NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Defensible Security Architecture and Engineering:
Implementing Zero Trust for the Hybrid Enterprise
※本イベントでの開催は中止となりました。
次回の開催をお待ちください。
Blue Team Operations
English2022年6月27日(月)~7月2日(土)
1日目:9:00-17:30
2日目~6日目:9:30-17:30
オンライン
880,000円(税込み:968,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。
※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要!以下の説明をお読みになった上で、ご自身のノートPCをお持ちください。 受講に必要なPC環境についてご確認ください。
このコースに完全に参加するためには、正しく設定されたシステムが必要です。以降の説明を確認いただかないと、満足のいく授業が受けられない可能性が高いです。したがって、コースで指定されたすべての要件を満たすシステムで参加されることを強くお勧めします。
注意:M1プロセッサを使用したApple社のシステムは、必要な仮想化機能を実行できないため、このコースには一切使用できません。
このコースの受講生は、適切に設定されたシステムが必要になります。授業に参加する前に以下の説明をよく読み、それに従ってください。
ホストOS:Windows 10、macOS 10.15.x以降、またはLinuxの最新版で、後述のVMware仮想化製品をインストール・実行できるもの。最新のUSB3.0デバイスを利用するために、事前にホストOSをアップデートし、正しいドライバとパッチをインストールしておくことが必要です。Linux ホストを使用する場合は、適切なカーネルまたは FUSE モジュールを使用して exFAT パーティションにアクセスできる必要があります。また、クラスで VM を適切に機能させるためには、8GB 以上の RAM が必要です。64ビットのゲスト仮想マシンがPC上で動作するように、CPUとオペレーティングシステムが64ビットをサポートしていることが重要です。64ビット対応のハードウェアに加え、AMD-V、Intel VT-x、または同等のものがBIOS/UEFIで有効になっている必要があります。VMware Workstation Pro 15.5.x, VMware Player 15.5.x または Fusion 11.5.x またはそれ以上のバージョンを授業前にダウンロードし、インストールしてください。VMware WorkstationまたはFusionのライセンスをお持ちでない方は、VMware社から30日間の無料体験版をダウンロードすることができます。VMware社のウェブサイトで試用版に登録すると、期間限定のシリアルナンバーが送られてきます。VirtualBoxやHyper-Vなどの他の仮想化ソフトウェアは、互換性やトラブルシューティングの問題があるため、適切ではありません。Windows 10上のVMware Workstation ProおよびVMware Playerは、Windows 10のCredential GuardおよびDevice Guardテクノロジーと互換性がありません。これらの機能がシステム上で有効になっている場合は、講義中はこれらの機能を無効にしてください。
セキュリティ事故を未然に防ぐため、予めご自身の端末から機微情報は削除してからご参加ください。SANS(NRIセキュアテクノロジーズ)はコース中に受講生の端末で発生したいかなる事故について責任を負いません。
コースのメディアがダウンロードで配信されるようになりました。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続の速度次第でダウンロードに要する時間はは大きく異なり、様々な要因に左右されるため、教材のダウンロードにかかる時間を正確に見積もることはできません。リンクを取得したら、すぐにコースメディアのダウンロードを開始してください。コースメディアは授業初日にすぐに必要になります。授業が始まる前夜になるまでダウンロードを開始するのを待っていると、失敗する可能性が高まります。
SANSでは、PDF形式のテキストの提供を始めており、さらに、一部のクラスではPDFに加えて電子ワークブックを使用しています。電子ワークブックを使用しているクラスは急速に増えていくと思われます。このような新しい環境では、講師がプレゼンテーションを行っている間、あるいは演習に取り組んでいる間も授業の資料を確認できるようにしておくために、セカンドモニターやタブレット端末を利用すると効率が上がります。
