NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Advanced Incident Response, Threat Hunting, and Digital Forensics
Digital Forensics and Incident Response
English2024年2月26日(月)~3月2日(土)
1日目: 9:00-17:30
2日目~6日目: 9:30-17:30
◆LiveOnline形式
オンライン
◆Onsite形式
御茶ノ水トライエッジカンファレンス(https://try-edge.infield95.com/)
東京都千代田区神田駿河台4-2-5 御茶ノ水NKビル(トライエッジ御茶ノ水)11階
早期割引価格:1,220,000 円(税込み 1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:1,350,000円(税込み 1,485,000 円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。
※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要!次の手順に従って設定されたPCを持参してください。
SANSトレーニングを有意義に受講していただくには要件を満たすノートPCが必須です。次の要件を確認し、事前に必要な設定を完了しておいてください。講義中は設定をする時間はありません。必ず事前の確認・設定をお願いいたします。
講義の前にシステムのバックアップを行うようにしてください。また、機密データが保存されているシステムは使用しないようにしてください。お客様のデータの消失・破損などへの影響につきましては、弊社は一切の責任を負いません。
コースのメディアがダウンロード版で配信されるようになりました。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。
コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスに参加する前、またはオンライン・クラスを開始する前に行うべき重要な手順が詳細に記載されています。この手順を完了するには、30分以上かかる場合があります。
あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、コースのラボで作業している間、授業資料を見えるようにしておくのに便利です。
ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。
脅威の探索とインシデントレスポンスの手法は、過去数年の間に急速に進化しています。侵入したシステムを適切に特定できず、侵入を効果的に阻止できず、迅速にインシデント対応できず、増殖するランサムウェアを阻止できないような時代遅れのインシデントレスポンスや脅威ハンティング手法を使用する余裕はありません。インシデントレスポンスと脅威ハンティングのチームは、侵入検知のために使用する正確な情報を取得するために、マルウェアの挙動や活動パターンを特定します。このコースでは、インシデントレスポンスと脅威ハンティングを徹底的に学び、対応者と脅威ハンティングチームが、APTの国家敵対者、組織犯罪シンジケート、ランサムウェアシンジケートなど、企業ネットワーク内のさまざまな脅威を追跡、特定、対処、回復するための高度なスキルを身に付けることができます。
このコースは、次の項目を理解することに主眼が置かれています。
コースの演習と最後の課題では、エンドポイントのアーティファクト、イベントログ、システムメモリなどを介して発見された、次のような実際の攻撃者の痕跡を説明します。
フェーズ1:マルウェアC2ビーコンをインストールする。
フェーズ2:特権昇格、他システムへの横移動、マルウェアユーティリティのダウンロード、追加ビーコンのインストール、ドメイン管理者の資格情報の取得
フェーズ 3 - 知的財産の探索、ネットワーク プロファイリング、ビジネス電子メールの侵害、エンタープライズ ハッシュのダンピング
フェーズ 4 - 流出ポイントの発見、データの収集、および窃盗のためのステージング
フェーズ5:ステージングサーバーからのファイルの流出、クリーンアップの実行、長期的な持続性メカニズムの設定
ビジネス上の留意点
万が一、侵害が発生した場合、FOR508修了生は以下のスキルを身につけることができます。
本講座受講にあたっての前提
FOR508は、高度なインシデント・レスポンスとスレット・ハンティングのコースであり、高度に永続化している脅威や、組織化された攻撃グループの検出とその対応に焦点を当てています。このコースでは、インシデントレスポンスの基礎知識や、Windowsのフォレンジック技術などは取り扱いません。
