ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 578

Cyber Threat Intelligence

Digital Forensics and Incident Response

English
日程

2024年10月28日(月)~2024年11月2日(土)

期間
6日間
講義時間

1日目:9:00-17:30
2日目~6日目:9:30-17:30

受講スタイル
ハイブリッド (LiveOnlineとOnsiteの同時開催)
会場

◆LiveOnline形式
 オンライン

◆Onsite形式(予定)
 御茶ノ水トライエッジカンファレンス(https://try-edge.infield95.com/
 東京都千代田区神田駿河台4-2-5 御茶ノ水NKビル(トライエッジ御茶ノ水)11階

GIAC認定資格
GCTI
講師
Justin Parker|ジャスティン パーカー
SANS認定インストラクター候補
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

早期割引価格:1,220,000 円(税込み 1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,350,000 円(税込み 1,485,000 円)

申込締切日
早期割引価格:2024年9月13日(金)
通常価格:2024年10月18日(金)
オプション
  • GIAC試験  160,000円(税込み 176,000円)
  • OnDemand  160,000円(税込み 176,000円)
  • NetWars Continuous  270,000円(税込み 297,000円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR578 PC設定詳細

講義の全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく授業を受けることができない可能性が高いです。そのため、以下の条件をすべて満たすシステムを用意することを強くお勧めします。

講義の前にシステムをバックアップしてください。SANSは、システムまたはデータに対して責任を負うことはできませんので、システムに保存されている機密データは残さないようにしておいてください。

ノートパソコンのハードウェア要件

  • CPU: 64ビットIntel i5/i7(第8世代以降)、またはAMD同等品。このクラスでは、64ビット、2.0GHz以上のプロセッサーが必須。
  • 重要: Appleシリコンを搭載したデバイスは必要な仮想化を行うことができないため、このコースでは一切使用できません。
  • 「Intel-VTx」や「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定が必要です。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、絶対にアクセスできるようにしてください。
  • 16GB以上のRAMが必要です。
  • 100GB以上のストレージ空き容量が必要です。
  • 利用可能なUSB 3.0 Type-Aポートが1つ以上あること。新しいノートパソコンには、Type-CからType-Aへのアダプタが必要な場合があります。エンドポイントプロテクションソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
  • ワイヤレスネットワーク(802.11規格)が必要です。教室では有線のインターネット接続はできません。

ホスト構成およびソフトウェア要件

  • ホストOSは、Windows 10、Windows 11、またはmacOS 10.15.x以降の最新バージョンである必要があります。
  • 授業前にホスト・オペレーティング・システムを完全にアップデートし、正しいドライバとパッチがインストールされていることを確認してください。
  • Linuxホストはバリエーションが多いため、教室ではサポートしていません。Linuxをホストとして使用する場合、コース教材および/またはVMと連動するように設定する責任は各自にあります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。ITチームにそうでないと言わせないでください)。受講期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • ウイルス対策ソフトやエンドポイント保護ソフトが無効になっていること、完全に削除されていること、またはそのための管理者権限を持っていることを確認してください。私たちのコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品はラボの達成を妨げる可能性があります。
  • 退出トラフィックのフィルタリングは、あなたのコースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持ってください。
  • ホストにインストールされているMicrosoft Office (バージョンは問いません)。なお、Officeの試用版ソフトウェアはオンラインでダウンロードできます(30日間無料)。
  • VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+(Windows10ホスト用)、VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+(Windows11ホスト用)、VMWare Fusion Pro 12.2+またはVMware Fusion Player 11.5+(macOSホスト用)をクラス開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトからトライアルに登録すると、期間限定のシリアル番号が送られてきます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホスト・システムを使用している場合は、よりシームレスな学生体験のためにWorkstation Proをお勧めします。
  • Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、および Credential Guard を無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
  • 7-Zip (Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールします。これらのツールもダウンロードしたコース教材に含まれています。

コースのメディアは、ダウンロード版で配信されるようになりました。多くは40~50GB、中には100GBを超えるものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。

コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスのイベントに参加する前、またはオンライン・クラスを開始する前に行わなければならない重要な手順の詳細が記載されています。これらの手順を完了するには、30分以上かかる場合があります。セカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

ノートパソコンの設定に関して追加で質問がある場合は、sans-info@nri-secure.co.jp (NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください。(英文)

FOR578 コース概要

攻撃者から教わることは膨大です!

