ニュースレター登録
資料ダウンロード
お問い合わせ

Industrial Control Systems 515

ICS Active Defense and Incident Response

Industrial Control Systems Security

English
日程

2021年6月28日(月)~7月2日(金)

期間
5日間
講義時間

1日目:8:30 ~ 17:00

2日目~6日目:9:00 ~ 17:00

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GRID
講師
Kai Thomsen|カイ トムセン
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
30 Points
受講料

840,000円(税込 924,000円)

申込締切日
2021年6月18日(金)
オプション
  • GIAC試験 価格:105,000円(税込 115,500円)

※上記試験費用は講義と同時お申し込み時のみ有効です。講義申込み完了後から講義開始までの間に追加でお申し込みいただく際には別途、事務手数料(10,000円(税込 11,000円))が発生します。また講義開始後のお申し込みについてはこちらのページ(英語)を参照のうえ、SANS/GIACへ直接お申込みください。

  • OnDemand 価格:105,000円(税込 115,500円)
  • NetWars Continuous 価格:190,000円(税込 209,000円)

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

ICS515 PC設定詳細

本コースは、講義と演習を行います。ラボセッションでは、インストラクターが提示する環境を使って、コース全体を通して習得した知識を駆使して実践的に学んでいただきます。受講生ご自身にツールをインストールして設定を行っていただき、実際に使用することで、今まで学んできた技術を演習によって確認することができます。

重要:以下の環境のノートPCをご持参下さい。
コース開始前の事前準備として、5つのことをお願いしています。早めの準備をすることで、トレーニングを最大限に活用することができます。まず、適切に設定されたノートPCの持参をお願いいたします。この資料では、クラスに必要なシステムのハードウェアとソフトウェアの設定について詳しく説明しています。また、準備に関してのビデオをhttps://sansurl.com/sans-setup-videosから閲覧することができます。

講義の全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく授業を受けることができない可能性が高いです。そのため、以下の条件をすべて満たすシステムを用意することを強くお勧めします。

注意:実習のためのツール類をインストールすることによって、一部システムの動作に支障をきたす可能性があります。SANSではデータの破損や読み書きに関して責任をとることはできませんので、重要なデータが格納されているノートPCでの実習はお控えください。

注意:受講生は、OSおよびすべてのインストールされているセキュリティソフトウェアへアクセスするための管理者権限が必要になります。ラボでの演習を行うために、パーソナルファイアウォールとその他のホスト型のセキュリティソフトウェアの設定を変更する必要があります。

ノートパソコンのハードウェア要件、ソフトウエア要件

  • 64ビット環境のシステムであること
  • ホストまたは仮想化により最新バージョンのWindowsを動かせること
  • 最低でも2つのUSBポートがあること
  • VMware Workstation Pro 15.5VMware Workstation Player 15.5VMware Fusion 11.5 以上のバージョンのインストール。
  • ファイアウォールやウイルス対策ソフトを含む全てのセキュリティソフトウエアの機能を無効化できること。
  • 最低でも100GB以上のストレージ空き領域があること
  • 最低でも8GB以上(8GBを推奨)のメモリを搭載していること
  • ホストOSに対するローカル管理者権限や、BIOS設定の変更可能な権限を有していること
  • 無線ネットワーク接続ができること(802.11 B/G/N/ACのいずれか)

    ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。

LiveOnlineでのコースメディアの事前準備、テキストについて

コースのメディアがダウンロード版で配信されるようになりました。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。

SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。セカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

ICS515 コース概要

「ICS515:ICS アクティブディフェンスとインシデントレスポンス」は、ICSのサイバー攻撃をひもといて、アクティブディフェンスという考え方を採用することで、あなたのICSに対する脅威を特定し、対応を支援できるようになることを目指しています。また、インシデントレスポンスの手順により、安全で信頼性の高い運用が可能になるでしょう。

