以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。
Cyber Threat Intelligence
Digital Forensics and Incident Response
English2024年10月28日(月)~2024年11月2日(土)
1日目:9:00-17:30
2日目~6日目:9:30-17:30
◆LiveOnline形式
オンライン
◆Onsite形式(予定)
御茶ノ水トライエッジカンファレンス(https://try-edge.infield95.com/)
東京都千代田区神田駿河台4-2-5 御茶ノ水NKビル(トライエッジ御茶ノ水)11階
早期割引価格:1,220,000 円(税込み 1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:1,350,000 円(税込み 1,485,000 円)
※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
講義の全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく授業を受けることができない可能性が高いです。そのため、以下の条件をすべて満たすシステムを用意することを強くお勧めします。
講義の前にシステムをバックアップしてください。SANSは、システムまたはデータに対して責任を負うことはできませんので、システムに保存されている機密データは残さないようにしておいてください。
コースのメディアは、ダウンロード版で配信されるようになりました。多くは40~50GB、中には100GBを超えるものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。
コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスのイベントに参加する前、またはオンライン・クラスを開始する前に行わなければならない重要な手順の詳細が記載されています。これらの手順を完了するには、30分以上かかる場合があります。セカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。
ノートパソコンの設定に関して追加で質問がある場合は、sans-info@nri-secure.co.jp (NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください。(英文)
攻撃者から教わることは膨大です!
すべてのセキュリティ専門家に対して、FOR578:サイバースレットインテリジェンスコースへの参加を推奨します。このコースでは、今までに学習してきた他の技術トレーニングとは異なり、既存のスキルを補強しながらセキュリティスキルセットの強固な基盤を確立できる構造化分析に重点を置いています。
本コースでは、以下のようにセキュリティのあらゆる分野を通じたインテリジェンス能力の確立を支援します。
セキュリティ専門家は自らをアナリストと呼ぶのが一般的です。しかし、単に技術トレーニングに参加するのではなく、構造化分析に関するトレーニングの受講や体得した人はどれ程いるでしょうか?どちらも重要ですが、アナリストは分析に必要な考え方の訓練に焦点を当てることはほとんどありません。このコースでは、既存の知識を補完し、セキュリティチームの新しいベストプラクティスを確立するための新しい考え方、方法論、テクニックを学びます。適切な分析スキルは、ディフェンダーが日常的に曝される複雑な状況での手掛かりとなります。
敵対者の意図や機会、攻撃能力に関する分析は、一般的にサイバースレットインテリジェンスとして知られています。インテリジェンスはデータフィードではなく、ツールからもたらされるものでもありません。インテリジェンスは、重要な知識のギャップやお互いに譲歩が難しい点を明らかにするだけではなく、組織の要件に答える実行可能な情報であるべきです。敵対者に関する知識の収集や分類、あるいは抽出の結果は、敵対者に優位性をあなたの組織に与える、仮に攻撃が行なわれたとしても、それらの経験から学び進化してゆくものです。
したがって、サイバースレットインテリジェンスは、洗練された脅威に対処すべくレスポンスや識別の能力を確立、あるいは高めようとする組織にとって、これ以上ない支援ができるでしょう。マルウェアは敵対者のツールですが、サイバースレットインテリジェンスは、適切な訓練と権限を与えられた職員によって整理された、本当の脅威である人間に対処することに焦点が当てられています。