すべてのセキュリティ専門家に対して、FOR578:サイバースレットインテリジェンスコースへの参加を推奨します。このコースでは、今までに学習してきた他の技術トレーニングとは異なり、既存のスキルを補強しながらセキュリティスキルセットの強固な基盤を確立できる構造化分析に重点を置いています。

本コースでは、以下のようにセキュリティのあらゆる分野を通じたインテリジェンス能力の確立を支援します。

  • 複雑なシナリオを理解したうえで、統合、活用するための分析スキル
  • スレットモデリングなどを通じたインテリジェンス要件の特定、作成
  • スレットインテリジェンスの戦術、運用、戦略レベルにおけるスキルの理解
  • スレットインテリジェンスの生成と、集中型および標的型の脅威の検出、および未然防止
  • 敵対者のデータを収集するための様々な情報源と、それらの利活用方法
  • 悪意あるインテリジェンスコストを最小限に抑えるための、外部情報検証
  • YARA STIX/TAXII などの形式によるで Indicators of Compromise(IOC)を作成
  • 敵の戦術、技術、手順を理解し、キルチェーン、ダイヤモンドモデル、MITRE ATT&CKなどのフレームワークの活用
  • セキュリティのために構造化された分析手法の確立

セキュリティ専門家は自らをアナリストと呼ぶのが一般的です。しかし、単に技術トレーニングに参加するのではなく、構造化分析に関するトレーニングの受講や体得した人はどれ程いるでしょうか?どちらも重要ですが、アナリストは分析に必要な考え方の訓練に焦点を当てることはほとんどありません。このコースでは、既存の知識を補完し、セキュリティチームの新しいベストプラクティスを確立するための新しい考え方、方法論、テクニックを学びます。適切な分析スキルは、ディフェンダーが日常的に曝される複雑な状況での手掛かりとなります。

 

敵対者の意図や機会、攻撃能力に関する分析は、一般的にサイバースレットインテリジェンスとして知られています。インテリジェンスはデータフィードではなく、ツールからもたらされるものでもありません。インテリジェンスは、重要な知識のギャップやお互いに譲歩が難しい点を明らかにするだけではなく、組織の要件に答える実行可能な情報であるべきです。敵対者に関する知識の収集や分類、あるいは抽出の結果は、敵対者に優位性をあなたの組織に与える、仮に攻撃が行なわれたとしても、それらの経験から学び進化してゆくものです。

 

したがって、サイバースレットインテリジェンスは、洗練された脅威に対処すべくレスポンスや識別の能力を確立、あるいは高めようとする組織にとって、これ以上ない支援ができるでしょう。マルウェアは敵対者のツールですが、サイバースレットインテリジェンスは、適切な訓練と権限を与えられた職員によって整理された、本当の脅威である人間に対処することに焦点が当てられています。

 

敵対者の情報は、すべてのセキュリティチームにとって重要です。レッドチームは、敵対者の手法を理解して、その技術を再現してみる必要があります。セキュリティオペレーションセンターでは、侵入に関する対処の優先順位付けの方法を知り、すぐに注意が必要なものに迅速に対処する必要があるでしょう。インシデント対応チームは、対象となる検知情報について迅速に内容を把握し対応する方法について実用的な情報が必要であり、脆弱性を管理するグループは、優先順位付けのために最も重要だと判断できる脆弱性の情報と、それらによってもたらされるリスクを理解する必要があります。また、スレットハンティングチームは、新しい脅威を発見するために敵対者の思考や挙動について理解をしなければなりません。

 

言い換えれば、サイバースレットインテリジェンスは、敵対者に対応するために必要な全てのセキュリティプラクティスを明らかにすることなのです。 FOR578:サイバースレットインテリジェンスは、進化する脅威の状況をこれまで以上に深く理解し、その脅威に正確かつ効果的に対処するために必要な戦術的な運用、および戦略的に取り組まれたサイバースレットインテリジェンスのスキルを通じて、セキュリティチームや組織を支援できるようなノウハウを習得することができます。

