NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
ICS Active Defense and Incident Response
Industrial Control Systems Security
English2021年6月28日(月)~7月2日(金)
1日目:8:30 ~ 17:00
2日目~6日目:9:00 ~ 17:00
オンライン
840,000円(税込 924,000円)
※上記試験費用は講義と同時お申し込み時のみ有効です。講義申込み完了後から講義開始までの間に追加でお申し込みいただく際には別途、事務手数料(10,000円(税込 11,000円))が発生します。また講義開始後のお申し込みについてはこちらのページ(英語)を参照のうえ、SANS/GIACへ直接お申込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
本コースは、講義と演習を行います。ラボセッションでは、インストラクターが提示する環境を使って、コース全体を通して習得した知識を駆使して実践的に学んでいただきます。受講生ご自身にツールをインストールして設定を行っていただき、実際に使用することで、今まで学んできた技術を演習によって確認することができます。
重要:以下の環境のノートPCをご持参下さい。
コース開始前の事前準備として、5つのことをお願いしています。早めの準備をすることで、トレーニングを最大限に活用することができます。まず、適切に設定されたノートPCの持参をお願いいたします。この資料では、クラスに必要なシステムのハードウェアとソフトウェアの設定について詳しく説明しています。また、準備に関してのビデオをhttps://sansurl.com/sans-setup-videosから閲覧することができます。
講義の全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく授業を受けることができない可能性が高いです。そのため、以下の条件をすべて満たすシステムを用意することを強くお勧めします。
注意:実習のためのツール類をインストールすることによって、一部システムの動作に支障をきたす可能性があります。SANSではデータの破損や読み書きに関して責任をとることはできませんので、重要なデータが格納されているノートPCでの実習はお控えください。
注意:受講生は、OSおよびすべてのインストールされているセキュリティソフトウェアへアクセスするための管理者権限が必要になります。ラボでの演習を行うために、パーソナルファイアウォールとその他のホスト型のセキュリティソフトウェアの設定を変更する必要があります。
「ICS515:ICS アクティブディフェンスとインシデントレスポンス」は、ICSのサイバー攻撃をひもといて、アクティブディフェンスという考え方を採用することで、あなたのICSに対する脅威を特定し、対応を支援できるようになることを目指しています。また、インシデントレスポンスの手順により、安全で信頼性の高い運用が可能になるでしょう。
本コースでは、ネットワーク化された産業制御システム(ICS)環境の理解から、システムに対する脅威の監視、特定された脅威へのインシデントレスポンス、および攻撃者と対峙可能なネットワークセキュリティの強化につなげていくようになっています。また、ネットワークの監視プロセスや対応、脅威からの学習こそがアクティブディフェンスであり、これはStuxnet、Havex、CRASHOVERRIDE、TRISISなどに代表される高度な攻撃から、皆様のICSが標的となった場合、防御するために必要なアプローチとなるでしょう。受講生がこのコースを終了すると、現実的なマルウェアによるICSへの攻撃についてハンズオンを通じた体験から、ICSに対する標的型攻撃を識別する能力を習得し、攻撃者に対応することが可能になります。脅威情報の確認やネットワークセキュリティ監視、マルウェア分析、インシデントレスポンスといったアクティブディフェンスコンセプトを用いて、実践的かつ技術的な理解をすることで、安全で信頼性の高いICSの運用が可能になるでしょう。本コースで紹介する戦略とテクニカルスキルは、ICS組織において実行可能な防御の基礎となるものです。
主な内容:
ITまたはICSの経験がある方のほか、SANSのICS410、SEC401またはそれらと同等のサイバーセキュリティに関する経験をお持ちの方。ICSに関する経験は必須ではありませんが、SCADA、DCS、PLC、RTUなどのICS用語やOT環境におけるリスク分解と緩和アプローチに関する理解があることをお勧めします。
以下のコースの受講経験者
・ICS410
・SEC401
コース前提として、ICS410、SEC401、あるいは同等のスキルを持っていること。
本コースを受講後にお勧めのコース:FOR578、FOR572、FOR508、FOR610、SEC511
本コースは、米国の情報機関や制御システム関連のコミュニティが、産業制御システムを部隊として高度な攻撃者と対峙する時の一助になるように、私の実体験を元に発展させたものです。この講習は、攻撃者と敵と対峙しなければならなかった当時に、自分が受講したいと思える作りになっています。そのため、本講習のコンテンツはあなた方が判別済みの脅威と直面した際に、セキュリティレベルと信頼性のある運用を維持するために必要な事柄から構成されています。ICS515は実行可能な防御方法としてあなた方の強力な後押しになるはずです!
