NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
Purple Team
English2021年6月28日(月)~7月3日(土)
1日目:8:30 ~ 17:00
2日目~6日目:9:00 ~ 17:00
オンライン
840,000円(税込 924,000円)
※上記試験費用は講義と同時お申し込み時のみ有効です。
※講義申込み完了後から講義開始までの間に追加でお申し込みいただく際には別途、事務手数料(10,000円(税込 11,000円))が発生します。
※また講義開始後のお申し込みについてはこちらのページ(英語)を参照のうえ、SANS/GIACへ直接お申込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要!以下の説明をお読みになった上で、ご自身のノートPCをお持ちください。 受講に必要なPC環境についてご確認ください。
本コースはSANSオンデマンドプラットフォームを活用するため、Webブラウザが必須となります。
演習を円滑に進めていただくため、受講生の方はシステムを事前に適切な状態にしていただく必要があります。コースが始まる前までに、以下の説明に目を通して設定変更などを済ませてからお持ちください。
OS:最新のパッチが適用された以下のOS。
ご自身の環境においてトラブルシュートを行う場合があるため、管理者権限の付与が必要です。
ブラウザ:最新のバッチが適用された以下のブラウザ。
ハードウェア:
セキュリティ事故を未然に防ぐため、予めご自身の端末から機微情報は削除してからご参加ください。SANS(NRIセキュアテクノロジーズ)はコース中に受講生の端末で発生したいかなる事故について責任を負いません。
コースのメディアがダウンロードで配信されるようになりました。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続の速度次第でダウンロードに要する時間はは大きく異なり、様々な要因に左右されるため、教材のダウンロードにかかる時間を正確に見積もることはできません。リンクを取得したら、すぐにコースメディアのダウンロードを開始してください。コースメディアは授業初日にすぐに必要になります。授業が始まる前夜になるまでダウンロードを開始するのを待っていると、失敗する可能性が高まります。また、SANSでは、PDF形式のテキストの提供を始めており、さらに、一部のクラスではPDFに加えて電子ワークブックを使用しています。電子ワークブックを使用しているクラスは急速に増えていくと思われます。このような新しい環境では、講師がプレゼンテーションを行っている間、あるいは演習に取り組んでいる間も授業の資料を確認できるようにしておくために、セカンドモニターやタブレット端末を利用すると効率が上がります。
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。
あなたはサイバーセキュリティ機能を実装した仮想組織、「SyncTechLabs」の構築を手助けするために採用されたとしましょう。さて初日に、上司から話しを持ちかけられました。「最近のサイバーセキュリティの傾向報告を見たが、どうやら我々は方向性を失っているようだ。APTやランサムウェア、DoS… どこから手をつければよいか分からないのだよ。」
サイバー脅威は日々その脅威の度合いを高めています。ランサムウェアは組織規模の大小に関係なく影響を与え、国家的犯罪組織はあなたの最重要機密を狙いにきているのです。このコースでは今日の敵がどのような行動をとるかに対して深く理解するとともに、組織として脅威を検知し、対応するために備えるべき防御方法を習得します。
SEC599はレッドチームとブルーチームの両要素を織り交ぜることで最大の効力を発揮するパープルチームのコンセプトを理解することに注力します。防御戦略だけでは脅威に対する備えは不十分です。最新の攻撃戦略にもフォーカスして、Kill Chainストラクチャを用いながらいかに攻撃を検知し効果的に緩和していくのかを習得します。コースでは最初に攻撃手法を詳細に解説し、その後、セキュリティ対策の解説と実装を行う形でパープルチームの原理を理解していきます。
コースの著者であるErik Van BuggenhoutとStephen Sims(共にGIACセキュリティエキスパート)は、ペネトレーションテストとインシデントレスポンスの両方の観点からサイバー攻撃がどのように成功するかについて、誰よりも深い理解と豊富な経験を持っています。彼らがペネトレーションテストのコースを教えている際に、「攻撃手法はわかったけど、どうしたらこのような攻撃を防御できるの?」とよく質問されたことが、このコースの開発のきっかけになっています。20以上のハンズオンラボと最終日に一日かけて実施する「Defend-The-Flag」演習を行うことで、防御スキルが身につくでしょう。受講者自身が守るべき架空組織の環境に浴びせかけられる多種多様な攻撃から自然と環境を防御できるようになります。SEC599では、架空の組織に浴びせかけられる多種多様な攻撃をどのように防御するかという実践的な例を用いながらコースが進んでいきます。
1日目は最近の攻撃手法について、仮想組織「SyncTechLabs」を想定したケーススタディを通じてAPT攻撃のサイクルを分析します。
2日目から5日目ではサイバー攻撃に対する防御、検知、対応方法の効果的なセキュリティ対策の実装について議論しつつ数々のラボを行います。
コースと演習をデザインするにあたり、著者は受講者が学習した内容を業務で実際に「構築」できようにするために多くの時間を費やしました。ですので、コースで紹介されているIDSシステム、webプロキシ、サンドボックス、ダッシュボードなどの様々なテクノロジーは全て即利用可能な仮想マシンとしてコースで提供されるUSBメモリに収録されています。
最終日に実施する「Defend-the-Flagチャレンジ」では高度な敵からあなたのネットワークをセキュアに保つことが求められます。異なる種類の攻撃からシステムを守り抜くことができますか?