敵対者の情報は、すべてのセキュリティチームにとって重要です。レッドチームは、敵対者の手法を理解して、その技術を再現してみる必要があります。セキュリティオペレーションセンターでは、侵入に関する対処の優先順位付けの方法を知り、すぐに注意が必要なものに迅速に対処する必要があるでしょう。インシデント対応チームは、対象となる検知情報について迅速に内容を把握し対応する方法について実用的な情報が必要であり、脆弱性を管理するグループは、優先順位付けのために最も重要だと判断できる脆弱性の情報と、それらによってもたらされるリスクを理解する必要があります。また、スレットハンティングチームは、新しい脅威を発見するために敵対者の思考や挙動について理解をしなければなりません。
言い換えれば、サイバースレットインテリジェンスは、敵対者に対応するために必要な全てのセキュリティプラクティスを明らかにすることなのです。 FOR578:サイバースレットインテリジェンスは、進化する脅威の状況をこれまで以上に深く理解し、その脅威に正確かつ効果的に対処するために必要な戦術的な運用、および戦略的に取り組まれたサイバースレットインテリジェンスのスキルを通じて、セキュリティチームや組織を支援できるようなノウハウを習得することができます。
FOR578は、セキュリティのトレーニングを受けたことがある人、またはその分野の経験がある人にお勧めのコースです。受講者は、いくつかのラボでLinuxのコマンドラインを使用することに慣れ、(ウォークスルーは提供されますが)セキュリティ用語に精通している必要があります。
FOR578につながるコースの一部をご紹介します。
セキュリティ実務担当者の方、必見です。このコースは、レッドチームからインシデント対応者まで、あらゆるセキュリティスキルセットに完璧にマッチしています。このコースは、分析スキルに重点を置いています
複雑なセキュリティインシデントや侵入に対応するインシデントレスポンスチームのメンバーで、企業内の侵害されたシステムを検出、調査、修復、回復する方法を知っておく必要がある方
デジタルフォレンジックアナリストとマルウェアアナリストで、ファイルシステムのフォレンジック、技術的に高度な敵の調査、インシデントレスポンス戦術、高度な侵入調査についての理解を深めたい方
GIAC Cyber Threat Intelligence (GCTI)認証は、サイバー脅威インテリジェンスの技術を科学に移し、知識を体系化していくために重要なものです。
インテリジェンスの応用と侵入分析
インテリジェンスの分析、アトリビューション、データセットの収集と保存
Mike Cloppert、Chris Sperry、Robert M. Leeのコース開発チームは、コミュニティがサイバースレットインテリジェンスの簡潔明快な情報を必要としているという理解の元、最初のFOR578:Cyber Threat Intelligenceを開発しました。CloppertとSperryは、彼らのスケジュール確保が難しく、直接教えることができないであろうという前提のもとでコースの開発を開始しましたが、様々な人の意見を反映し続けた結果、現在のようなコースとなりました。今日でも コースの発展に対する彼らの影響は重要であり、SANSは彼らのリーダーシップに感謝しています。
スレットインテリジェンスの価値を考え直したとき、ほとんどの人や組織は次の3つの質問に到るでしょう。スレットインテリジェンスとは何か、いつになったら使えるようになるのか、そしてそれはどう使えばいいのか。このコースはこの質問に的確に答えるものであり、スレットインテリジェンスを通じてコミュニティを活発化させるということも叶えることができるでしょう。
- Robert M. Lee
「スレットインテリジェンスは、訓練を受けたアナリストの強力なツールであり、ネットワークに対する戦術的脅威に対応しているセキュリティアナリストから、取締役会への戦略レベルの脅威を報告する幹部まで、セキュリティプログラムに関するあらゆるレベルに対して情報を提供することができます。このコースでは、セキュリティ運用におけるスレットインテリジェンスの役割と、ますます洗練された敵と戦うためのリソースとしてどのように活用できるのかを受講生に解説します。
- Rebekah Brown
このコースは、受講生からサイバーセキュリティの専門家に転身した私にとって、最も興味深く、エキサイティングなコースのひとつです。Rob M. Leeは、CTIアナリストになる準備をしている人に対して、素晴らしい仕事をしています。最近、『Sandworm』という本を読んだのですが、このコースを教えているのが彼だということで、とても興奮しています。彼はCTIの世界について洞察するだけでなく、脅威分析の落とし穴と大きな成功の両方を示すケーススタディを提供してくれます。このコースを続けることに、これ以上の興奮はありません。
-ジェームズ・H, 米国州政府