注意:「アーキテクチャー」という用語は、世界のさまざまな組織や地域によって異なる解釈がなされています。本コースでは、戦略的および技術的なアプリケーションと使用例に重点を置き、さまざまなインフラストラクチャ・コンポーネントとサイバー防衛技術の微調整と実装を行います。このコースでは、戦略的なソリューションの配置と使用例のみに焦点を当てたいと考えている受講者の方々には適していません。
境界型ネットワークセキュリティのような従来のサイバー防御の方法は、常に敵対者をネットワークから排除する必要性を強調し、攻撃者を阻止する「要塞」を構築する一方で、正当なユーザーには安全なアクセスを許可してきました。しかし、現代のクライアントサイド攻撃は、旧来の境界型セキュリティモデルでは不十分であることを明らかにし、セロトラストのような新しいデータ中心型モデルの必要性がでてきています。
しかし、ゼロトラストは単なる新しいマーケティング用語なのか、よく知られた「最小特権」の考え方を単純に繰り返しただけなのか、それとも真に革新的な戦略なのかでしょうか。本当に達成は可能なのでしょうか。もし達成できないのであれば、全体的な防御可能なセキュリティアーキテクチャの一部として、「より少ない信頼」を徐々に実装することは可能なのでしょうか。どうすれば始められるのか、それを実現するために利用できるツールや技術にはどのようなものがあるのでしょうか。
SEC530 Defensible Security Architecture and Engineering: Implementing Zero Trust for the Hybrid Enterprise は、セキュリティに対する全体的かつ階層的なアプローチを確立し、維持することを支援するとともに、ゼロ・トラストの原則、柱、機能に基づく現実的な「レス・トラスト」実施に向けて設計されています。効果的なセキュリティには、検知、予防、対応の各機能のバランスを取ることが必要ですが、そのようなバランスには、ネットワーク上、エンドポイント上、クラウド環境内で直接制御を実施することが要求されます。あるソリューションの長所と短所を、戦略的に配置・導入し、そして継続的な調整によって、別のソリューションを補完する必要があります。
このコースでは、これらの問題に対処するため、インフラストラクチャとツールの配置に関する戦略的な概念を組み合わせると同時に、その技術的な応用にも焦点を当てます。攻撃を減らし、信頼性を実現するために、どのようなソリューションが利用可能で、どのように適用すればそれが成功するのかを議論し、確認します。最も重要なことは、様々なソリューションの長所と短所を評価し、防御可能なセキュリティアーキテクチャを実現するためにそれらをどのように重ね合わせるかを検討することです。
SEC530は、サイバーディフェンスにおいて豊富なキャリアを持つ著者の経験に基づき、一般的な攻撃の妨害、早期警戒検知、および対応のためのアーキテクトとエンジニアのための効果的な戦術とツールを教えることに焦点を当てた、実践的なクラスです。スイッチ、ルーター、次世代ファイアウォール、IDS、IPS、WAF、SIEM、サンドボックス、暗号化、PKI、プロキシなど、現在のインフラ(および投資)を活用することに重点を置いています。受講者は、これらの技術を評価、再設定、検証する方法を学び、組織の予防、検知、対応能力を大幅に向上させ、可視性を高め、攻撃対象領域を縮小し、さらには革新的な方法で攻撃を予期することができます。このコースでは、最新のテクノロジーとその機能、長所、短所についても掘り下げます。このコースでは、ハイブリッド環境において、ゼロ・トラストへの道を歩みながら、強固なセキュリティ・インフラを一層ずつ構築していくための推奨事項や示唆を得ることができます。
これは監視コースではありませんが、継続的なセキュリティ監視とうまく連携し、セキュリティアーキテクチャが防御機能を支援するだけでなく、SOCで運用するイベント管理(SIEM)システムに投入可能な重要なログの出力も支援します。
連日実施する複数の実践的なラボにより、コースの重要なポイントが強調され、実践的なスキルを提供することで受講者は通常業務に戻った際、すぐにこの知識を活用することになるでしょう。
GDSA ( GIAC Defensible Security Architecture )
GDSA認定資格は、予防、検知、対応のバランスをとるために、ネットワーク中心およびデータ中心の制御を効果的に組み合わせて設計、実装できることを証明します。