このコースを受講する前に「FOR500:Windows Forensic Analysis」を受講しておくことをお勧めます。
GCFAは、正式なインシデント調査を実施し、内部および外部からのデータ侵害や高度に永続化している脅威、攻撃者が使用するアンチフォレンジック技術、複雑なデジタル・フォレンジックなど、高度なインシデントハンドリングのシナリオに対応するための知識、技術、能力を有することを認定します。GCFAは、データを収集し、分析するために必要なコアスキルに焦点を当てています。
Matt OlneyはAPTと先進的な高度な攻撃者達について、「彼らはあなたより賢く、彼らはあなたよりリソースがあり、そして彼らはあなたの近くにまで迫っている。だから本腰を入れて取り組まなければならないのだ」と述べています。これは、ジョークではありません。何年も前から、犯罪組織のハッカーや国に雇われたハッカーにより何度も犯罪が成功しています。APTにより何百もの組織が侵害されており、組織化された犯罪集団は、ボットネットを使用してACH(米国の小額自動振り込みシステム)に対する詐欺行為を毎日のように行っているばかりか、同じ様な集団が銀行や商社に侵入し、クレジットカード情報を日々盗んでいます。このような背景から、フォーチュン500に選ばれた企業では、年次株主報告書に、侵害され盗まれたデータを詳細に記載することを始めています。
敵は、より賢く、より大胆になっており、成功率は見事なほど高くなっているのです。
敵を食い止めることはできますが、それにはこの領域に長けた洗練されたインシデントレスポンダとデジタルフォレンジック調査員が必要です。APTを検知し、即座に根絶してしまうことが出来る腕利きのデジタルフォレンジックにおける達人を必要としています。訓練されたインシデントレスポンダでも出来るのは、侵害を放置したまま企業を守るぐらいです。「FOR508:Advanced Digital Forensics, Incident Response, and Threat Hunting」は、これらの高度な脅威に対してステップアップできるアナリストになるための重要なトレーニングです。 敵は優秀ですが、それに勝る能力を手に入れることができるでしょう。本コースは、あなたが最高の人物になれるよう支援します。
- Rob Lee
私たちは、大規模で複雑なネットワークに蓄積された想像しがたいデータ量の世界と対峙しています。攻撃者は、この複雑さを利用して防御を切り崩して侵害してくるようになりました。この現状に対してインシデントレスポンスは曲がり角に差し掛かっているのです。古いモデルは、新たな攻撃に対応するため、防御側をより効果的かつ迅速にアップグレードしなければなりません。最も成功したインシデント対応チームは、日々対峙することでますます進化しています。新たなツールや技術が開発され、より良い可視性を提供し、ネットワークをより防御的にします。すると、成功事例はますます多くなり、組織は迅速に侵入を特定し、その問題を改善できるのです。
私は、皆さんをこれらのような成功に導くためにこのコースを作成しました。実務でもそうであるように、コースは継続的に更新されるので、最新の技術がコースにもたらされます。FOR508はインシデントレスポンスの分野だけでなく、すでにハントチームを率いている人にとって、他の経験者から学ぶことを容易にし、さらなるレベルに引き上げるために必要なスキルを支援します。
- Chad Tilbury-
あなたを標的にしている攻撃者に対して利点を得る方法があります。それは、正しい考えや何が効果的であるかを知ることから始まります。
この10年は、ネットワークディフェンダーにとって決して親切なものではありませんでした。現代の企業に対する脅威は無数にあり、攻撃者は企業ネットワークの計り知れない複雑さを利用して私たちを攻撃してきました。しかし、潮目は変わりつつあります。過去10年間で、組織に対する巧妙な攻撃が劇的に増加しています。中国やロシアのような国の諜報サービスに端を発した国家による攻撃は、しばしばAPT(Advanced Persistent Threat)と呼ばれていますが、これを抑制することは困難であることが判明しています。世界のあらゆる場所からの大規模な金融攻撃は、数十億ドルの損失をもたらしました。ランサムウェアによる財産強要は、ほぼ一夜にして実存する脅威となりました。私たちには不利な状況にありますが、一方で、最高のチームがこれらの脅威を管理し、軽減することが可能であることも証明しています。FOR508は、そのような苦労の末に得られた教訓を講義に反映し、皆様に提供することを目的としています。
