ニュースレター登録
資料ダウンロード
お問い合わせ

Industrial Control Systems 515

ICS Visibility, Detection, and Response

Industrial Control Systems Security

English
日程

2022年10月24日(月)~10月29日(土)

期間
6日間
講義時間

1日目:9:00 ~ 17:30
2日目~6日目:9:30 ~ 17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GRID
講師
Jason Dely|ジェイソン デリ
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
20名
CPEポイント
36 Points
受講料

1,100,000円(税込 1,210,000円)

申込締切日
2022年10月14日(金)
オプション
  • GIAC試験  135,000円(税込み 148,500円)
  • OnDemand  120,000円(税込み 132,000円)
  • NetWars Continuous  220,000円(税込み 242,000円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。

※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

ICS515 PC設定詳細

重要:以下の環境のノートPCをご持参下さい。
講義の全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく授業を受けることができない可能性が高いです。そのため、以下の条件をすべて満たすシステムを用意することを強くお勧めします。

注意:実習のためのツール類をインストールすることによって、一部システムの動作に支障をきたす可能性があります。SANSではデータの破損や読み書きに関して責任をとることはできませんので、重要なデータが格納されているノートPCでの実習はお控えください。

ノートパソコンのハードウェア要件、ソフトウエア要件

  • 64ビット環境のシステムであること
  • Windows 10、macOS 10.15.x以降、またはLinuxの最新版で、後述のVMware仮想化製品をインストールし、実行することも可能なもの。
  • USBポートが1つ以上あること
  • VMware Workstation Pro 15.5VMware Workstation Player 15.5VMware Fusion 11.5 以上のバージョンのインストール。
  • ファイアウォールやウイルス対策ソフトを含む全てのセキュリティソフトウエアの機能を無効化できること。
  • 160GB以上のハードディスク空き容量
  • 8GB以上のRAM 16GBを推奨
  • 仮想化(VT)をサポートするためにBIOS設定を更新できること
  • 無線ネットワーク接続ができること(802.11 B/G/N/ACのいずれか)

    注意 : M1プロセッサ搭載のapple社製品は現時点で必要な仮想化を行うことができないため、使用できません。

    コースメディアはダウンロード型で配信されます。クラスのメディア・ファイルはサイズが大きく、40 -50 GBといった大きさのものがあります。ダウンロードが完了するまでには、十分な時間が必要です。インターネット接続と速度はさまざまで、さまざまな要因によって異なります。したがって、資料のダウンロードにかかる時間を見積もることはできません。リンクを取得したら、コースメディアのダウンロードを開始してください。授業の初日には、すぐに教材が必要になります。クラスがダウンロードを開始する前の夜まで待機すると、失敗する可能性が高くなります。

    SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。サブモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

LiveOnlineでのコースメディアの事前準備、テキストについて

コースのメディアがダウンロード版で配信されるようになりました。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。

SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。セカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

ICS515 コース概要

「ICS515:ICS アクティブディフェンスとインシデントレスポンス」は、ICSのサイバー攻撃をひもといて、アクティブディフェンスという考え方を採用することで、あなたのICSに対する脅威を特定し、対応を支援できるようになることを目指しています。また、インシデントレスポンスの手順により、安全で信頼性の高い運用が可能になるでしょう。

本コースでは、ネットワーク化された産業制御システム(ICS)環境の理解から、システムに対する脅威の監視、特定された脅威へのインシデントレスポンス、および攻撃者と対峙可能なネットワークセキュリティの強化につなげていくようになっています。このアプローチは、STUXNET、HAVEX、BLACKENERGY2、CRASHOVERRIDE、TRISIS/TRITON、ランサムウェアなどのマルウェアで見られるような高度な脅威に対抗するために重要です。さらに、この取り組みは、現代の複雑なオートメーション環境を理解し、運用し、ネットワーク上に現れる非サイバー関連事象の根本原因分析を達成するためにも重要です。このコースは、ICSサイバーセキュリティプログラムに必要なコアスキルを習得することができます。

このコースでは、脅威の検出と対応を高度にシミュレートするために、ICSレンジと機器からの多数の技術データセット、模擬攻撃、レンジに展開された実世界のマルウェアを使用した実践的なアプローチを採用しています。また、プログラマブルロジックコントローラ(PLC)、発電・送電・配電レベルの電力システム運用をエミュレートする物理キット、ヒューマンマシンインターフェース(HMI)およびエンジニアリングワークステーション(EWS)として設定された仮想マシンを操作・管理することもあります。