本コースでは、ネットワーク化された産業制御システム(ICS)環境の理解から、システムに対する脅威の監視、特定された脅威へのインシデントレスポンス、および攻撃者と対峙可能なネットワークセキュリティの強化につなげていくようになっています。また、ネットワークの監視プロセスや対応、脅威からの学習こそがアクティブディフェンスであり、これはStuxnet、HavexCRASHOVERRIDETRISISなどに代表される高度な攻撃から、皆様のICSが標的となった場合、防御するために必要なアプローチとなるでしょう。受講生がこのコースを終了すると、現実的なマルウェアによるICSへの攻撃についてハンズオンを通じた体験から、ICSに対する標的型攻撃を識別する能力を習得し、攻撃者に対応することが可能になります。脅威情報の確認やネットワークセキュリティ監視、マルウェア分析、インシデントレスポンスといったアクティブディフェンスコンセプトを用いて、実践的かつ技術的な理解をすることで、安全で信頼性の高いICSの運用が可能になるでしょう。本コースで紹介する戦略とテクニカルスキルは、ICS組織において実行可能な防御の基礎となるものです。

主な内容:

  • セキュリティ運用に注力したインシデントレスポンスを実施し、運用の安全性と信頼を優先させる方法。
  • 環境を維持するために必要な、脅威情報の生成プロセス、コミュニティからの入手方法や活用方法。ICS脅威情報の詳細な分析と適用を定期的に行うスキル。
  • 資産とそのネットワークトポロジを特定する方法、および注目すべきICSでの異常や脅威を監視する方法。ICSネットワークセキュリティ監視などの方法論と制御システムの脅威環境を低減するための方法。
  • 素早く環境の特定をするために必要な、重視すべき情報と脅威の根本原因の理解につながるマルウェアの分析方法
  • 攻撃を受ける中で、運用チームや意思決定者に対して、稼動停止をするか否かの指示を行うために必要な情報の取得方法。
  • アクティブディフェンスと防護を目的とした、複数のセキュリティ施策の相互連携方法。テクニカルコンセプトとハンズオンの二つで補強します。

本講座受講にあたっての前提

ITまたはICSの経験がある方のほか、SANSのICS410、SEC401またはそれらと同等のサイバーセキュリティに関する経験をお持ちの方。ICSに関する経験は必須ではありませんが、SCADA、DCS、PLC、RTUなどのICS用語やOT環境におけるリスク分解と緩和アプローチに関する理解があることをお勧めします。
以下のコースの受講経験者
・ICS410
・SEC401
コース前提として、ICS410、SEC401、あるいは同等のスキルを持っていること。

本コースを受講後にお勧めのコース:FOR578、FOR572、FOR508、FOR610、SEC511

受講対象者

  • ICSインシデントレスポンスチームのリーダーまたはメンバーで、ICSを安全に運用するために必要な、高度な脅威に対応する方法に学びたいと考えている方。
  • ICSや運用、およびセキュリティプロフェッショナルで、ICSアクティブディフェンスを活用し、ネットワークセキュリティ監視や脅威情報の取組みについて学びたい方
  • ITセキュリティプロフェッショナルで、ICSプロトコル、脅威、優先順位など、ICS分野の知識を伸ばしたい方
  • SOCチームやアナリストで、ICS SOCやデュアルIT/OT SOCにおいて、OTネットワークやICS資産を関する方法を学びたい方
  • ICSレッドチームとペネトレーションテスターの方で、最新の防御戦略のなかで、 最大限のパフォーマンスを発揮し、ICSネットワークの改善ポイントを見出したい方
  • アクティブディフェンスを担当する方で、自ら高度な標的型攻撃を特定し、対応する方法を学びたい方

※ICS515は、GIAC(GRID)認定試験対象コースです。

受講内容の一例

  • ネットワークにおける高度な脅威を特定するうえで、必要なネットワークの基本情報を得ることを目的としたICSネットワークの検査、資産情報やそのデータフローを特定します。
  • アクティブディフェンスのコンセプトを活用し、脅威情報の使いかたやネットワークセキュリティ監視、マルウェア分析など、ICS防御に焦点を定めたインシデントレスポンスの進め方を理解します。
  • CYBATIworksキットなどを使用した独自PLCの作成をします。
  • Havex、BlackEnergy2、Stuxnetなどを含むハンズオン経験をもとに、脅威を理解する分析について理解します。
  • Shodan、Security Onion、TCPDump、Netowork-Miner、Foremost、Wireshark、Snort、Bro、SGUIL、ELSA、Volatility、Redline、FTK Imager、PDFアナライザ、マルウェアサンドボックスなどもハンズオンで使用します。
  • OpenIOCとYARAを使用したIOCの作成を行うと共に、STIXやTAXIIなどの共有情報を理解します。
  • Sliding Scale of Cybersecurity、Active Cyber Defense Cycle、ICS Cyber Kill Chainを活用した、脅威情報からの情報抽出とICSネットワークセキュリティに対して長期的な成功を収めるための推奨事項を理解します。

