SECURITY 565

SEC565 PC設定詳細

重要 : この説明書に従って設定されたご自身のシステムをお持ちください。 

このコースに完全に参加するためには、適切に設定されたシステムが必要です。この説明書をよく読み、それに従わない場合、このコースに不可欠な実習に参加することができず、満足のいく授業が受けられない可能性があります。このため、本コースに必要なすべての要件を満たしたシステムで受講されることを強くお勧めします。

授業前にシステムをバックアップしておくことが重要です。また、機密データを保存しているシステムを持ち込まないよう、強くお勧めします。SANSはお客様のシステムやデータについて責任を負いません。

必須のシステム要件

• CPU 64ビットIntel i5/i7（第8世代以降）、またはAMD同等品
• 64ビット、2.0GHz以上のプロセッサーが必須
• 重要： Appleシリコンを搭載したデバイスは必要な仮想化を行うことができないため、このコースでは一切使用できません。
• 「Intel-VTx」や「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定が必要。設定変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、必ずアクセスできるようにしてください
• 16GB以上のRAM
• 100GB以上のストレージ空き容量
• 利用可能なUSB 3.0 Type-Aポートが1つ以上あること。最新のパソコンには、Type-CからType-Aへのアダプタが必要な場合があります。
• エンドポイントプロテクションソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
• ワイヤレスネットワーク（802.11規格）が必要です。教室では有線のインターネット接続はできません。自宅で受講される場合はその限りではありません。

• ホストOSは、Windows 10、Windows 11、またはmacOS 10.15.x以降の最新バージョンである必要があります。
• 講義前にホスト OS を完全にアップデートし、正しいドライバとパッチがインストールされていることを確認してください。
• Linuxホストはバリエーションが多いため、本研修ではサポートしていません。万が一Linuxをホストとして使用する場合、コース教材およびVMが利用できるよう設定する責任は各自にあります。
• ローカル管理者権限が必要です。(これは必ず必要です)。権限を持っているパソコンを持参するよう手配してください。
• ウイルス対策ソフトやエンドポイント保護ソフトが無効になっていること、完全に削除されていること、またはそのための管理者権限を持っていることを確認してください。コースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品はラボの達成を妨げる可能性があります。
• アウトバウンドトラフィックのフィルタリングは、あなたのコースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持ってください。
• VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+（Windows10ホスト用）、VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+（Windows11ホスト用）、VMWare Fusion Pro 12.2+またはVMware Fusion Player 11.5+（macOSホスト用）を講義開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトからトライアルに登録すると、期間限定のシリアル番号が送られてきます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホストを使用している場合は、よりシームレスな体験のためにWorkstation Proをお勧めします。
• Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、およびCredential Guardを無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
• 7-Zip (Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールしてください。これらのツールもダウンロードしたコース教材に含まれています。
  

コースのメディアはダウンロード形式配信されます。講義で使用するメディアファイルの容量は大きくなります。多くは40～50GBの範囲で、中には100GBを超えるものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因に左右されますので、教材のダウンロードにかかる時間の見積もることはできません。リンクを入手したら、すぐにコース・メディアのダウンロードを開始してください。授業初日にはすぐに教材が必要になります。授業の前日の夜にダウンロードを始めず、余裕をもってご準備ください。教材には「セットアップ手順」が含まれており、ライブ・クラスやオンライン・クラスに参加する前に行うべき重要な手順が記載されています。これらの手順を完了するには、30分以上かかる場合があります。あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、コースのラボで作業している間、授業資料を表示させておくのに便利です。

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp（NRIセキュアテクノロジーズ）にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください（英文）

ペネトレーションテストは、脆弱性の列挙には効果的ですが、防御側の人材やプロセスへの対応にはあまり効果がありません。このため、ブルーチームや防御側は、どのような攻撃的インプットを改善すべきかについて十分な知識がなく、その結果、組織は、攻撃を効果的に検知し対応するための防御側の成熟よりも、システムの脆弱性にのみ焦点を当てるという循環的なプロセスに陥ってしまうことがあります。

SEC565では、レッドチームを組織するスキル、敵の戦術・技術・手順（TTP）に対してマッピングする脅威情報の消費、TTPのエミュレーション、レッドチーム活動の結果の報告・分析、最終的には組織のセキュリティ態勢全体の改善などを含みます。コースの一環として、受講生は、Active Directory、インテリジェンスの高い電子メール、ファイルサーバ、Windowsで動作するエンドポイントなど、企業環境をモデルにしたターゲット組織に対して攻撃者のエミュレーションを実行します。