このコースは、組織が侵入を検知して対応する能力を高めることを目的としています。これは達成可能な目標であり、ネットワーク内の悪を発見するために必要なツールとテクニックを教えることから始まります。このコースは、あなたとあなたの組織をソリューションの不可欠な一部にするように設計されています。インシデント対応者と脅威ハンターは、インシデントの迅速な修復という究極の目標を持って、高度な敵を特定し、追跡し、封じ込めるために、最新のツール、分析技術、および企業の方法論で武装していなければなりません。さらに、インシデントレスポンスと脅威ハンティングのアナリストは、企業内の何千ものシステムにまたがる可能性のある取り組みをスケールアップすることができなければなりません。1日目は、高度な脅威グループへのインシデントレスポンスに適用される6段階のインシデントレスポンス方法論を検討することから始めます。サイバー脅威インテリジェンスを開発して敵の「KillChain」に影響を与えることの重要性を解説し、フォレンジックの観点でのライブレスポンス技術と戦術が、単一システムにも企業全体にも適用できることを実証していきます。
攻撃を理解することは、攻撃を検知して軽減するためには非常に重要な事です。初日に攻撃者のテクニックの教育を開始し、一般的なマルウェアの特徴を学び、ネットワーク内での永続性を維持するために敵が使用するテクニックを深く掘り下げていきます。永続性は、攻撃サイクルの早い段階で完了し、ネットワークを監査して早期発見を達成するためのハンティング技術を学びます。特に、Living off land binaries(ほとんどの環境で利用可能なローカルツール)、PowerShell、および WMI ベースの攻撃は、高度な敵の標準的な攻撃手順となっており、このような大規模な攻撃を特定するためのツールやテクニックについて多くを学習します。最後に、マイクロソフトのクレデンシャルについて詳しく説明します。現代の企業におけるクレデンシャルの複雑さは誇張されるものではなく、クレデンシャルはあらゆるネットワークに存在する一番の脆弱性です。クレデンシャルを狙うために使用されているツールやテクニックを理解することで、これらの破壊的な攻撃を防止、検出、軽減する方法を学びます。
最も高度な攻撃者も足跡をあらゆるところに残します。最高のハンターの秘密を学んでください。
サイバーディフェンダーには、ネットワーク内の敵の活動を特定、捜索、追跡するためのさまざまなツール類が用意されています。各攻撃者の行動は対応するアーティファクトとして証跡(フットプリント)が残されており、予測可能な攻撃パターンに対して調査を集中することが各チームメンバーに求められます。一例として、ある時点で、攻撃者はその目的を達成するためにコードを実行する必要があります。このアクティビティは、アプリケーション実行アーティファクトによって識別できます。攻撃者はコードを実行するために1つまたは複数のアカウントも必要となります。したがって、アカウント監査は悪意のある操作を識別する強力な手段となります。攻撃者はネットワーク全体に移動する手段も必要とするため、私たちはミッションのこの部分を達成するための比較的少数の方法によって残された証跡を探します。このセクションでは、一般的な攻撃者のスパイ活動の技術について説明し、エンタープライズ内の悪意のあるアクティビティを識別するために使用できる様々なデータソースとフォレンジックツールについて解説します。
メモリ分析を使うのは時にズルをしているように感じます - アクティブな攻撃を見つけるのは簡単ではありません。
メモリフォレンジックは、わずか数年の間に長い道のりを歩んできました。現在では、多くの高度なtool suitesの重要なコンポーネントとなっており、インシデントレスポンスや脅威ハンティングを成功させるチームの中心となっています。メモリフォレンジックは、標的型攻撃者が使用したワーム、Rootkit、PowerShell、ランサムウェアの前兆および高度なマルウェアの証拠を見つけるのに非常に効果的です。実際、ファイルレス攻撃の中には、メモリ解析なしでは解明が不可能に近いものもあります。メモリ解析は従来、Windows内部に精通した専門家やリバースエンジニアの領域でしたが、新しいツール、技術、検出ヒューリスティックにより、今日ではすべての調査者、インシデントレスポンダー、および脅威ハンターが利用できるようになりました。さらに、メモリ内の攻撃パターンを理解することは、幅広いエンドポイント検知・レスポンス製品(EDR)に適用可能なコア・アナリストのスキルであり、これらのツールをさらに効果的なものとします。この非常に人気の高いセクションでは、活用可能な最も強力なメモリ解析機能の多くをカバーし、使用するツールセットにかかわらず、調査を超強化するための高度なメモリ・フォレンジック・スキルの確固たる基礎を提供します。