ハンズオン

  • CYBATIworksキットを用いたPLCの構築。
  • Shodanを用いた資産情報の確認。
  • 競合仮説分析
  • 脅威情報レポートの取り込み
  • ラボのネットワーク上でadvanced persistent threat (APT)の影響を受けたHuman Machine Interface(HMI)にインシデントレスポンダーを誘導するための新しいアクティブ・ディフェンス・スキルの確認
  • ネットワーク上で確認されたAPTマルウェアの影響を受けているシステムを特定し、分析可能な脅威のサンプルを収集
  • 感染したHMIと特定されたAPTマルウェアのサンプルから、マルウェアを分析し、情報を抽出し、アクティブディフェンスを完成させるためのYARAルールを作成
  • 2種類のシナリオに基づくハンズオンの実施。
     1.SANS Cyber Cityへの侵入から得られたデータの分析
     2.マルウェア感染したDCSから得られたデータ分析

 

コース開発者より

本コースは、米国の情報機関や制御システム関連のコミュニティが、産業制御システムを部隊として高度な攻撃者と対峙する時の一助になるように、私の実体験を元に発展させたものです。この講習は、攻撃者と敵と対峙しなければならなかった当時に、自分が受講したいと思える作りになっています。そのため、本講習のコンテンツはあなた方が判別済みの脅威と直面した際に、セキュリティレベルと信頼性のある運用を維持するために必要な事柄から構成されています。ICS515は実行可能な防御方法としてあなた方の強力な後押しになるはずです!
- Robert M. Lee

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5

Threat Intelligence

Industrial control systemICS)のセキュリティ専門家は、内部および外部の脅威インテリジェンスを活用して、脅威を批判的に分析し、indicators of compromiseIOC)を作成し、tactics, techniques, and proceduresTTP)を文書化し、環境中の脅威を発見できるようにセキュリティチームをけん引しなければなりません。このコースの初日では、脅威情報の生成方法、レポートを批判的分析する方法、アクティブディフェンス機能の基本的な考え方を学びます。職業や役割を問わず、日々の業務に役立つスキルを学ぶことで、より優れた分析者、批判的思考者になることができます。PLCProgrammable Logic Controller)の構築、Shodanを使った資産に関する情報特定、競合仮説分析、攻撃空間の視覚化、脅威情報レポートの取り込みの5つのラボを実践します。

 

演習

  • Programmable Logic Controllerの構築
  • 競合仮説分析
  • ICS 情報攻撃空間
  • ICS 情報攻撃空間の特定
  • 脅威情報レポートの批判的評価の実施

トピック

  • ケーススタディ:STUXNET
  • ICSアクティブディフェンスとインシデントレスポンス
  • インテリジェンスのライフサイクルと脅威情報
  • ICSサイバーキルチェーン
  • Threat Landscapeの特定と削減
  • ICS脅威情報の共有と活用

Asset Identification and Network Security Monitoring

自分が知らない・認識できていないようなことを、何かから防御するのは非常に困難が伴います。だからこそ、ネットワーク環境を理解することは、自身のネットワークを守るために必要不可欠なことなのです。2日目は、Wireshark、TCPDump、ELSA、CyberLens、Bro、NetworkMiner、Snortといった多数のツールを用いて、インシデントレスポンスの手順を進めていくのに必要な、ICSネットワークでのデータ収集、脅威検知、脅威分析をお伝えします。受講生は、ラボネットワークとそこに存在するAPTについても紹介されることになるでしょう。習得した防御スキルを用いて、そこに存在する脅威を検知・特定した上で、分析により影響を受けたマンマシンインターフェース(HMI:Human Machine Interface)に対するインシデントレスポンスをリードしていきます。 

演習

  • ICS資産の発見
  • ICSネットワークの可視化
  • 正しいデータの収集
  • 悪意のある活動の検出
  • 異常の分析

トピック

  • ケーススタディ:HAVEX
  • ICS視線とネットワークの可視化
  • ICS ネットワーク監視 – 収集
  • ICS ネットワーク監視 – 検知
  • ICS ネットワーク監視 – 分析