上記のリストは、学習する知識とスキルの概要を簡単に説明したものですが、このコースが提供する内容のほんの一部に過ぎません。
SEC530のトレーニングが終了し、あなたのスキルが強化され、磨かれたら、職場に戻り、このコースで学んだことをオフィスに戻ったその日から適用できるでしょう
組織のセキュリティ態勢の評価、インシデントへの対応、セキュリティ運用の強化を長年にわたって経験してきた私たちは、セキュリティを念頭に置いて設計されたアーキテクチャがない場合、現代の攻撃者を監視して防御しようとしても無駄であることを目の当たりにしてきました。同様に、大規模な侵害やビジネスの混乱に見舞われた組織では、侵入前に境界線の保護や防御の仕組みに重点を置いていたにもかかわらず、防御可能なセキュリティ・アーキテクチャが欠如していたということがよくあります。
私たちは、このギャップに対処するためにこのコースを設計しました。ケーススタディ、優れたテクニック、インストラクターによるデモ、多数の実習(NetWarsをベースとしたDefend-the-Flagチャレンジを含む)で埋め尽くされた6日間で、受講生は本当に「防御可能」と呼べるネットワーク、インフラストラクチャ、アプリケーションを設計、構築、ハードニングさせる方法を学ぶことができます。
プレイヤーである私たちは、理論だけでは十分ではないことを知っています。そのため、このコースでは、ネットワーク中心、データ中心、ゼロトラストのセキュリティアーキテクチャをベストプラクティスや標準にマッピングした実世界での実装に焦点を当てていますが、何がうまくいき、何がうまくいかないのかについての長年の経験にも基づいています。これにより、さまざまな組織や役割にとって、現実に即した適切な内容になっていることがお分かりいただけるでしょう。
- Justin Henderson and Ismael Valenzuela
このコースの最初のセクションでは、防御可能なシステムとネットワークを設計・構築するための原則について説明します。セキュリティアーキテクチャの基礎とゼロトラストへの道筋を紹介します。従来のセキュリティアーキテクチャと防御可能なセキュリティアーキテクチャ、セキュリティモデルと勝利へのテクニック、防御可能なセキュリティアーキテクチャのライフサイクルまたはDARIOM(Discover, Assess, Re-Design, Implement and Monitor)モデルについて学びます。
DAY1では、MITRE ATT&CKのようなモデルによる実践的な脅威のモデル化、物理セキュリティから始まり、VLANやPVLANといった下位レイヤーのネットワークセキュリティ、そしてオンプレミスとクラウドのハイブリッド環境におけるNetFlowデータによるネットワーク活動のベースライン化によって正常が何かを理解することに重点を置いています。また、セクション1では、タイムベースセキュリティの原理と実世界での実装方法について紹介します。
DAY1では、従来のネットワークとセキュリティのアーキテクチャの概要と、それらに共通する弱点について説明します。防御的なセキュリティの考え方は、"一度構築したものは、正しく構築する "です。すべてのシステムは、運用機能を効果的に実行しなければならず、セキュリティはこの目標を補完することができます。セキュリティは、後付けするよりも、最初から組み込んでおく方がはるかに効率的です。このコンセプトを実現するために、この授業では、著者らが実際に導入して成功した「見出しから抜粋した」ヒントが数多く紹介されており、最新の攻撃を防止・検出するためにインフラの強化・監視を行うことができます。例えば、悪意のあるクライアントからクライアントへの攻撃を効果的に阻止するプライベートVLANの使用や、不正なデバイスを抑制する802.1XとNACなどが挙げられます。また、重要なネットワークデバイスを強化するための具体的なCisco IOSシンタックスの例も紹介されています。
MITRE ATT&CKによる実践的な脅威モデリング:SEC530の最初のハンズオンラボでは、MITRE ATT&CKを使った実践的な脅威モデリングを学習します。このフレームワークは週を通して使用されるため、防衛者はこのモデルを使用してセキュリティ対策に優先順位をつけ、有効性を高めることができます。このクラスでは、脆弱性にフォーカスするのではなく、脅威にフォーカスし、最も重要なリスクがどこにあるのかを特定することを学びます。
Egress Analysis:DNSトンネリングなどの一般的な手法で攻撃者がどのようにデータを流出させるかを理解し、検出の可能性を高めながら防御時間を長くするための防御の重ね方を中心に学びます。
コース概要
セキュリティ・アーキテクチャとは?
良いセキュリティアーキテクトの条件とは?
