SEC503は、情報セキュリティのキャリアにおいて、最も重要なコースの一つです。これまでに受講したクラスの中で最も難しいクラスであると同時に、最もやりがいのあるクラスであるとも言われています。このコースは、すぐに使える侵入検知システム(IDS)が発するアラートを単に理解しようとする人のためのものではありません。自分のネットワークで今何が起きているのかを深く理解し、どのツールも教えてくれないような非常に深刻なことが今起きているのではないかと疑っている人のためのコースです。ネットワーク上のゼロデイ活動を情報公開前に発見したいと考えている方には、最適なコースです。
このコースが他のトレーニングと違うのは、ネットワーク侵入検知とネットワークフォレンジックを教えるのに、ボトムアップのアプローチをとっていることです。このコースでは、ツールの使い方から始まり、そのツールをさまざまな状況でどう使うかを教えるのではなく、TCP/IPプロトコルがどのように機能するのか、そしてその理由を教えます。最初の2日間で「第二言語としてのパケット」と呼ばれるものを検証した後、一般的なアプリケーションプロトコルと、新しいプロトコルを研究し理解するための一般的なアプローチを追加します。このようにネットワークプロトコルの仕組みを深く理解した上で、業界で最も広く使われているツールに目を向け、この深い知識を応用していきます。その結果、このクラスを終了するときには、ネットワークの計測方法を明確に理解し、詳細なインシデント分析と再構築を行うことができるようになります。
このようなメリットがあるだけでも、このトレーニングを受ける価値は十分にあります。このコースを私たちが信じているように(そして受講生がそう言っているように)重要なものにしているのは、批判的思考スキルを身につけ、それをこれらの深い基礎知識に適用することを強制しているからです。その結果、現在使用されているほぼすべてのセキュリティ技術をより深く理解することができます。
今日の脅威的な環境でサイトのセキュリティを維持することは、かつてないほど困難なことです。セキュリティの状況は、かつては境界線の保護だけだったものが、ほとんど常に接続され、時には脆弱な状態にある露出したモバイルシステムの保護へと変化し続けています。そのため、侵入を検知・防止することができるセキュリティに精通した社員が求められています。SEC503で目指すのは SEC503: Intrusion Detection In-Depth」の目的は、洞察力と認識力を持ってネットワークを防御するためのコアとなる知識、ツール、テクニックを身につけることです。このトレーニングでは、実際の環境に戻ったときに、新しいスキルや知識をすぐに活用できるように準備します。
マーク・トウェインは、"It is easier to fool people than to convince them that they've been fooled." (人を騙すのは、騙されたことを納得させるよりも簡単だ)と言っています。あまりにも多くのIDS/IPSソリューションが、トラフィックの赤/緑、善/悪の単純な評価を提供しており、訓練を受けていないアナリストがそのフィードバックを絶対的な真実として受け入れています。このコースでは、適切な訓練を受けたアナリストは、IDSのアラートを最終的な評価ではなく、トラフィックを調査するための出発点として使用するという理論を強調します。SEC503では、アナリストはアラートにアクセスして、その意味や文脈を吟味する能力を持たなければならないという哲学を伝えます。このコースでは、アラートを調査し、再構築することで、それが注目すべきものなのか、誤った表示なのかを判断する方法を学びます。
このコースでは、自信を持ってネットワークを防御するために必要な技術的な知識、洞察力、および実践的なトレーニングを提供します。TCP/IPの基礎理論や、DNSやHTTPなどの最も使用されているアプリケーションプロトコルについて学習し、ネットワークトラフィックをインテリジェントに調査して侵入の兆候を見つけることができます。また、tcpdump、Wireshark、Snort、Zeek、tshark、SiLKなど、さまざまなツールを使いこなすための実践的な学習も行われます。すべての経験レベルに適した毎日の実践的な演習は、知識を実行に移すことができるように、コースブックの内容を強化します。夕方のBootcampセッションと演習では、日中に学んだ理論をすぐに実世界の問題に適用することが求められます。基本的なエクササイズには補助的なヒントが含まれており、上級者向けのオプションでは、すでに教材を知っている人や新しい教材をすぐにマスターした人向けに、よりチャレンジングな体験を提供します。
