あなたはサイバーセキュリティ機能を実装した仮想組織、「SyncTechLabs」の構築を手助けするために採用されたとしましょう。さて初日に、上司から話しを持ちかけられました。「最近のサイバーセキュリティの傾向報告を見たが、どうやら我々は方向性を失っているようだ。APTやランサムウェア、DoS… どこから手をつければよいか分からないのだよ。」
サイバー脅威は日々その脅威の度合いを高めています。ランサムウェアは組織規模の大小に関係なく影響を与え、国家的犯罪組織はあなたの最重要機密を狙いにきているのです。
SEC599: Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses は今日の脅威を克服するために必要な知識と専門性を身につけます。予防のみの戦略では不十分であることを認識し、敵対者を阻止、検知、対応することを目的としたセキュリティの制御を学びます。
コースの著者であるErik Van BuggenhoutとStephen Sims(共にGIACセキュリティエキスパート)は、ペネトレーションテストとインシデントレスポンスの両方の観点からサイバー攻撃がどのように成功するかについて、誰よりも深い理解と豊富な経験を持っています。彼らがペネトレーションテストのコースを教えている際に、「攻撃手法はわかったけど、どうしたらこのような攻撃を防御できるの?」とよく質問されたことが、このコースの開発のきっかけになっています。20以上のハンズオンラボと最終日に一日かけて実施する「Defend-The-Flag」演習を行うことで、防御スキルが身につくでしょう。6日間で構成されるこのトレーニングでは、まず最近の攻撃事例を徹底的に分析します。どのような攻撃が起きているのかを説明し、サイバーキルチェーンやMITRE ATT&CKフレームワークなど、敵の行動に関する公式な記述を紹介します。
攻撃の仕組みを理解するために、1日目の演習では、当社の仮想組織「SYNCTECHLABS」を攻略していただきます。
2日目から5日目ではサイバー攻撃に対する防御、検知、対応方法の効果的なセキュリティ対策の実装について議論しつつ数々のラボを行います。
- MITRE ATT&CKを組織内の「共通言語」として活用する
- ペイロードを解析するための独自のCuckooサンドボックスソリューションの構築
- スクリプトの実行を改善するための効果的なグループポリシーの開発 (PowerShell、Windows Script Host、VBA、HTA などを含む)
- スクリプト制御のための主要なバイパス戦略のハイライト(アンマネージドPowershell、AMSIバイパスなど)
- ExploitGuardとアプリケーションのホワイトリストを利用した0-dayエクスプロイトの停止
- アプリケーションのホワイトリスト化における主要なバイパス戦略のハイライト(AppLockerに焦点を当てながら)
- 粘り強いマルウェアの検出と防止
- 中央集約型のログ解析ソリューションとしてのElastic stackの活用
- Sysmon、Windowsイベント監視、グループポリシーによるラテラルムーブメントの検出と防止
- ネットワークトラフィック分析を用いたCommand&Control(C&C)の阻止と検知
- 脅威インテリジェンスを活用したセキュリティ態勢の改善
最終日に実施する「Defend-the-Flagチャレンジ」では高度な敵からあなたのネットワークをセキュアに保つことが求められます。異なる種類の攻撃からシステムを守り抜くことができますか?
敵は決して攻撃の手を緩めることはありません。
