NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Cyber Threat Intelligence
Digital Forensics and Incident Response
English2022年3月14日(月)~3月19日(土)
1日目:9:30-18:00(日本時間)
2日目~6日目:10:00-18:00(日本時間)
オンライン
■通常価格:880,000円(税込み:968,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。
※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
講義の全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく授業を受けることができない可能性が高いです。そのため、以下の条件をすべて満たすシステムを用意することを強くお勧めします。
講義の前にシステムをバックアップしてください。SANSは、システムまたはデータに対して責任を負うことはできませんので、システムに保存されている機密データは残さないようにしておいてください。
コースのメディアは、ダウンロード版で配信されるようになりました。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。
SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。セカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。
攻撃者から教わることは膨大です!
すべてのセキュリティ専門家に対して、FOR578:サイバースレットインテリジェンスコースへの参加を推奨します。このコースでは、今までに学習してきた他の技術トレーニングとは異なり、既存のスキルを補強しながらセキュリティスキルセットの強固な基盤を確立できる構造化分析に重点を置いています。
本コースでは、以下のようにセキュリティのあらゆる分野を通じたインテリジェンス能力の確立を支援します。
セキュリティ専門家は自らをアナリストと呼ぶのが一般的です。しかし、単に技術トレーニングに参加するのではなく、構造化分析に関するトレーニングの受講や体得した人はどれ程いるでしょうか?どちらも重要ですが、アナリストは分析に必要な考え方の訓練に焦点を当てることはほとんどありません。このコースでは、既存の知識を補完し、セキュリティチームの新しいベストプラクティスを確立するための新しい考え方、方法論、テクニックを学びます。適切な分析スキルは、ディフェンダーが日常的に曝される複雑な状況での手掛かりとなります。
敵対者の意図や機会、攻撃能力に関する分析は、一般的にサイバースレットインテリジェンスとして知られています。インテリジェンスはデータフィードではなく、ツールからもたらされるものでもありません。インテリジェンスは、重要な知識のギャップやお互いに譲歩が難しい点を明らかにするだけではなく、組織の要件に答える実行可能な情報であるべきです。敵対者に関する知識の収集や分類、あるいは抽出の結果は、敵対者に優位性をあなたの組織に与える、仮に攻撃が行なわれたとしても、それらの経験から学び進化してゆくものです。
したがって、サイバースレットインテリジェンスは、洗練された脅威に対処すべくレスポンスや識別の能力を確立、あるいは高めようとする組織にとって、これ以上ない支援ができるでしょう。マルウェアは敵対者のツールですが、サイバースレットインテリジェンスは、適切な訓練と権限を与えられた職員によって整理された、本当の脅威である人間に対処することに焦点が当てられています。
敵対者の情報は、すべてのセキュリティチームにとって重要です。レッドチームは、敵対者の手法を理解して、その技術を再現してみる必要があります。セキュリティオペレーションセンターでは、侵入に関する対処の優先順位付けの方法を知り、すぐに注意が必要なものに迅速に対処する必要があるでしょう。インシデント対応チームは、対象となる検知情報について迅速に内容を把握し対応する方法について実用的な情報が必要であり、脆弱性を管理するグループは、優先順位付けのために最も重要だと判断できる脆弱性の情報と、それらによってもたらされるリスクを理解する必要があります。また、スレットハンティングチームは、新しい脅威を発見するために敵対者の思考や挙動について理解をしなければなりません。