学生はコースの約半分を費やし、25以上の技術演習と終日の技術キャップストーンを通し、実技を行います。ICSサイバーセキュリティ戦略の定義、脅威インテリジェンスの活用、ネットワークセキュリティ監視、インシデントレスポンスについて、実践的かつ技術的に理解することができるようになります。ICSサイバーキルチェーン、コレクションマネジメントフレームワーク、アクティブサイバーディフェンスサイクルなどのフレームワークを学び、授業後に活用できる再現性の高いフレームワークとモデルを身につけます。

主な内容:

  • セキュリティ運用に注力したインシデントレスポンスを実施し、運用の安全性と信頼を優先させる方法。
  • 環境を維持するために必要な、脅威情報の生成プロセス、コミュニティからの入手方法や活用方法。ICS脅威情報の詳細な分析と適用を定期的に行うスキル。
  • 資産とそのネットワークトポロジを特定する方法、および注目すべきICSでの異常や脅威を監視する方法。ICSネットワークセキュリティ監視などの方法論と制御システムの脅威環境を低減するための方法。
  • 素早く環境の特定をするために必要な、重視すべき情報と脅威の根本原因の理解につながるマルウェアの分析方法
  • 攻撃を受ける中で、運用チームや意思決定者に対して、稼動停止をするか否かの指示を行うために必要な情報の取得方法。
  • アクティブディフェンスと防護を目的とした、複数のセキュリティ施策の相互連携方法。テクニカルコンセプトとハンズオンの二つで補強します。

本講座受講にあたっての前提

ITまたはICSの経験がある方のほか、SANSのICS410、ICS456、SEC401またはそれらと同等のサイバーセキュリティに関する経験をお持ちの方。ICSに関する経験は必須ではありませんが、SCADA、DCS、PLC、RTUなどのICS用語やOT環境におけるリスク分解と緩和アプローチに関する理解があることをお勧めします。

本コースを受講後にお勧めのコース:FOR578、FOR572、FOR508、FOR610、SEC511

受講対象者

  • ICSインシデントレスポンスチームのリーダーまたはメンバーで、ICSを安全に運用するために必要な、高度な脅威に対応する方法に学びたいと考えている方。
  • ICSや運用、およびセキュリティプロフェッショナルで、ICSアクティブディフェンスを活用し、ネットワークセキュリティ監視や脅威情報の取組みについて学びたい方
  • ITセキュリティプロフェッショナルで、ICSプロトコル、脅威、優先順位など、ICS分野の知識を伸ばしたい方
  • SOCチームやアナリストで、ICS SOCやデュアルIT/OT SOCにおいて、OTネットワークやICS資産を関する方法を学びたい方
  • ICSレッドチームとペネトレーションテスターの方で、最新の防御戦略のなかで、 最大限のパフォーマンスを発揮し、ICSネットワークの改善ポイントを見出したい方
  • アクティブディフェンスを担当する方で、自ら高度な標的型攻撃を特定し、対応する方法を学びたい方

※ICS515は、GIAC(GRID)認定試験対象コースです。

受講内容の一例

  • ネットワークにおける高度な脅威を特定するうえで、必要なネットワークの基本情報を得ることを目的としたICSネットワークの検査、資産情報やそのデータフローを特定します。
  • アクティブディフェンスのコンセプトを活用し、脅威情報の使いかたやネットワークセキュリティ監視、マルウェア分析など、ICS防御に焦点を定めたインシデントレスポンスの進め方を理解します。
  •  ICS515 Student Kitを使用した独自PLCの作成をします。

  • STUXNET、HAVEX、BLACKENERGY2、CRASHOVERRIDE、TRISIS/TRITON、EKANSなどのICS標的型脅威とマルウェアに関する深い知識を得ることができます。
  • Shodan、Wireshark、Zeek、Suricata、Volatility、FTK Imager、PDF アナライザ、PLC プログラミングソフトウェアなどの技術ツールの利用
  • YARAでIOC(indicators of compromise)を作成する。
  • Sliding Scale of Cybersecurity、Active Cyber Defense Cycle、Collection Management Framework、ICS Cyber Kill Chain などのモデルを利用して、脅威から情報を抽出し、ICS ネットワークセキュリティの長期的成功を促進するために利用することができる。