SEC565は、6つの集中コースセクションを備えています。まず、ターゲット組織を攻撃する意図、機会、能力を持つ敵対者を特定し、文書化するために、サイバー脅威インテリジェンスを消費することから始めます。この強力な脅威情報と適切な計画により、学生は統一キルチェーンとMITRE® ATT&CK™(Adversarial Tactics, Techniques, and Common Knowledge)にマッピングされた複数のTTPを実行中に実行します。3つのコースセクションで、学生は弾力性のある高度な攻撃インフラの構築からActive Directoryの悪用まで、レッドチームの深い技術的な技巧に没頭することになる。初期アクセス後、各システムを徹底的に分析し、技術データとターゲット情報を収集し、権限の昇格、永続性の確立、重大な影響を与える機密データの収集と流出を行います。コースの最後には、Blue Teamの対応、報告、修復計画、再試験を分析する演習があります。

SEC565では、レッドチームと敵のエミュレーションが組織にもたらす価値を示す方法について学びます。レッドチームの主な仕事は、ブルーチームをより良くすることです。オフェンスはディフェンスに、ディフェンスはオフェンスに情報を提供します。SEC565は、一貫した反復可能な活動を計画・実行できるレッドチーム・オペレーターを育成します。この活動は、訓練と、環境防衛に使用する人材、プロセス、テクノロジーの有効性を測定することに重点を置いています。

以下のことができるようになります

• 脅威情報を収集し、レッドチームの活動を計画
• 運用の安全性を考慮し、運用を成功させるために必要なインフラを構築
• 組織への潜入を可能にするための武装化
• 自動化ツールを使って、重要なデータを列挙し、抽出(必要であれば手動で)
• 企業ネットワーク内で横方向に移動し持続させる
• 様々な攻撃ベクトルや設定ミスを利用して特権を昇格させる
• 調査結果を有意義に報告し、クライアントに最大の価値をもたらす

以下を学ぶことができます

• 脅威インテリジェンスを使用して、攻撃者の行動を研究する
• 敵対者エミュレーションプランの構築
• ブルーチームとのコミュニケーションに役立つMITRE® ATT&CK™に行動をマッピング
• レジリエントで先進的なC2インフラを構築
• エンゲージメントを通じて、オペレーションの安全性を維持
• 最初のアクセス権を利用して、ネットワークを通じて昇格・伝播
• Active Directoryを列挙して攻撃
• 安全な方法で機密データを収集・流出
• エンゲージメントを終了し、価値を提供し、再試験を計画

GIAC Red Team Professional 認定は、エンドツーエンドのレッドチーム活動を実施する個人の能力を証明するものです。GRTP 認定者は、敵のエミュレーション計画の構築、C2 インフラストラクチャの確立、および敵の戦術、技術、手順（TTP）のエミュレーションに関する知識を実証し、全体的なセキュリティの向上を支援します。

• 収集した脅威情報を活用した敵対者エミュレーション計画の構築
• 包括的な攻撃インフラの構築
• 標的の偵察
• 初期アクセスの獲得
• ネットワークおよび Active Directory の列挙
• ネットワーク全体への拡散
• Active Directory 攻撃
• 一般的な防御メカニズムの回避
• 機密データの収集と流出
• エンゲージメントレポートの作成
• レッドチームのアクションをキーパーソンに提示する
• レッドチーム活動の再テストと再生

• レッドチーム活動が他のセキュリティテストとどのように異なるかを理解し、レッドチーム活動に関する知識を深めたいと考えているセキュリティ専門家
• ペネトレーションテスターやレッドチームのメンバーで、自分の技術についてより深く理解したい方
• 攻撃的な方法論、ツール、戦術、技術、手順をよりよく理解することで、レッドチームのエンゲージメントが防御能力を向上させる方法を理解したいブルーチームメンバー、防御者、フォレンジック専門家
• より高度なテクニカルスキルを身につけたい、あるいは規制上の要件を満たす必要がある監査役
• 価値の高いレッドチーム活動を取り入れる必要がある、または参加する必要がある情報セキュリティ管理者

NICEフレームワークの仕事の役割

• 逆境エミュレーションスペシャリスト / レッドティーマー (OPM 541)
• ターゲットデベロッパー（OPM131）
• サイバーオプスプランナー (OPM 332)
• パートナーインテグレーションプランナー(OPM333)

前提条件

このコースのコンセプトと演習は、攻撃型セキュリティの基礎に基づいています。一般的な侵入テストの概念とツールを理解していることが推奨され、セキュリティの基礎の背景は、レッドチームの概念を構築するための強固な基礎となります。

推奨される経験

• Active Directory環境の侵入テストまたは管理経験
  
• Windowsの侵入テスト経験
  
• 標準ユーザーおよび管理者としてWindowsを使用した経験
  
• 攻撃目的のLinuxの使用経験

このコースで学ぶRed Teamのコンセプトの多くは、セキュリティコミュニティの誰にでも適しています。技術者だけでなく管理職も、Red Teamの演習と敵のエミュレーションをより深く理解することができます。