メモリに常駐する攻撃者のコマンドラインの抽出
受講生は、F-Response Enterprise Editionの6ヶ月間のフルライセンスを受けることができ、ワークステーションまたはSIFTワークステーションを使用して、企業内の何百、何千ものシステムに接続し、アクションをスクリプト化することができます。この機能は、新しいインシデントレスポンスと脅威検知技術をベンチマーク・促進し、実証するために使われます。これにより、レスポンダは、メモリとディスク上の企業ネットワーク全体で侵害の指標を探すことができます。
タイムライン解析は、デジタルフォレンジック脅威のハンティング及びインシデントなどへの対応方法に変革をもたらします。
タイムライン解析を知れば、今までのデジタルフォレンジックとインシデントレスポンスのやり方が劇的に変わるでしょう。スパイ活動に対するタイムライン解析の先駆者から直接学ぶことで、その高度な解析技術を知ることができます。
一時データは、コンピュータシステムのありとあらゆる所に存在しています。ファイルシステムの更新・アクセス・作成・変更時刻、ログファイル、ネットワークデータ、レジストリデータ、ブラウザの履歴ファイルなど、すべての時間データは関連付けられ、分析することで事件を迅速に解決することができます。2001年にRob Leeがこの分析手法を開拓して以来、タイムライン解析は複雑な事件を解決する強力な調査手法として使用されてきました。新しいタイムライン解析のフレームワークでは、いくつもの時間ベースの解析を同時に処理することができます。これにより解析に費やす時間が1日から数分に短縮することができ、強力な調査手法としての立場を不動のものとしています。
このセクションでは、複雑なインシデントとフォレンジック事例においてタイムラインを作り、それぞれ解析する2つの手法について順に見ていきます。演習では、タイムラインの作成方法だけではなく、受講者が実際に経験した事例などを題材として、より効果的な分析につなげるための方法を紹介します。
システムアーティファクト、ファイルシステム、レジストリのタイムラインをフィルタリングする方法を学び、最も重要なデータソースを効率的に識別する方法をご紹介します。
実行可能な異常の検出
優秀な敵に対して、私達は彼らを上回る能力を身に付けなければなりません。
フォレンジック対策のステップの中には、比較的簡単に検知できるものもあれば、対応するのが難しいものもあります。そのため、フォレンジックの専門家やインシデントレスポンダは、重要な残存証拠として明らかにすることができるオペレーティング・システムとファイル・システムの様々な側面について知識を持っていることが重要です。サイバー犯罪組織はアンチフォレンジック技術を積極的に利用するようになっています。このセクションでは、主にファイルシステムに焦点を当てて、調査に関係するファイル、ファイルの断片、およびファイルのメタデータを復元します。これらの痕跡は、削除されたログ、攻撃者のツール、マルウェアの構成情報、流出したデータなどを分析者が発見するのに役立ちます。これにより、攻撃者のTTPをより深く理解することができ、侵入を徹底的に調べ上げるためのより多くの脅威インテリジェンスが得られることがよくあります。場合によっては、これらのディープダイブのための技術が、攻撃者が対象のシステム上で活動していたことを証明する唯一の手段になることもあります。これらの技術は、不正侵入を調査するケースにに非常に関連性が深いですが、ほぼすべてのフォレンジック調査に活用できます。
この非常に豊富で現実的な企業侵入演習は、実際の高度持続的脅威(APT)グループに基づくものです。この演習では、コースの前半で学んだテクニックをまとめ、高度な敵による攻撃の調査において新たに習得したスキルをテストします。この課題では、Windowsエンタープライズ環境への実際の侵入を想定しています。最初の侵入でシステムがどのように侵害されたかを明らかにし、敵の横の動きによって侵害された他のシステムを見つけ、データ流出によって盗まれた知的財産を特定することが求められます。最後の侵入ラボを解決するには、Windows 10および11のワークステーション、DMZサーバー、ドメインコントローラー、内部開発サーバー、ホスティングされたExchangeメールなど、30以上のシステム上のアーティファクトを調査する必要があります。このコースでは、国家から金融犯罪シンジケート、トップレベルのランサムウェアグループまで、さまざまな攻撃者の高度な脅威と戦ってきた数十年の経験を持つ講師陣が、実際の攻撃を調査する実習を行います。
ネットワーク全体にわたる攻撃者の行動を特定・追跡する方法を学び、初期搾取、偵察、永続性、クレデンシャルダンピング、ラテラルムーブメント、ドメイン管理者への昇格、データの窃盗/侵入を発見します。