NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Cloud Security Attacker Techniques, Monitoring, and Threat Detection
Cloud Security
English2022年11月14日(月)~11月18日(金)
1日目: 9:00-17:30
2日目~5日目: 9:30-17:30
オンライン
1,070,000円 (税込み¥1,177,000)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
SEC541の受講生は、必要なツールやドキュメントがすべて設定されたAWSアカウントを使用し、仮想マシンを使って演習を実施します。すべての演習は、Amazon Web Services (AWS)上で行います。
重要!
コアOSには、VMware仮想化製品をインストールして実行できる64ビット版のWindows、Mac OSX、Linuxのいずれかを使用することができます。また、講義で仮想マシンを正しく機能させるためには、最低でも8GB以上のRAMが必要です。また、BIOSのVirtual SupportがENABLEDになっていることを確認してください。
必須システム要件
事前に準備またはダウンロードしておくもの
OnDemand受講者は、AWSアカウントの準備が必須です
LiveとLive Onlineの受講生は、研修用のAWSアカウントが提供されます。
ノートパソコンの設定に関して追加で質問がある場合は、sans-info@nri-secure.co.jp (NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください。(英文)
攻撃者は逃げることはできても、隠れることはできない。我々のレーダーはすべての脅威を見抜く。
SEC541は、Amazon Web Services(AWS)とMicrosoft Azureの環境に対して攻撃者がどのように活動するのか、攻撃者にはどのような特徴があるのか、クラウドインフラにおける疑わしい活動をどのように検知し調査するかなどを学習するクラウドセキュリティのコースです。クラウドインフラにおける悪意のある行為を見抜き、疑わしい行為を調査する方法を学びます。クラウド環境の攻撃から保護するためには、組織は、どのような種類の攻撃が自分の環境で起こりやすいかを知り、正しいデータを適時に取得し、そのデータをクラウド環境とビジネス全体の目標との関連で分析できるようにする必要があります。
SEC541は、毎日、クラウドインフラに対する実際の攻撃キャンペーンを体験することから始まります。どのように攻撃が行われたのか、何が成功の要因だったのか、攻撃者を現行犯で捕まえるために何をすればよかったのか、などを分析します。攻撃を分析した後、クラウドネイティブとクラウド統合機能を活用して、実際の環境で同様の攻撃を検知する方法や脅威ハンティングの方法、詳細な調査手法などを学びます。このコースでは、AWSとAzureのサービスを深く掘り下げ、ログと動作を分析し、受講者が自身のクラウドインフラに適用することができるよう設計しています。
"このコースには、AWS/Azureで脅威を見つけ出す仕事を始めるために必要な知識が含まれています。"
- Mikolaj Staniucha, PepsiCo
このコースのラボは、AWSとAzureのロギングとモニタリングのサービスをハンズオンで学びます。ラボの約75%はAWS、25%はAzureです。各ラボでは、特定の脅威とそれを検知するために必要なデータについて調査することから始めます。ほとんどのラボでは、受講者は自分のアカウントに対して攻撃を行い、分析を行うために必要なログとデータを生成します。AWSとAzureのネイティブサービスやオープンソースの製品を使用して、脅威の抽出、変換、分析を行います。講義とラボを組み合わせることで、AWSとAzure内のこれらのサービスがどのように機能するか、それらが生成するデータ、データを分析する一般的な方法の全体像を把握し、自分のクラウド環境で同様の攻撃を識別し分析する能力を身に付けることができます。
「ラボは、わかりやすい手順があり取り組みやすいものでした。コマンドを簡単にコピー&ペーストできる点が気に入っています。これによって、ラボを早く終わらせることができますが、コースの後で戻ってきて、各コマンドを見直す時間を取ることができることもできます。"
- Ludek Suk, Accenture
「ラボは素晴らしく、非常に役に立ちます。ここから多くを学んでいます。」
- Joe Cultrara
「ラボガイドは非常に詳細です。自分がやっていることを理解することを可能にしてくれました。また、ラボを完了するために十分な時間を提供してくれたので、何かを急かされるということはありませんでした。
- Sambit Sarkar, ICE Data Services
受講者はAWSまたはAzureに精通し、ハンズオンで作業したことがあること、特にクラウドセキュリティ分野で働くセキュリティ専門家で、基本的な脅威や攻撃ベクトルを理解していることが望ましいです。
本コースは、受講者が以下のことをヘルプなしで理解または実行できることを想定しています。
SEC541の前提条件となるSANSのコースは、以下のいずれかです。
「クラウドサービスプロバイダーは、私たちがその使い方を習得するよりも早く、新しいツールを提供してくれています。新しいツールや複雑なツールと同様に、インフラストラクチャを根本的に作り変えるためには、表層レベルでの『使い方』を理解する必要があります。このコースは、これまで皆様が使ってきたかもしれないAWSとAzureをより深く探求していきます。クラスの終わりには、AWSとAzureで脅威を探し、真の脅威検出プログラムを構築するためのスキルがあることが自覚でき、自信を持つことができます。」