ハンズオン

  • ICS515 Student Kitを用いたPLCの構築。
  • Shodanを用いた資産情報の確認。
  • 競合仮説分析
  • 脅威情報レポートの取り込み
  • ラボのネットワーク上でadvanced persistent threat (APT)の影響を受けたHuman Machine Interface(HMI)にインシデントレスポンダーを誘導するための新しいアクティブ・ディフェンス・スキルの確認
  • ネットワーク上で確認されたAPTマルウェアの影響を受けているシステムを特定し、分析可能な脅威のサンプルを収集
  • 感染したHMIと特定されたAPTマルウェアのサンプルから、マルウェアを分析し、情報を抽出し、アクティブディフェンスを完成させるためのYARAルールを作成
  • SANS ICS515 Student Kitに侵入して収集したライブデータ、およびマルウェアに感染した分散制御システム(DCS)から収集したデータを含む、3種類の実地シナリオに対応します。

 

コース開発者より

本コースは、米国の情報機関や制御システム関連のコミュニティが、産業制御システムを部隊として高度な攻撃者と対峙する時の一助になるように、私の実体験を元に発展させたものです。この講習は、攻撃者と敵と対峙しなければならなかった当時に、自分が受講したいと思える作りになっています。そのため、本講習のコンテンツはあなた方が判別済みの脅威と直面した際に、セキュリティレベルと信頼性のある運用を維持するために必要な事柄から構成されています。ICS515は実行可能な防御方法としてあなた方の強力な後押しになるはずです!
- Robert M. Lee

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

ICS Cyber Threat Intelligence

Industrial control systemICS)のセキュリティ専門家は、内部および外部の脅威インテリジェンスを活用して、脅威を批判的に分析し、indicators of compromiseIOC)を作成し、tactics, techniques, and proceduresTTP)を文書化し、環境中の脅威を発見できるようにセキュリティチームをけん引しなければなりません。このコースの初日では、脅威情報の生成方法、レポートを批判的分析する方法、アクティブディフェンス機能の基本的な考え方を学びます。職業や役割を問わず、日々の業務に役立つスキルを学ぶことで、より優れた分析者、批判的思考者になることができます。PLCProgrammable Logic Controller)の構築、Shodanを使った資産に関する情報特定、競合仮説分析、攻撃空間の視覚化、脅威情報レポートの取り込みの5つのラボを実践します。

 

演習

  • Programmable Logic Controllerの構築
  • 競合仮説分析
  • インテリジェンス・レポートの分析
  • ICS 情報攻撃空間の特定
  • MaltegoとShodanのヒートマップ

トピック

  • ケーススタディ:STUXNET
  • ICSアクティブディフェンスの紹介とコースシナリオ
  • サイバー脅威のインテリジェンス入門
  • ICSサイバーキルチェーン
  • スレットインテリジェンスの消費
  • ICSの脅威の状況

Visibility and Asset Identification

自分が知らない・認識できていないようなことを、何かから防御するのは非常に困難が伴います。この日はまず、PLCを活用して電力系統の運用を行い、ICSの運用をより深く理解し、資産識別のどのような側面が運用に役立つかを学びます。学生は、パケットキャプチャ、ICSプロトコル、トポロジーを4つの実習で分析し、ネットワーク情報から何を抽出し、機器のメーカーやモデル、ファームウェア、シリアル番号、ポート、プロトコル、論理アドレス情報を含む資産目録を作成できるかを学びます。

この日は、コレクション管理フレームワークの概念を中心に、産業運用とセキュリティ運用の両方のニーズに合わせた収集と可視化の戦略を構築する方法を学びます。

演習

  • プロセスの運用
  • ICSトラフィック解析
  • ICSプロトコル解析
  • ICSネットワークマッピング

トピック

  • ケーススタディ ボパール災害
  • 資産目録とコレクション管理フレームワーク
  • ICSネットワークの可視化とITディスカバリープロトコル
  • ケーススタディ ランサムウェアと予防のための萎縮
  • ICSプロトコル
  • ケーススタディ トンボ - HAVEX
  • ICSネットワークのアーキテクチャとトポロジー