1日目から6日目までのケーススタディで学ぶ(Tyrell Corpのケーススタディ)
ゼロ・トラストへの道のり
従来のセキュリティアーキテクチャの欠点
境界線/エクスプロイトの重視
真の境界線の欠如(クラウド/モバイルによる "脱・境界線化")
モノのインターネット (Internet of Things)
コンプライアンス重視のセキュリティ
勝てるセキュリティ戦略
リスク・ドリブンとビジネス・アウトカムに焦点を当てたアーキテクチャー
実践的な脅威のモデル化 パープルチーミング
MITRE ATT&CKマトリクス
ブルーとレッドの非対称性を探す
セキュリティ運用を考慮したアーキテクチャー
セキュリティモデル
タイムベースセキュリティ
サイバーキルチェーン
TBS+キルチェーン+MITRE ATT&CK
可視化と検出のためのアーキテクチャー
インシデントレスポンスのためのアーキテクチャー
ゼロ・トラスト・モデル
防御可能なセキュリティアーキテクチャのライフサイクル(DARIOM モデル)
レイヤー1 - 物理セキュリティのベストプラクティス
レイヤー2 - ネットワークセキュリティのベストプラクティス
インフラストラクチャの強化について説明し、ルーティング機器、ファイアウォール、アプリケーションプロキシなどの概念に入っていきます。ルータのハードニングのために実用的な例を特定のCisco IOSコマンドとともに提供します。
Googleによると、IPv6は現在インターネットバックボーントラフィックの30%以上を占めていますが、同時にほとんどの組織で使用されず、無視されています。IPv6の背景を詳しく説明し、よくある間違い(IPv4の考え方をIPv6に適用するなど)について述べ、IPv6を保護するための実行可能な解決策を提供します。このセクションでは、ゼロ・トラストの重要なトピックである「セグメンテーション」について説明します。このセクションでは、ファイアウォールやネットワークのセグメンテーションだけでなく、アイデンティティやアクセスのセグメンテーションも対象とした原則と防御策について説明します。セクション 2 は、Web アプリケーションプロキシと SMTP プロキシに関する考察で締めくくられています。
スイッチとルーターのベストプラクティス
Rumble Network DiscoveryによるIPv6資産インベントリー
セグメンテーション
ネットワークとアクセスのセグメンテーション
セグメンテーションの原理
ファイアウォールアーキテクチャ
DMZの設計
レイヤー3/4ステートフルファイアウォール
ルータACL
LinuxとBSDのファイアウォール
pfSense
ログインセグメンテーション
Azure特権管理(PIM)
アプリケーションプロキシ
Webプロキシ
ExplictとTransparent
ICAP
フォワードとリバース
SMTPプロキシ
フィッシング対策と検知の仕組みの強化
ベイズ解析
SPF、DKIM、DMARC
Dnstwist
オープンソースインテリジェンスを組み合わせる
組織は次世代のファイアウォールからWebプロキシやマルウェアサンドボックスに至るまで、多くのネットワークベースのセキュリティ技術を有するか、その技術へのアクセスが可能になっています。これらはオンプレミスで展開されることが多いですが、クラウドでも展開されています。 しかし、これらの技術の有効性は、それらの実装状況により影響を受けることになります。アプリケーション制御、ウイルス対策、侵入防止、データ損失防止、その他の自動的な不正検出や詳細なパケット検査エンジンなど、組み込み機能への依存度が高すぎると、防御と検出との間に大きなギャップが生じ、結果として防御に重点を置いた実装になります。
組織がすでに所有しているアプリケーション層のセキュリティソリューションを現代的な考え方で使用することに焦点を当てます。柔軟な考え方を持つ事で、スパム用アプライアンスのような比較的古いものでも類似ドメインを介したフィッシングや他のスプーフィング技術のような現代的な攻撃を検知することが可能になります。繰り返しになりますが、現代の攻撃に対する防御を設計することで、防御と検出の両方の能力が大幅に向上します。
スクリプティングとAPI
Network Security Monitoring (NSM)
アラート駆動型ワークフローとデータ駆動型ワークフローの比較
ネットワークの可視化のためのアーキテクチャー
ネットワークメタデータの威力
ネットワークを知る
SPANポートとTAPの比較
センサーの配置
ネットワークメタデータの威力
ネットワークトラフィック解析アーキテクチャ
Zeekの使用例
シグネチャー解析とアノマリー解析とプロトコル解析
HSTSプリロード
Certificate Transparencyの監視
Guacamoleを使ったHTML5でのリモートデスクトップ
常時接続VPN
圧縮とWAN最適化
VPNの現代的な代替手段:ZTNAとSDP