本講座受講にあたっての前提

FOR578は、セキュリティのトレーニングを受けたことがある人、またはその分野の経験がある人にお勧めのコースです。受講者は、いくつかのラボでLinuxのコマンドラインを使用することに慣れ、(ウォークスルーは提供されますが)セキュリティ用語に精通している必要があります。

FOR578につながるコースの一部をご紹介します。

  • SEC401 - Security Essentials Bootcamp Style
  • SEC511 - Continuous Monitoring and Security Operations
  • FOR508 - Advanced Incident Response
  • FOR572 - Advanced Network Forensics
  • FOR526 - Memory Forensics In-Depth
  • FOR610 - REM: Malware Analysis
  • ICS515 - ICS Active Defense and Incident Response
上記のコースを受講していなくても、実際に経験がある方や、SANSの他のクラスなど、他のセキュリティトレーニングに参加したことがある方は、安心して受講していただけます。新しい受講生もベテランも、分析に焦点を当てたユニークなスタイルのクラスで、新しいコンセプトに触れることができます。

受講対象者

このコースは、レッドチームからインシデントレスポンダーまで、あらゆるセキュリティスキルを補完することができます。
  • セキュリティ実務担当者の方、必見です。このコースは、レッドチームからインシデント対応者まで、あらゆるセキュリティスキルセットに完璧にマッチしています。このコースは、分析スキルに重点を置いています

  • 複雑なセキュリティインシデントや侵入に対応するインシデントレスポンスチームのメンバーで、企業内の侵害されたシステムを検出、調査、修復、回復する方法を知っておく必要がある方

  • 脅威をより完全に理解し、そこからどのように学ぶことで、より効果的に脅威を追い詰め、その背後にあるスパイ活動に対抗できるようになろうとしている脅威ハンター
  • ネットワーク環境における攻撃者を特定しようとするハンティング作業をサポートするセキュリティ・オペレーション・センターの要員と情報セキュリティの熟練者
  • デジタルフォレンジックアナリストとマルウェアアナリストで、ファイルシステムのフォレンジック、技術的に高度な敵の調査、インシデントレスポンス戦術、高度な侵入調査についての理解を深めたい方

  • 高度な侵入調査とインシデントレスポンスを習得し、従来のホストベースのデジタル・フォレンジックを超えて調査スキルを拡大したい連邦捜査官および警察官(法執行官)
  • 技術的なスキルを活かして、インテリジェンスチームを構築したり、組織内でインテリジェンスを活用したいと考えている技術管理者
  • 分析スキルを次のレベルに引き上げたいと考えているSANSトレーニングの受講経験者

※FOR578は、GIAC(GCTI)認定試験対象コースです。

GIAC Cyber Threat Intelligence

GIAC Cyber Threat Intelligence (GCTI)認証は、サイバー脅威インテリジェンスの技術を科学に移し、知識を体系化していくために重要なものです。

  • 戦略的、運用的、戦術的なサイバー脅威インテリジェンスの応用と基礎
  • オープンソース・インテリジェンスとキャンペーン
  • インテリジェンスの応用と侵入分析

  • インテリジェンスの分析、アトリビューション、データセットの収集と保存

  • キルチェーン、ダイヤモンドモデル、行動指針のマトリックス
  • 収集源としてのマルウェア、ピボット、インテリジェンスの共有

コース開発者より

Mike Cloppert、Chris Sperry、Robert M. Leeのコース開発チームは、コミュニティがサイバースレットインテリジェンスの簡潔明快な情報を必要としているという理解の元、最初のFOR578:Cyber Threat Intelligenceを開発しました。CloppertとSperryは、彼らのスケジュール確保が難しく、直接教えることができないであろうという前提のもとでコースの開発を開始しましたが、様々な人の意見を反映し続けた結果、現在のようなコースとなりました。今日でも コースの発展に対する彼らの影響は重要であり、SANSは彼らのリーダーシップに感謝しています。

 