言い換えれば、サイバースレットインテリジェンスは、敵対者に対応するために必要な全てのセキュリティプラクティスを明らかにすることなのです。 FOR578:サイバースレットインテリジェンスは、進化する脅威の状況をこれまで以上に深く理解し、その脅威に正確かつ効果的に対処するために必要な戦術的な運用、および戦略的に取り組まれたサイバースレットインテリジェンスのスキルを通じて、セキュリティチームや組織を支援できるようなノウハウを習得することができます。
GIAC Cyber Threat Intelligence (GCTI)認証は、私にとって、サイバー脅威インテリジェンスの技術を科学に移し、知識を体系化していくために重要なものです。複雑で変化し続ける脅威の中では、インテリジェンスに直接関わっているかどうかにかかわらず、すべてのアナリストがGCTIを取得することは重要です。
技術的なトレーニングが一般的になってきており、セキュリティ分野の発展に貢献していますが、構造化されたアナリストのトレーニングについては今日まで一般的ではありませんでした。多くのセキュリティ実務者は、自分をアナリストだと考えていますが、批判的思考で、技術的な知識を増幅させるような分析スキルを十分に身につけていません。このような構造化された分析では、自分の偏見にとらわれず、情報源を疑ったり、侵入分析などのコアスキルを実行したりして、インテリジェンスをより良く消費したり生成したりすることができます。サイバー脅威のインテリジェンスを活用することで、組織とその職員は、集中的に敵に立ち向かい、セキュリティを確実に維持することができます。インテリジェンスは私たち全員に影響を与えるものであり、私たちは敵の成功を非常に制限する方法で、共にこの分野を推進しています」。
- Robert M. Lee, (FOR578:サイバー・スレット・インテリジェンスコース著者)
Mike Cloppert、Chris Sperry、Robert M. Leeのコース開発チームは、コミュニティがサイバースレットインテリジェンスの簡潔明快な情報を必要としているという理解の元、最初のFOR578:Cyber Threat Intelligenceを開発しました。CloppertとSperryは、彼らのスケジュール確保が難しく、直接教えることができないであろうという前提のもとでコースの開発を開始しましたが、様々な人の意見を反映し続けた結果、現在のようなコースとなりました。今日でも コースの発展に対する彼らの影響は重要であり、SANSは彼らのリーダーシップに感謝しています。
スレットインテリジェンスの価値を考え直したとき、ほとんどの人や組織は次の3つの質問に到るでしょう。スレットインテリジェンスとは何か、いつになったら使えるようになるのか、そしてそれはどう使えばいいのか。このコースはこの質問に的確に答えるものであり、スレットインテリジェンスを通じてコミュニティを活発化させるということも叶えることができるでしょう。
- Robert M. Lee
「スレットインテリジェンスは、訓練を受けたアナリストの強力なツールであり、ネットワークに対する戦術的脅威に対応しているセキュリティアナリストから、取締役会への戦略レベルの脅威を報告する幹部まで、セキュリティプログラムに関するあらゆるレベルに対して情報を提供することができます。このコースでは、セキュリティ運用におけるスレットインテリジェンスの役割と、ますます洗練された敵と戦うためのリソースとしてどのように活用できるのかを受講生に解説します。
- Rebekah Brown
このコースは、受講生からサイバーセキュリティの専門家に転身した私にとって、最も興味深く、エキサイティングなコースのひとつです。Rob M. Leeは、CTIアナリストになる準備をしている人に対して、素晴らしい仕事をしています。最近、『Sandworm』という本を読んだのですが、このコースを教えているのが彼だということで、とても興奮しています。彼はCTIの世界について洞察するだけでなく、脅威分析の落とし穴と大きな成功の両方を示すケーススタディを提供してくれます。このコースを続けることに、これ以上の興奮はありません。
-ジェームズ・H, 米国州政府
サイバースレットインテリジェンス(CTI)は急速に拡大している分野です。サイバースレットインテリジェンスについて、最初にもっとも基礎的な要素と考え方を定義し、専門用語について理解していきます。インテリジェンス用語、スパイ活動に関する技術、およびインパクトに関する重要なポイントを理解することは、サイバースレットインテリジェンスの理解と使用には不可欠です。このセクションでは、インテリジェンス、スパイ活動に関する技術、およびサイバースレットインテリジェンスのレベルの最も重要な概念、および組織に加えることができる価値について紹介します。すべてのセクション同様に、受講生には演習をして理解を深めてもらいます。