- Robert M. Lee
自分が知らない・認識できていないようなことを、何かから防御するのは非常に困難が伴います。だからこそ、ネットワーク環境を理解することは、自身のネットワークを守るために必要不可欠なことなのです。2日目は、Wireshark、TCPDump、ELSA、CyberLens、Bro、NetworkMiner、Snortといった多数のツールを用いて、インシデントレスポンスの手順を進めていくのに必要な、ICSネットワークでのデータ収集、脅威検知、脅威分析をお伝えします。受講生は、ラボネットワークとそこに存在するAPTについても紹介されることになるでしょう。習得した防御スキルを用いて、そこに存在する脅威を検知・特定した上で、分析により影響を受けたマンマシンインターフェース(HMI:Human Machine Interface)に対するインシデントレスポンスをリードしていきます。
ICSレスポンスを適切に準備し、実践可能な能力を備えるのは、安全かつ信頼できる制御システムを運営するうえで必要不可欠です。ICSインシデントレスポンスは、ICSのアクティブディフェンスを実践するうえでコアとなるコンセプトであり、アナリストは環境における運用上の脅威と影響を勘案しつつ、安全にデジタルエビデンスを取得する必要があります。ICSインシデントレスポンスは、まだまだ未成熟な分野ですが、効果的な戦略とツールを使用して、フォレンジックに必要なデータを収集かつ保全する術を学習します。受講生は、これらの収集したデータを利用して適宜フォレンジック分析を実施し、IOCを作成していきます。前章のラボでは、ネットワークにAPTマルウェアが検出されましたが、本章でのラボは、どのシステムが影響を受けたかを特定し、分析可能な脅威サンプルを収集することに注力していただきます。
脅威に対する理解は、ICSに影響を及ぼす能力や、可能性を探索するうえで最も重要な要素です。例えば、マルウェア分析などのプロセスから導き出される情報は、環境に対する脅威を低減させる目的でシステムに対して変更を行う際、たいへん重要な判断材料となります。従って、積極的なICS防御を行っていくためには、内部データの収集が脅威情報の作成と共有には必要不可欠になるのです。本セクションでは、例としてスピア型シッシングメール攻撃の初期攻撃ベクターの分析方法、タイムリーなマルウェア分析テクニック、メモリイメージの分析、そしてYARAを用いたIndicators of Compromise(IOC=攻撃の痕跡)情報の作成について学習します。前章のラボでは、影響をうけたHMIの特定を行い、APTマルウェアのサンプル収集に成功しました。本章では、クラスで紹介されたアクティブディフェンスモデルと運用メンテを完全なものにするため、マルウェア分析や情報の抽出、そしてYARAルールの作成を通じてアクティブディフェンスモデルを完全なものにし、運用を維持することを考えていただきます。
この章では、これまでの4章で紹介した戦略、方法論、スキルセット、ツールに関して、さらに理解を深めていただくため、2つのシナリオに基づいたハンズオンに終日取り組んでいただきます。ひとつ目のシナリオは、SANS Cyber Cityに対する侵入で収集したデータについて。二つ目のシナリオは、Distributed Control System (DCS=分散制御システム) がマルウェアに感染したケースです。この章ではICSアクティブディフェンスとインシデントレスポンススキルを最大限活用し、自分自身に対してチャレンジしてみてください。