スレットインテリジェンスの価値を考え直したとき、ほとんどの人や組織は次の3つの質問に到るでしょう。スレットインテリジェンスとは何か、いつになったら使えるようになるのか、そしてそれはどう使えばいいのか。このコースはこの質問に的確に答えるものであり、スレットインテリジェンスを通じてコミュニティを活発化させるということも叶えることができるでしょう。
- Robert M. Lee

 

「スレットインテリジェンスは、訓練を受けたアナリストの強力なツールであり、ネットワークに対する戦術的脅威に対応しているセキュリティアナリストから、取締役会への戦略レベルの脅威を報告する幹部まで、セキュリティプログラムに関するあらゆるレベルに対して情報を提供することができます。このコースでは、セキュリティ運用におけるスレットインテリジェンスの役割と、ますます洗練された敵と戦うためのリソースとしてどのように活用できるのかを受講生に解説します。
- Rebekah Brown

 

このコースは、受講生からサイバーセキュリティの専門家に転身した私にとって、最も興味深く、エキサイティングなコースのひとつです。Rob M. Leeは、CTIアナリストになる準備をしている人に対して、素晴らしい仕事をしています。最近、『Sandworm』という本を読んだのですが、このコースを教えているのが彼だということで、とても興奮しています。彼はCTIの世界について洞察するだけでなく、脅威分析の落とし穴と大きな成功の両方を示すケーススタディを提供してくれます。このコースを続けることに、これ以上の興奮はありません。
-ジェームズ・H, 米国州政府

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

サイバースレットインテリジェンスと要件

サイバー脅威のインテリジェンスは、急速に成長している分野である。しかし、インテリジェンスは、「サイバー」という言葉が辞書に載るずっと以前からある職業です。インテリジェンスの用語、技術、影響に関する重要なポイントを理解することは、サイバー脅威インテリジェンスを理解し活用する上で欠かせません。このセクションでは、インテリジェンスの最も重要な概念、分析技術、脅威インテリジェンスのレベル、およびそれらが組織にもたらす価値について紹介します。また、計画、方向性、インテリジェンス要件の作成など、インテリジェンス・プログラムを正しくスタートさせることに焦点を当てます。すべてのセクションと同様に、このコースセクションにも没入型の実習が含まれており、受講生が理論を実践に移す能力を確実に身につけることができるようになっています。

演習

  • 構造化分析のテクニック
  • 内容の充実と理解の限界
  • 戦略的な脅威のモデリング

トピック

ケーススタディ:MOONLIGHT MAZE

インテリジェンスを理解する
  • インテリジェンス用語と定義
  • 従来のインテリジェンスサイクル
  • Richards Heuer, Jr.Sherman Kent、インテリジェンスノウハウ
  • 構造化分析テクニック

ケーススタディ:Operation Aurora

サイバースレットインテリジェンスの理解
  • 脅威の理解
  • リスクの理解
  • サイバースレットインテリジェンスとその役割
  • 組織とアナリストへの期待
  • ダイヤモンドモデルと活動グループ
  • 脅威検出の4つの方法
スレットインテリジェンスの消費
  • サイバーセキュリティのスライディングスケール
  • さまざまな目標に対するインテリジェンスの消費
  • インテリジェンスを備えた他チームを有効化する
インテリジェンスを生成するチーム配置
  • インテリジェンスチームを構築する
  • 組織でのチームの位置付け
  • インテリジェンス生成の前提条件
計画と目的意識(開発要件)
  • インテリジェンス要件
  • インテリジェンス要件の優先順位
  • インテリジェンスライフサイクルの開始
  • スレットモデリング

基礎スキルセット:侵入解析

侵入解析はスレットインテリジェンスの核心と言えます。 これは、セキュリティに対処するために、より完全なアプローチを使用するセキュリティ実践者にとって基本的なスキルです。 敵対者からの侵入を評価するために最も一般的に使用されるモデルは、「キル・チェイン」と「ダイヤモンド・モデル」MITRE ATT&CKです。 これらのモデルは、侵入について分析し、敵対的な行動や悪意ある活動に関連したインジケータなどのパターンを抽出するためのフレームワークと構造化スキームとして機能します。また、敵対者による活動の最初の通知から、イベントの分析完了までいくつかのパターンを参考にしながら理解を深めていただきます。また、このプロセスが敵対的キャンペーンを構造化し、定義することの重要性についても注目していきます。

