を守るぐらいです。本コースでは、このような先進的な攻撃に対抗できるフォレンジックの達人になるための特別な訓練を行います。敵は優秀ですが、それに勝る能力を手に入れることができるでしょう。本コースは、あなたが最高の人物になれるよう支援します。
- Rob Lee
私たちは、大規模で複雑なネットワークに蓄積された想像しがたいデータ量の世界と対峙しています。攻撃者は、この複雑さを利用して防御を切り崩して侵害してくるようになりました。この現状に対してインシデントレスポンスは曲がり角に差し掛かっているのです。古いモデルは、新たな攻撃に対応するため、防御側をより効果的かつ迅速にアップグレードしなければなりません。最も成功したインシデント対応チームは、日々対峙することでますます進化しています。新たなツールや技術が開発され、より良い可視性を提供し、ネットワークをより防御的にします。すると、成功事例はますます多くなり、組織は迅速に侵入を特定し、その問題を改善できるのです。
私は、皆さんをこれらのような成功に導くためにこのコースを作成しました。実務でもそうであるように、コースは継続的に更新されるので、最新の技術がコースにもたらされます。FOR508はインシデントレスポンスの分野だけでなく、すでにハントチームを率いている人にとって、他の経験者から学ぶことを容易にし、さらなるレベルに引き上げるために必要なスキルを支援します。
- Chad Tilbury-
あなたを標的にしている攻撃者に対して利点を得る方法があります。それは、正しい考えや何が効果的であるかを知ることから始まります。
この10年は、ネットワークディフェンダーにとって決して親切なものではありませんでした。現代の企業に対する脅威は無数にあり、攻撃者は企業ネットワークの計り知れない複雑さを利用して私たちを攻撃してきました。しかし、潮目は変わりつつあります。過去10年間で、組織に対する巧妙な攻撃が劇的に増加しています。中国やロシアのような国の諜報サービスに端を発した国家による攻撃は、しばしばAPT(Advanced Persistent Threat)と呼ばれていますが、これを抑制することは困難であることが判明しています。世界のあらゆる場所からの大規模な金融攻撃は、数十億ドルの損失をもたらしました。ランサムウェアによる財産強要は、ほぼ一夜にして実存する脅威となりました。私たちには不利な状況にありますが、一方で、最高のチームがこれらの脅威を管理し、軽減することが可能であることも証明しています。敵は優秀で、ますますスキルアップしています。私たちはどのように彼らに対抗するかを学習しているのでしょうか?はい、可能です。
このコースは、組織が侵入を検知して対応する能力を高めることを目的としています。これは達成可能な目標であり、ネットワーク内の悪を発見するために必要なツールとテクニックを教えることから始まります。このコースは、あなたとあなたの組織をソリューションの不可欠な一部にするように設計されています。インシデント対応者と脅威ハンターは、インシデントの迅速な修復という究極の目標を持って、高度な敵を特定し、追跡し、封じ込めるために、最新のツール、分析技術、および企業の方法論で武装していなければなりません。さらに、インシデントレスポンスと脅威ハンティングのアナリストは、企業内の何千ものシステムにまたがる可能性のある取り組みをスケールアップすることができなければなりません。1日目は、高度な脅威グループへのインシデントレスポンスに適用される6段階のインシデントレスポンス方法論を検討することから始めます。サイバー脅威インテリジェンスを開発して敵の「KillChain」に影響を与えることの重要性を解説し、フォレンジックの観点でのライブレスポンス技術と戦術が、単一システムにも企業全体にも適用できることを実証していきます。
攻撃を理解することは、攻撃を検知して軽減するためには非常に重要な事です。初日に攻撃者のテクニックの教育を開始し、一般的なマルウェアの特徴を学び、ネットワーク内での永続性を維持するために敵が使用するテクニックを深く掘り下げていきます。永続性は、攻撃サイクルの早い段階で完了し、ネットワークを監査して早期発見を達成するためのハンティング技術を学びます。Living off the land binaries(ほとんどの環境で利用可能なローカルツール)と、特にWMIベースの攻撃は、高度な敵の標準的な攻撃手順となっており、このような攻撃を大規模に識別するためのツールとテクニックを使って一日を終えます。
攻撃者はいい加減であり、どこにでも足跡を残します。最高のハンターの秘密を学んでください。
サイバーディフェンダーには、ネットワーク内の敵の活動を特定、捜索、追跡するためのさまざまなツール類が用意されています。各攻撃者の行動は対応するアーティファクトとして証跡(フットプリント)が残されており、予測可能な攻撃パターンに対して調査を集中することが各チームメンバーに求められます。。一例として、ある時点で、攻撃者はその目的を達成するためにコードを実行する必要があります。このアクティビティは、アプリケーション実行アーティファクトによって識別できます。攻撃者はコードを実行するために1つまたは複数のアカウントも必要となります。したがって、アカウント監査は悪意のある操作を識別する強力な手段となります。攻撃者はネットワーク全体に移動する手段も必要とするため、私たちはミッションのこの部分を達成するための比較的少数の方法によって残された証跡を探します。このセクションでは、一般的な攻撃者のスパイ活動の技術について説明し、エンタープライズ内の悪意のあるアクティビティを識別するために使用できる様々なデータソースとフォレンジックツールについて解説します。