Incident Response

ICSレスポンスを適切に準備し、実践可能な能力を備えるのは、安全かつ信頼できる制御システムを運営するうえで必要不可欠です。ICSインシデントレスポンスは、ICSのアクティブディフェンスを実践するうえでコアとなるコンセプトであり、アナリストは環境における運用上の脅威と影響を勘案しつつ、安全にデジタルエビデンスを取得する必要があります。ICSインシデントレスポンスは、まだまだ未成熟な分野ですが、効果的な戦略とツールを使用して、フォレンジックに必要なデータを収集かつ保全する術を学習します。受講生は、これらの収集したデータを利用して適宜フォレンジック分析を実施し、IOCを作成していきます。前章のラボでは、ネットワークにAPTマルウェアが検出されましたが、本章でのラボは、どのシステムが影響を受けたかを特定し、分析可能な脅威サンプルを収集することに注力していただきます。

演習

  • 運用環境の獲得
  • インシデントレスポンスにおけるネットワーク分析
  • メモリフォレンジック
  • インシデントレスポンスの探求
  • 活動中の侵入指標

トピック

  • ケーススタディ:German Steelworks Attack
  • インシデントレスポンスとデジタルフォレンジックの概要
  • 証拠取得
  • ICSネットワーク上でのフォレンジックデータの情報ソース
  • メモリフォレンジックと能力の確認
  • 統合されたタイムリーな分析

Threat and Environment Manipulation

脅威に対する理解は、ICSに影響を及ぼす能力や、可能性を探索するうえで最も重要な要素です。例えば、マルウェア分析などのプロセスから導き出される情報は、環境に対する脅威を低減させる目的でシステムに対して変更を行う際、たいへん重要な判断材料となります。従って、積極的なICS防御を行っていくためには、内部データの収集が脅威情報の作成と共有には必要不可欠になるのです。本セクションでは、例としてスピア型シッシングメール攻撃の初期攻撃ベクターの分析方法、タイムリーなマルウェア分析テクニック、メモリイメージの分析、そしてYARAを用いたIndicators of Compromise(IOC=攻撃の痕跡)情報の作成について学習します。前章のラボでは、影響をうけたHMIの特定を行い、APTマルウェアのサンプル収集に成功しました。本章では、クラスで紹介されたアクティブディフェンスモデルと運用メンテを完全なものにするため、マルウェア分析や情報の抽出、そしてYARAルールの作成を通じてアクティブディフェンスモデルを完全なものにし、運用を維持することを考えていただきます。

演習

  • 初期攻撃ベクターの分析とスピア型シッシングメール攻撃
  • タイムリーなマルウェア分析
  • YARA開発

トピック

  • ケーススタディ:BlackEnergy2
  • ICS脅威に対する環境操作のゴールと考慮事項
  • 獲得した証拠の分析
  • ケーススタディ:Ukraine Power Grid Attack, 2015
  • マルウェア解析の方法論
  • ケーススタディ:CRASHOVERRIDE
  • 知識の文書化
  • ケーススタディ:TRISIS

Active Defense and Incident Response Challenge

この章では、これまでの4章で紹介した戦略、方法論、スキルセット、ツールに関して、さらに理解を深めていただくため、2つのシナリオに基づいたハンズオンに終日取り組んでいただきます。ひとつ目のシナリオは、SANS Cyber Cityに対する侵入で収集したデータについて。二つ目のシナリオは、Distributed Control System (DCS=分散制御システム) がマルウェアに感染したケースです。この章ではICSアクティブディフェンスとインシデントレスポンススキルを最大限活用し、自分自身に対してチャレンジしてみてください。

演習

シナリオ1
SANS Cyber Cityへの侵入で得たパケットキャプチャとシステムイメージを提供します。アクティブディフェンスを活用して、侵入を許した原因などの特定と対応を行ってください。
  • ICSネットワークの資産特定とシステムマップの作成
  • 異常検知のためのICSネットワークセキュリティ監視の実施
  • SANS Cyber Cityのデータファイルに対するインシデントレスポンス手順の実行
  • 攻撃実行能力の分析と、内部または外部脅威の有無を特定
シナリオ2
DCS環境への侵入で得たパケットキャプチャとシステムイメージを提供します。アクティブディフェンスを活用して、侵入を許した原因などの特定と対応を行うと同時に、現実のマルウェアとその被害が環境に及ぼす影響を理解してください。
  • DCSにおけるソフトウェアの特定と現状把握
  • ICSアクティブディフェンスを活用したマルウェア特定
  • 運用に対する影響度合いの把握と緩和策の決定

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。