サイバー脅威のインテリジェンスは、急速に成長している分野である。しかし、インテリジェンスは、「サイバー」という言葉が辞書に載るずっと以前からある職業です。インテリジェンスの用語、技術、影響に関する重要なポイントを理解することは、サイバー脅威インテリジェンスを理解し活用する上で欠かせません。このセクションでは、インテリジェンスの最も重要な概念、分析技術、脅威インテリジェンスのレベル、およびそれらが組織にもたらす価値について紹介します。また、計画、方向性、インテリジェンス要件の作成など、インテリジェンス・プログラムを正しくスタートさせることに焦点を当てます。すべてのセクションと同様に、このコースセクションにも没入型の実習が含まれており、受講生が理論を実践に移す能力を確実に身につけることができるようになっています。
ケーススタディ:MOONLIGHT MAZE
ケーススタディ:Operation Aurora
侵入解析はスレットインテリジェンスの核心と言えます。 これは、セキュリティに対処するために、より完全なアプローチを使用するセキュリティ実践者にとって基本的なスキルです。 敵対者からの侵入を評価するために最も一般的に使用されるモデルは、「キル・チェイン」と「ダイヤモンド・モデル」とMITRE ATT&CKです。 これらのモデルは、侵入について分析し、敵対的な行動や悪意ある活動に関連したインジケータなどのパターンを抽出するためのフレームワークと構造化スキームとして機能します。また、敵対者による活動の最初の通知から、イベントの分析完了までいくつかのパターンを参考にしながら理解を深めていただきます。また、このプロセスが敵対的キャンペーンを構造化し、定義することの重要性についても注目していきます。
サイバースレットインテリジェンスのアナリストは、収集元を詳細に調査し、収集された情報のソースを理解する必要があります。 アナリストはマルウェアのリバースエンジニアである必要はありませんが、少なくともその作業の工程を理解し、どのデータが求められるのかを知っていなければなりません。 このセクションでは、アナリストに必要となる主要な情報を前のセクションに続いて紹介していきます。 一般にオープンソースインテリジェンス(OSINT)と呼ばれるものについては多くの活用できる情報があるので参考となるでしょう。 このセクションでは、ドメイン情報や外部データセット、マルウェア、Transport Layer Security / Secure Sockets Layer(TLS / SSL)証明書などの情報検索と活用についても触れることで、情報共有が期待される情報が悪用されるデータとその構造についても見ていきます。
ケーススタディ:HEXANE
ケーススタディ: GlassRAT
ケーススタディ: Trickbots
優れたデータには優れた分析結果が求められます。これまでで受講生は、さまざまな侵入源や収集方法について学んできました。長期的な分析のためのインテリジェンス要件を満たすために、これらの情報をどのように使用するかに分析的な正確さを適用することが重要です。単一の侵入をグループ化し、敵のキャンペーンを追跡することは、敵の先を行くために重要です。このセクションでは、MISPなどのツールを使って長期的に情報を構造化して保存する方法、分析ツールを活用して論理的誤謬や認知バイアスを特定する方法、競合する仮説の分析などグループで構造化された分析技術を実行する方法、侵入を脅威グループに分類する方法などを学びます。
名前とクラスタリングルール
インテリジェンスは、普及させて消費者に役立つものにしなければ意味がありません。このセクションでは、情報発信の様々な戦術、作戦、戦略について学びます。ラボでは、YARAルールの作成、STIX/TAXIIの活用、敵を長期的に追跡するためのキャンペーン・ヒートマップの作成、情報レポートの分析などを行います。また、国家の敵対者について、それがどのような場合に価値があり、どのような場合が単に気晴らしによるものなのかを学びます。このセクションでは、過去に確認されたキャンペーンにおける国家レベルの帰属を取り上げ、これまでのサイバー・スレット・インテリジェンス業界をより包括的に理解することができます。最後に、このコースを修了した受講生が自分の組織に大きな変化をもたらすことができるように、スレットインテリジェンスの利用についての議論と、実行可能な情報を紹介します。
ケーススタディ:APT10とクラウドホッパー
ケーススタディ:Lazarusグループ
FOR578のキャップストーンは、分析に焦点を当てています。受講生はチームにわかれ、ツールやケースのアウトプットを与えられ、1つの侵入から関連する情報をつなぎ合わせて、より広範なキャンペーンを解明する作業を行います。学生は、インシデントレスポンスチームの支援から、国家レベルの帰属目標の達成まで、様々な情報要件を満たすための実践的な経験を積むことができます。この分析プロセスでは、技術的なツールの使用に重点を置くのではなく、受講生の頭脳が試されます。最後にチームは、自分たちが発見した複数のキャンペーンの脅威に関する分析結果を発表します。