メモリ分析を使うのは時にズルをしているように感じます - アクティブな攻撃を見つけるのは簡単ではありません。
メモリフォレンジックは、わずか数年の間に長い道のりを歩んできました。現在では、多くの高度なtool suitesの重要なコンポーネントとなっており、インシデントレスポンスや脅威ハンティングを成功させるチームの中心となっています。メモリフォレンジックは、標的型攻撃者が使用したワーム、Rootkit、PowerShell、および高度なマルウェアの証拠を見つけるのに非常に効果的です。実際、ファイルレス攻撃の中には、メモリ解析なしでは解明が不可能に近いものもあります。メモリ解析は従来、Windows内部に精通した専門家やリバースエンジニアの領域でしたが、新しいツール、技術、検出ヒューリスティックにより、今日ではすべての調査者、インシデントレスポンダー、および脅威ハンターが利用できるようになりました。さらに、メモリ内の攻撃パターンを理解することは、幅広いエンドポイント検知・レスポンス製品(EDR)に適用可能なコア・アナリストのスキルであり、これらのツールをさらに効果的なものとします。この非常に人気の高いセクションでは、活用可能な最も強力なメモリ解析機能の多くをカバーし、使用するツールセットにかかわらず、調査を超強化するための高度なメモリ・フォレンジック・スキルの確固たる基礎を提供します。
受講生は、F-Response Enterprise Editionの6ヶ月間のフルライセンスを受けることができ、ワークステーションまたはSIFTワークステーションを使用して、企業内の何百、何千ものシステムに接続し、アクションをスクリプト化することができます。この機能は、新しいインシデントレスポンスと脅威検知技術をベンチマーク・促進し、実証するために使われます。これにより、レスポンダは、メモリとディスク上の企業ネットワーク全体で侵害の指標を探すことができます。
タイムライン解析は、デジタルフォレンジック脅威のハンティング及びインシデントなどへの対応方法に変革をもたらします。
タイムライン解析を知れば、今までのデジタルフォレンジックとインシデントレスポンスのやり方が劇的に変わるでしょう。スパイ活動に対するタイムライン解析の先駆者から直接学ぶことで、その高度な解析技術を知ることができます。
一時データは、コンピュータシステムのありとあらゆる所に存在しています。ログファイル、ネットワークデータ、レジストリ、インターネット履歴ファイルなども、そのような一時ファイルの一例です。ファイルシステムにはMACタイム(モディファイ/アクセス/クリエイト)がその全てのデータに記録されており、それらを相関分析することで事件の究明に一歩近づくことができます。2001年にRob Leeがこの分析手法を開拓して以来、タイムライン解析は複雑な事件を解決する強力な調査手法として使用されてきました。新しいタイムライン解析のフレームワークでは、いくつもの時間ベースの解析を同時に処理することができます。これにより解析に費やす時間が1日から数分に短縮することができ、強力な調査手法としての立場を不動のものとしています。
このセクションでは、複雑なインシデントとフォレンジック事例においてタイムラインを作り、それぞれ解析する2つの手法について順に見ていきます。演習では、タイムラインの作成方法だけではなく、受講者が実際に経験した事例などを題材として、より効果的な分析につなげるための方法を紹介します。
先進的な攻撃は優れていますが、私たちはその上に立つ必要があります。
優秀な敵に対して、私達は彼らを上回る能力を身に付けなければなりません。
フォレンジック対策のステップの中には、比較的簡単に検知できるものもあれば、対応するのが難しいものもあります。そのため、フォレンジックの専門家やインシデントレスポンダは、重要な残存証拠として明らかにすることができるオペレーティング・システムとファイル・システムの様々な側面について知識を持っていることが重要です。このセクションでは、主にファイルシステムに焦点を当てて、調査に関係するファイル、ファイルの断片、およびファイルのメタデータを復元します。これらの痕跡は、削除されたログ、攻撃者のツール、マルウェアの構成情報、流出したデータなどを分析者が発見するのに役立ちます。これにより、攻撃者のTTPをより深く理解することができ、侵入を徹底的に調べ上げるためのより多くの脅威インテリジェンスが得られることがよくあります。場合によっては、これらのディープダイブのための技術が、攻撃者が対象のシステム上で活動していたことを証明する唯一の手段になることもあります。
APTのような攻撃のシミュレーションを行い、本コースで学んだデジタルフォレンジック、ネットワークフォレンジックなどの知識を総動員して学習成果を確認します。シミュレーション環境では、複数のWindowsで構成される企業環境を模したシステムが侵害されているという状況が付与されます。受講生は、最初にどのようにシステムが侵害されたかを検出し、続いて他のシステムへ侵入した形跡を見つけ、最終的にデータ抽出によって知的財産が盗まれたことを証明するという、実践形式の訓練を通じて、その能力を競います。このシナリオは、実際にAPT組織などによる先進的な攻撃への対応に取り組んできた経験を持つ人物によってまとめられたものです。
本チャレンジでは、チームに分かれてネットワーク内の複数システムを解析します。チャレンジの最中に、実際と同じく幾つかキーとなる質問に対して回答して頂きます。
ネットワーク全体にわたる攻撃者の行動を特定・追跡する方法を学び、初期搾取、偵察、永続性、クレデンシャルダンピング、ラテラルムーブメント、ドメイン管理者への昇格、データの窃盗/侵入を発見します。