-Shaun McCullough とRyan Nicholson
「AWSのデータソースについて詳しく学び、それに対する攻撃を行い、攻撃を検知できるようなイベントを生成するのがとても楽しかったです。」
- Gavin Knapp, Bridewell Consulting
SEC541は、開発者向けサービス会社「Code Spaces」への攻撃に関する調査から始まります。このクラスでは、攻撃を分解し、各アクションをMITRE ATT&CKフレームワークにマッピングします。
そして、クラウドサービス特有の検知・ログ機能である「クラウドAPIサービス」を調査します。クラウドAPIは、クラウドにおけるほとんどの活動の中心であり、分析と検出を最初に始めるべき対象です。
このクラスでは、AWSとAzureのクラウドサービスにおけるネットワーク分析オプションを調査し、どのようなデータが利用可能で、何が欠けているか、また、ネットワーク分析を使用してCode Spacesへの攻撃を検出できたかもしれないいくつかの方法について理解することができます。
セクション2は、Tesla社のKubernetes管理サービスに対する攻撃の考察から始まります。セクション1と同様に、この攻撃で使用された具体的な戦術と、それらがMITREの新しいコンテナATT&CKフレームワークにどのように対応するのかを調査していきます。
コンテナは、クラウドサービスにおいてますます一般的になってきており、特にマルチクラウドやハイブリッドアーキテクチャにおける一般的なアプリケーション開発に役立っています。セクション2では、まずAWSとAzureでアプリケーションログがどのように集められるか、どのレベルで集められるか、一般的に集められるデータの種類を調べます。次に、Kubernetes、Docker、AWS、Azureのコンテナオーケストレーションサービス、ログに記録されるデータ、ログデータを調査してアクティビティを検出したり調査に役立てる方法について見ていきます。
このセクションでは、クラウド環境で動作するプロキシについても説明します。プロキシは、運用の改善やセキュリティの向上が期待できますが、クラウドで管理されたプロキシは、可視性が失われます。このクラスでは、どのようなサービスが利用できるのか、またロギングを最大限に活用する方法について理解します。
セクション3では、まず米国金融サービス大手のCapital One社への攻撃について調査します。攻撃者が使用したテクニックを分解した後、AWSクラウドのメタデータサービスを使用して、アプリケーションの脆弱性を利用してクラウドインフラに不正アクセスする方法と、Azureの実装と異なる点を確認します。
セキュリティ監視に役立つAWSのサービスについて解説した後、リソースのインベントリやデータディスカバリーを行うためのツールやクラウドマネージドサービスについて解説します。クラウド環境は常に変化しており、調査者は問題を迅速に特定するためにこれらの発見ツールを必要とします。
AWSとAzureは、侵入や攻撃者の活動の可能性を指摘するアプリケーション、ホスト、設定の脆弱性を支援するサービスを提供しています。この授業では、これらの脆弱性の実行と修復を支援するために構築された、いくつかのクラウド企業のサービスについて見ていきます。
最後に、クラウド、ホスト、アプリケーションのログから収集したデータを一元管理することの利点について説明します。この授業では、データの一元化を管理するのに役立つAWSとAzureのサービスを取り上げ、どれを使うべきか、その利点について説明します。
最初の3つのセクションと同様に、セクション4では、2021年初めに発生したMalwareBytesの侵害と、関連する主なMITRE ATT&CK技術のレビューからスタートします。その後、5つのラボ演習のうち最初の演習では、Microsoft 365と、防御者の検知活動を支援するコンポーネントについて調べ、これらの技術を使用して新しい攻撃キャンペーンの開始を発見するスキルをテストします。
次に、ここがセクション4と異なる点ですが、2つ目の侵害である2021年のSolarWindsのサプライチェーン攻撃について検討します。その後、Azure Active Directoryに残されたアーティファクトと適切な設定手順を学ぶことで、Microsoft Azureのエコシステムにさらに深く踏み込みます。これには、以前取り上げた(しかしまだ演習していない)言語を使ってデータを分析するラボが含まれます。Kusto Query Languageです。
クラウドストレージへのアクセスに関連するロギングの処理方法、独自の検出サービス、ネットワークトラフィックの分析方法など、Azureが他のクラウドベンダーと大きく異なる点が、このセクションの次のいくつかのモジュールで引き続き紹介されます。これらのトピックには、それぞれユニークな演習が含まれており、スキルを磨くことができます。
商用クラウドサービスは、複雑なワークロードの構築と運用を自動化するように設計されています。これらの自動化のデザイン・パターンを活用して、私たちの環境におけるデータの取得、分析、セキュリティ防御の自動化を実施することができます。このセクションでは、クラウド環境で自動化したいワークロードについて説明し、自動化のためのいくつかのサービスを調査し、その例を通して作業していきます。
また、このセクションでは、コースを通してカバーされたトピックを強化するために、CloudWarsコンペティションを実施します。この楽しいコンペティションを通じて、多肢選択式、穴埋め式、および2つのCSP環境で実施される実習で構成される複数の課題に回答していただきます。また、新しいクラウドリソースの導入と分析も行い、その過程で貴重なポイントを把握することができます。