ケーススタディ:MOONLIGHT MAZE
ケーススタディ:Operation Aurora
侵入解析はスレットインテリジェンスの核心と言えます。 これは、セキュリティに対処するために、より完全なアプローチを使用するセキュリティ実践者にとって基本的なスキルです。 敵対者からの侵入を評価するために最も一般的に使用されるモデルは、「キル・チェイン」と「ダイヤモンド・モデル」とMITRE ATT&CKです。 これらのモデルは、侵入について分析し、敵対的な行動や悪意ある活動に関連したインジケータなどのパターンを抽出するためのフレームワークと構造化スキームとして機能します。また、敵対者による活動の最初の通知から、イベントの分析完了までいくつかのパターンを参考にしながら理解を深めていただきます。また、このプロセスが敵対的キャンペーンを構造化し、定義することの重要性についても注目していきます。
サイバースレットインテリジェンスのアナリストは、収集元を詳細に調査し、収集された情報のソースを理解する必要があります。 アナリストはマルウェアのリバースエンジニアである必要はありませんが、少なくともその作業の工程を理解し、どのデータが求められるのかを知っていなければなりません。 このセクションでは、アナリストに必要となる主要な情報を前のセクションに続いて紹介していきます。 一般にオープンソースインテリジェンス(OSINT)と呼ばれるものについては多くの活用できる情報があるので参考となるでしょう。 このセクションでは、ドメイン情報や外部データセット、Transport Layer Security / Secure Sockets Layer(TLS / SSL)証明書などの情報検索と活用についても触れることで、情報共有が期待される情報が悪用されるデータとその構造についても見ていきます。
ケーススタディ:HEXANE
ケーススタディ: GlassRAT
ケーススタディ: Trickbots
優れたデータには優れた分析結果が求められます。これまでで受講生は、さまざまな侵入源や収集方法について学んできました。長期的な分析のためのインテリジェンス要件を満たすために、これらの情報をどのように使用するかに分析的な正確さを適用することが重要です。単一の侵入をグループ化し、敵のキャンペーンを追跡することは、敵の先を行くために重要です。このセクションでは、MISPなどのツールを使って長期的に情報を構造化して保存する方法、分析ツールを活用して論理的誤謬や認知バイアスを特定する方法、競合する仮説の分析などグループで構造化された分析技術を実行する方法、侵入を脅威グループに分類する方法などを学びます。
名前とクラスタリングルール
インテリジェンスは、普及させて消費者に役立つものにしなければ意味がありません。このセクションでは、情報発信の様々な戦術、作戦、戦略について学びます。ラボでは、YARAルールの作成、STIX/TAXIIの活用、敵を長期的に追跡するためのキャンペーン・ヒートマップの作成、情報レポートの分析などを行います。また、国家の敵対者について、それがどのような場合に価値があり、どのような場合が単に気晴らしによるものなのかを学びます。このセクションでは、過去に確認されたキャンペーンにおける国家レベルの帰属を取り上げ、これまでのサイバー・スレット・インテリジェンス業界をより包括的に理解することができます。最後に、このコースを修了した受講生が自分の組織に大きな変化をもたらすことができるように、スレットインテリジェンスの利用についての議論と、実行可能な情報を紹介します。
ケーススタディ:APT10とクラウドホッパー
ケーススタディ:Lazarusグループ
FOR578のキャップストーンは、分析に焦点を当てています。受講生はチームにわかれ、ツールやケースのアウトプットを与えられ、1つの侵入から関連する情報をつなぎ合わせて、より広範なキャンペーンを解明する作業を行います。学生は、インシデントレスポンスチームの支援から、国家レベルの帰属目標の達成まで、様々な情報要件を満たすための実践的な経験を積むことができます。この分析プロセスでは、技術的なツールの使用に重点を置くのではなく、受講生の頭脳が試されます。最後にチームは、自分たちが発見した複数のキャンペーンの脅威に関する分析結果を発表します。