敵は決して攻撃の手を緩めることはありません。
過去10年において、高度ペネトレーションテストやエクスプロイト構築コースの開発や講義を行ってきましたが、あるトレンドに気がつきました。1つのコースで、半数以上の受講生はペネトレーションテスターでもなければゼロデイ攻撃を作成するわけでもありませんでした。実は、そのほとんどは防御側の業務をされていて、攻撃者の手法を学習することで自身の環境の防御に役立てようとする方々でした。そこで私たちは、コース内容の多くの部分を敵やレッドチームテスターが用いるテクニックを打ち砕くコントロールの実装方法に割くことにしたのです。
- Stephen Sims
私のInfoSecのキャリアにおいて初めの5年間はペネトレーションテストに従事し、その後、インシデントレスポンスの世界へよりシフトしていきました。その時、私はサイバーディフェンスへの構造的なアプローチの必要性を感じ始めました。一つのスタンドアロンソリューションやツール、テクニックでは限界があります。高度な敵を効果的に阻止したいのであれば、敵の攻撃手段の一つ一つに対抗するセキュリティ対策を実施できるような、徹底した防御対策をとる必要があります。SEC599は、高度な敵がどのように組織に侵入しようとしているかを深く理解することで、防御力を高めます。APTの攻撃サイクルは、攻撃の最初から最後まで一連の仕組みを技術的に深く理解することができます。Stephen Simsと私は、ペネトレーションテストとインシデントレスポンスの分野で豊富な経験を持っており、このコースを開発する上で理想的な立場にあります。このコースは、サイバーディフェンスのカリキュラムに欠けている部分を補ってくれるものだと信じています。敵がどのようにIT環境を侵害しているのか、また、敵のあらゆる動きをどのように防ぎ、検知し、さらには対応することができるのかを理解したいと考えているIT専門家にとって理想的なコースとなります。私は応用して学ぶことを強い信頼をおいているので、このコースはハンズオンが非常に豊富です。1週間を通して、20以上のラボや演習を行い、6日目には1日がかりの「Defend-the-Flag」演習を行います。
- Erik Van Buggenhout
6部構成からなるこの旅の1日目は、綿密なケーススタディを通じた最近の攻撃の分析から始まります。実際の状況で何が起こっているのかを説明し、CyberKillChainとMITRE ATT&CKのフレームワークを、攻撃者の戦術やテクニックを説明するための構造化されたアプローチとして紹介します。また、パープル・チーミングとは何か、それに関連する代表的なツール、組織内での最適な編成方法についても説明します。また、攻撃がどのように機能するかを理解するために、受講生は1日目の演習で、私たちの仮想組織「SYNCTECHLABS」への侵入を試みます。
2日目では、敵が組織内でペイロードの配信と実行をどのように試みるかを取り上げます。まず、攻撃者のテクニック(例:悪意のある実行ファイルやスクリプトの作成)を取り上げ、次に、ペイロードの配信(例:フィッシングメール)と実行(例:添付ファイルのダブルクリック)の両方をどのように阻止するかに焦点を当てます。また、共通のペイロード記述言語としてYARA、ベンダに依存しないユースケース記述言語としてSIGMAについて解説します。
3日目では、まず、どのようにしてエクスプロイトを防御したり検出したりすることができるかを解説します。セキュリティがソフトウェア開発ライフサイクルの不可欠な一部であるべきであること、そして、脆弱性のあるソフトウェアの作成を防ぐためにどのように役立つかを示します。また、パッチ管理が全体像の中でどのように適合するかについても解説します。
次に、コンパイル(ControlFlowGuard など)とランタイム(ExploitGuard)の両方でのエクスプロイト緩和テクニックに焦点を当てます。異なるエクスプロイト緩和テクニックが何をカバーしているのか(しようとしているのか)、また、それらがどれほど効果的なのかについて、詳細な解説を行います。次に、典型的な永続化戦略と、Autoruns と OSQuery を使用してどのように検出できるかについて説明します。最後に、Command&Control(C&C)チャンネルがどのように設定されているか、そして検知と防御のために防御者がどのような制御が可能かを説明します。
4日目は、敵がどのようにして環境全体を横方向に移動するかに焦点を当てます。主なポイントは、Active Directory (AD) の構造とプロトコル (ローカルクレデンシャルの盗用、NTLMv2、Kerberosm など) にあります。Windows 特権のエスカレーション、UAC バイパス、(オーバー) Pass-the-Hash、Kerberoasting、シルバーチケットなどを含む、一般的な攻撃戦略を解説します。また、BloodHound を使用して、AD 環境を介した攻撃パスを開発する方法についても解説します。最後に、環境内での横方向の動きをどのように識別できるか、サイバー詐欺を利用して侵入者を現行犯逮捕する方法について説明します!
5日目は、一連の攻撃の最終段階における敵の動きを阻止する以下の点に注力します。
最終日はチームごとに取組む「Defend-the-Flag」を通じてコースの仕上げに入ります。ここまで講義の中で共有していた最新のサイバーセキュリティコントロールを十分に理解し、習得できるようデザインされた複数のレベルとミッションを遂行することでチームは進歩することになります。