仮想マシン(VM)には、商売道具が用意されています。ネットワークトラフィックを含むデモ用PCAPが補足されています。これにより、ラップトップ上でコースの教材とデモに沿って学習することができます。また、PCAPは、特にこのコースに関連するGCIA認定のために、教材を復習する際に使用するネットワークトラフィックの良いライブラリとなります。
SEC503は、セキュリティアナリストなど、ネットワークを監視・防御する立場の方に最も適したコースですが、それ以外の方にも有益なコースとなっています。受講者は、経験豊富なアナリストから、TCP/IPのバックグラウンドを持つ初心者まで様々です。なお、授業で使用するVMwareイメージはLinuxディストリビューションであるため、授業に参加する前に、コマンドラインを使って入力するLinux環境に慣れておくことと、コアなUNIXコマンドを学んでおくことを強くお勧めします。
学ぶこと
- 「ハッキングされた!」というニュースにならないために、サイトを通過するトラフィックを分析する方法
- IDSがシグネチャを公開していない悪意のある行為を特定する方法
- 最大限の検知を行うためのIDS/IPSの配置、カスタマイズ、チューニング方法
- 様々なオープンソースツールを使った検出、分析、ネットワークフォレンジック調査の実習
- TCP/IPと一般的なアプリケーションプロトコルを用いて、ネットワークトラフィックを把握し、正常なトラフィックと異常なトラフィックを区別する方法
- シグネチャベース、フロー、ハイブリッドのトラフィック解析フレームワークを使用して、検知を強化することの利点
できるようになること
- オープンソースのSnortを設定・実行し、Snortのシグネチャを作成する
- オープンソースのZeekを設定・実行し、ハイブリッドなトラフィック解析フレームワークを提供できる
- TCP/IPコンポーネントレイヤーを理解し、正常なトラフィックと異常なトラフィックを識別できる
- オープンソースのトラフィック解析ツールを使用して侵入の兆候を特定する
- 侵入の可能性を特定するためにトラフィックを調査するネットワークフォレンジックの必要性を理解する
- Wiresharkを使用して、疑わしい添付ファイルを切り出すことができる
- 特定のトラフィックを選択的に調査するtcpdumpフィルタを書くことができる
- Scapyによるパケットの作成
- オープンソースのネットワークフローツールSiLKを使って、ネットワークの挙動の異常を見つける
- ネットワークアーキテクチャとハードウェアに関する知識を活用して、IDSセンサーの配置をカスタマイズし、オフラインでトラフィックをスニッフィングする。
SEC503のハンズオントレーニングは、初心者の方にもベテランの方にも親しみやすく、チャレンジングな内容になっています。各エクササイズには2つの異なるアプローチがあります。1つ目は、経験の浅い方向けのガイダンスとヒントを含み、2つ目はガイダンスを含まず、経験豊富な方向けとなっています。さらに、各エクササイズにはオプションで追加問題が用意されており、特に難易度の高いブレインティーザーを求める上級者のために用意されています。ハンズオン演習の一例は以下の通りです。
- 1日目:ハンズオン:Wiresharkの紹介
- 2日目:ハンズオン:tcpdumpフィルターの作成
- 3日目:ハンズオン:IDS/IPSの回避理論
- 4日目:ハンズオン:Snortルールの作成
- 5日目:ハンズオン:3つの独立したインシデントシナリオの分析
- 6日目:ハンズオン:終日、NetWars: IDSバージョンの課題に取り組みます。
教材の内容
- 各セクションの教材を収録した電子コースウェア
- 実践的な演習と問題を収録した電子ワークブック
- TCP/IP電子チートシート
- 全コースの講義を収録したMP3オーディオファイル