クリーンソースの原則とAD管理
アイデンティティ・アクセス管理
この講義は、Zero Trust Architectureの中心となる戦略、すなわちデータセントリック・セキュリティについての議論へと続いていきます。 組織は、自身がその存在を把握していないものを保護することはできません。悩ましいのは、重要で機密性の高いデータが至る所に存在することです。そしてこれをさらに複雑にしているのは、これらのデータがオンプレミスやクラウドでホストされた複数のフルアプリケーションスタックによって制御されているからに他なりません。
このセクションでは、重要なデータの保存場所と保護方法を特定することに重点を置いています。保護には、データガバナンスソリューションと、Webアプリケーションファイアウォールやデータベースアクティビティ監視などの完全なアプリケーションスタックセキュリティ対策の使用、およびオンプレミスのハイパーバイザ、クラウドコンピューティングプラットフォーム、Dockerなどのコンテナサービスなどのコアサービスをホストするシステムの保護に重点を置くことが含まれます。
Data-centric securityアプローチでは、組織の中核となるものに焦点を当て、その周りのセキュリティ管理の優先順位を設定します。コントロールを最適化し、重要なものを保護することに集中できる状態にあるにも関わらず、すべてのデータを保護するために多大な時間とコストを費やす理由は何ですか?現実社会では、いくつかのシステムは他のシステムよりもクリティカルで重要なのです。
今日、一般的なセキュリティスローガンは「信頼するが検証もする」ですが、これはもはや時代遅れです。コンピュータはその場で信頼を計算できるので、組織は「信頼するが検証もする」という観点で考えるのではなく、「確認してから信頼する」を組織内に落し込む必要があります。そうすることで、アクセスがよりスムーズになると同時に適切なレベルで制限することができます。
トラスト(信頼)がもはや暗黙的ではなく証明されなければならないゼロトラストアーキテクチャの実装に焦点を当てます。これにより、可変信頼モデルを使用してアクセス・レベルを動的に変更できます。これにより、ユーザーとデバイスの信頼性が長期にわたって維持されている場合には、必要に応じてセキュリティ制御の強弱をつけて実装することが可能になります。
DAY5では、ゼロトラストの原則、モデル、および最新の米国政府の指令(DISA、NSA、NIST)を確認しながら、この新しい原理の実践に焦点を当てていきます。既存のインフラを利用したゼロトラストの実用化に焦点を当て、組織のセキュリティ体制に対する価値と影響を最大化します:クレデンシャルローテーション、Windowsネットワーク上のトラフィックの保護、ホストベースのファイアウォール、NAC、セグメンテーションゲートウェイ、SIEM、ログ収集、監査ポリシー、検出エンジニアリング、レッドヘリングディフェンス。
SIGMA Generic Signatures:このラボでは、新しいコミュニティ主導のプロジェクトであるSIGMA Generic Signaturesルールの使用方法と実装方法を理解し、運用に適した様々な形式に変換します。受講生はこれらのシグネチャを使用して、既存の検出機能を強化し、MITRE ATT&CK Navigatorでカバー範囲を決定し、敵対者の活動を検索します。
米国政府 - ゼロ・トラスト・セキュリティ・モデルの採用
DISA × 既存インフラの活用方法再考
DISA×ゼロ・トラストの柱と能力
パスワード監査
LAPS
gMSA
NAC
アダプティブトラストとセキュリティオーケストレーション
エレクトリックフェンス(自動デジタルレスポンス)
検疫
デバイスコンプライアンス
802.1x
クライアント証明書
PKI
セグメンテーションゲートウェイ
ネットワークエージェント
認可の表面
マイクロセグメンテーション、マイクロコアとペリメータ(MCAP)
ダイナミックオーソリゼーション
WindowsとLinuxにおけるポリシーの監査
Sysmon
Auditd
MITRE ATT&CK コンテンツエンジニアリング
アノマリーとシグネチャ
SIGMA Generic Signatures
SIGMAのしくみ
シグネチャからアラートクエリへの変換
Sigma2Attack
アノマリーの特定とリアルタイムアラート
このコースは、チーム・ベースの 「Design-and-Secure-the-Flag」 コンテストで締めくくります。NetWarsの力を借りて、6日目は、1週間を通して学習した原則を実践で試す1日となります。 皆さんのチームは、このコースを通じて推進される最新のサイバー防衛技術の習得を確実にするために設計された複数のレベルとミッションを通じて前進します。 チームは、講義で得たすべての知識、ツール、スキルを活用して、さまざまなコンピュータシステムやデバイスを評価、設計、保護し、攻撃からTyrell社を守ります。