演習

  • 偵察と配信によるインジケータの収集
  • インジケータを用いたネットワークデータへのピボット
  • インジケータを使ったメモリへのピボット
  • 侵入時の目的に対する行動の理解
  • 優先度の高いインテリジェンス要件を満たす

トピック

プライマリコレクションソース:侵入解析
  • コアスキルセットとしての侵入解析
  • 侵入解析を実行する方法
  • 侵入キル・チェイン
  • MITRE ATT&CK
  • ダイヤモンドモデル
キル・チェインアクションコース
  • 履歴データとログアクティビティのパッシブ検出
  • 今後のスレットアクションと機能の検出
  • スレットへのアクセスを拒否する
  • 敵対的な戦術とマルウェアの遅延と悪化
キル・チェインの深堀
  • シナリオの概要
  • 悪意のある行為の通知
  • 敵対的活動を発見するために、単一インジケータをオフにする
  • 悪意のあるアクションの特定と分類
  • ネットワークおよびホストベースのデータ使用
  • インシデント対応チームと対話する
  • マルウェアリバースエンジニアと対話する
  • 情報要請を効果的に活用する
複数キル・チェインの対応
  • 異なる同時侵入を特定する
  • 複数キル・チェインの管理と構築
  • 関連する侵入のリンク
  • 侵入への長期的な追跡のための知識

コレクションソース

サイバースレットインテリジェンスのアナリストは、収集元を詳細に調査し、収集された情報のソースを理解する必要があります。 アナリストはマルウェアのリバースエンジニアである必要はありませんが、少なくともその作業の工程を理解し、どのデータが求められるのかを知っていなければなりません。 このセクションでは、アナリストに必要となる主要な情報を前のセクションに続いて紹介していきます。 一般にオープンソースインテリジェンス(OSINT)と呼ばれるものについては多くの活用できる情報があるので参考となるでしょう。 このセクションでは、ドメイン情報や外部データセット、マルウェア、Transport Layer Security / Secure Sockets Layer(TLS / SSL)証明書などの情報検索と活用についても触れることで、情報共有が期待される情報が悪用されるデータとその構造についても見ていきます。

演習

  • マルウェアのサンプルを使ったExcelでの集計とピボット
  • オープンソースインテリジェンスとDomainToolsを使ったドメイン情報抽出
  • Maltego とオープンソースインテリジェンス
  • 大量のオープンソースインテリジェンスの中から、RecordedFutureで取捨選択
  • TLS証明書情報の抽出

トピック

ケーススタディ:HEXANE

コレクションソース:マルウェア
  • マルウェア解析のデータ
  • 分析とピボットのためのキーデータタイプ
  • VirusTotalsとマルウェアパーサー
  • 侵入パターンとキーとなるインジケータの特定
コレクションソース:ドメイン
  • Domain Deep Dive
  • 異なるタイプの敵対的ドメイン
  • ドメイン内の情報を有効にする

ケーススタディ: GlassRAT

コレクションソース:外部データセット
  • 外部データセットからのリポジトリの構築
  • オープンソースのインテリジェンス収集ツールとフレームワーク
コレクションソース:TLS証明書
  • TLS / SSL証明書
  • 新しいマルウェアサンプルおよびC2をTLSで追跡する
  • TLS証明書情報を有効にする

ケーススタディ: Trickbots

インテリジェンスの分析と作成

優れたデータには優れた分析結果が求められます。これまでで受講生は、さまざまな侵入源や収集方法について学んできました。長期的な分析のためのインテリジェンス要件を満たすために、これらの情報をどのように使用するかに分析的な正確さを適用することが重要です。単一の侵入をグループ化し、敵のキャンペーンを追跡することは、敵の先を行くために重要です。このセクションでは、MISPなどのツールを使って長期的に情報を構造化して保存する方法、分析ツールを活用して論理的誤謬や認知バイアスを特定する方法、競合する仮説の分析などグループで構造化された分析技術を実行する方法、侵入を脅威グループに分類する方法などを学びます。