ICS Threat Detection

脅威の検知は、標的型および非標的型のICSの脅威に直面したときに回復力を維持するための中核となるものです。このセクションでは、さまざまな種類の検知について学習し、ICS/OTネットワークの検知戦略を構築します。まず、脅威ハンティングとは何か、そしてICSを安全に利用するための方法について学びます。学生は、産業環境への攻撃の始まりを特定し、それを完了まで追跡するために、コースのICS範囲からネットワークキャプチャに一日を費やすことになります。5つの実習を通して、学生は侵入とICSサイバーキルチェーンのステージ1侵入の違いを識別することを学び、敵対者がコントローラのロジックを操作しようとしているステージ2侵入を調査します。

演習

  • ステージ1の侵入を検知する
  • ステージ2の侵害の調査
  • 制御操作のトラフィック解析
  • システムロジックの変更の検証
  • 制御エレメントのロジック操作

トピック

  • ケーススタディ ドイツの製鉄所への攻撃
  • ICS脅威ハンティング
  • 脅威の検知戦略
  • ケーススタディ SANDWORM - BlackEnergy 2とBlackEnergy 3
  • ICSネットワークセキュリティの監視
  • イベント分析と物理的影響

Incident Response

ICSレスポンスを適切に準備し、実践可能な能力を備えるのは、安全かつ信頼できる制御システムを運営するうえで必要不可欠です。ICSインシデントレスポンスは、ICSのアクティブディフェンスを実践するうえでコアとなるコンセプトであり、アナリストは環境における運用上の脅威と影響を勘案しつつ、安全にデジタルエビデンスを取得する必要があります。ICSインシデントレスポンスは、まだまだ未成熟な分野ですが、効果的な戦略とツールを使用して、フォレンジックに必要なデータを収集かつ保全する術を学習します。受講生は、これらの収集したデータを利用して適宜フォレンジック分析を実施し、IOCを作成していきます。前章のラボでは、ネットワークにAPTマルウェアが検出されましたが、本章でのラボは、どのシステムが影響を受けたかを特定し、分析可能な脅威サンプルを収集することに注力していただきます。

演習

  • 運用環境の獲得
  • PLCロジックとプロトコルの根本原因解析
  • フィッシングメールの分析
  • HMI メモリのフォレンジック
  • プロセスのトリアージ

トピック

  • ケーススタディ SANDWORM - ウクライナ 2015
  • ICSデジタルフォレンジックとインシデントレスポンスの概要
  • ICSインシデントレスポンスチームの準備
  • ケーススタディ ELECTRUMとCRASHOVERRIDE - ウクライナ 2016年
  • 初期危害のベクトル
  • ICSにおけるフォレンジックデータソース

Threat and Environment Manipulation

脅威に対する理解は、ICSに影響を及ぼす能力や、可能性を探索するうえで最も重要な要素です。例えば、マルウェア分析などのプロセスから導き出される情報は、環境に対する脅威を低減させる目的でシステムに対して変更を行う際、たいへん重要な判断材料となります。得られた情報は、ICSアクティブディフェンスに不可欠であり、脅威インテリジェンスを作成し共有するための内部データ収集が必要です。このセクションでは、学生はコースのシナリオを仕上げ、ICSネットワークにおける障害の根本原因を特定し、IOCのマルウェアに関するYARAルールを作成します。半日、学生は、教育的であるガイド付きのシナリオで自分のスキルを試すために、別の完全なシナリオでミニキャプストンを経験します。

演習

  • PLCロジックとプロトコルの根本原因解析
  • フィッシングメールの分析
  • HMI メモリのフォレンジック
  • プロセスのトリアージ
トピックス
  • ケーススタディ ゼノタイム - トリス
  • ICSの脅威と環境操作の目標と考慮事項
  • 脅威の分析とマルウェアのトリアージ
  • YARA
  • ミニキャプストン

ICS515.6: Capstone Day, Under Attack!
概要
このセクションは、パケットキャプチャ、ロジック、メモリイメージなど、危険にさらされたICSレンジや機器からの課題をクリアしていく、1日がかりのテクニカルキャプストンです。これは、ICSとOTの実世界のシナリオに備える技術的な課題を解決することによって、可能な限り多くのポイントを獲得することを試みる、楽しくて教育的な体験を提供することを意図しています。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。