演習

  • 脅威情報のMISPへの保存
  • バイアスの種類の特定
  • 競合する仮説の分析
  • Maltegoでのビジュアル分析
  • The Rule of 2と脅威のグループ

トピック

ケーススタディ:人間が操作するランサムウェア
エクスプロイト: データの保存と構造化
  • 脅威情報の保存
  • 脅威情報の共有
  • ストレージプラットフォームとしてのMISP
分析:論理的誤謬や認知バイアス
  • 論理的誤謬
  • 認知バイアス
  • 一般的なサイバースレットインテリジェンスの非形式的誤謬
分析:仮説を探る
  • 競合する仮説の分析
  • 仮説の生成
  • 知識ギャップの理解と特定
分析:様々なタイプの分析
  • 視覚的分析
  • データ分析
  • 時系列分析
  • ケーススタディ:パナマ文書
  • 分析:侵入のクラスタリング
  • スタイルガイド
  • 名前とクラスタリングルール

侵入のACH
活動グループとダイヤモンドモデル
  • スタイルガイド
  • 名前とクラスタリングのルール
  • 侵入のACH
  • 活動グループとクラスターのダイヤモンドモデル

普及と帰属

インテリジェンスは、普及させて消費者に役立つものにしなければ意味がありません。このセクションでは、情報発信の様々な戦術、作戦、戦略について学びます。ラボでは、YARAルールの作成、STIX/TAXIIの活用、敵を長期的に追跡するためのキャンペーン・ヒートマップの作成、情報レポートの分析などを行います。また、国家の敵対者について、それがどのような場合に価値があり、どのような場合が単に気晴らしによるものなのかを学びます。このセクションでは、過去に確認されたキャンペーンにおける国家レベルの帰属を取り上げ、これまでのサイバー・スレット・インテリジェンス業界をより包括的に理解することができます。最後に、このコースを修了した受講生が自分の組織に大きな変化をもたらすことができるように、スレットインテリジェンスの利用についての議論と、実行可能な情報を紹介します。

演習

  • YARAIOCの開発
  • STIXでの作業
  • キャンペーンヒートマップの作製
  • インテリジェンスレポートの分析
  • アトリビュートインテリジェンスモデルの構築

トピック

論理的な誤謬と認知バイアス
  • バイアスの特定と撲滅
  • 論理的な誤りとその例
  • 一般的なサイバースレットインテリジェンスの機密性の低い誤謬
  • 認知バイアスと例
普及:戦略的
  • オーディエンスとコンシューマーの理解
  • 脅威のデータフィードとその限界
  • YARA
  • YARAのコンセプトと例
普及:オペレーション
  • 相関キャンペーンの様々な方法
  • 敵対者の意図を理解する
  • キャンペーン分析にダイヤモンドモデルを活用する
  • STIXとTAXII
  • 政府とパートナーコラボレーション
普及:戦略
  • レポート作成の落とし穴
  • レポート作成のベストプラクティス
  • 異なる種類の戦略的アウトプット

ケーススタディ:APT10とクラウドホッパー

特定のインテリジェンス要件:アトリビューション
  • 新しいインテリジェンス要件の特定と是正
  • コレクション管理フレームワークのチューニング
  • アトリビューションの種類
  • アトリビューションモデルの構築
  • アトリビューションアセスメントの実施

ケーススタディ:Lazarusグループ

 

キャップストーン

FOR578のキャップストーンは、分析に焦点を当てています。受講生はチームにわかれ、ツールやケースのアウトプットを与えられ、1つの侵入から関連する情報をつなぎ合わせて、より広範なキャンペーンを解明する作業を行います。学生は、インシデントレスポンスチームの支援から、国家レベルの帰属目標の達成まで、様々な情報要件を満たすための実践的な経験を積むことができます。この分析プロセスでは、技術的なツールの使用に重点を置くのではなく、受講生の頭脳が試されます。最後にチームは、自分たちが発見した複数のキャンペーンの脅威に関する分析結果を発表します。

 

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。