NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
※本コースは中止となりました。次回開催をお待ちください。
Purple Team
English2024年10月28日(月)~2024年11月2日(土)
1日目:9:00-17:30
2日目~6日目:9:30-17:30
◆LiveOnline形式
オンライン
早期割引価格:1,220,000 円(税込み 1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:1,350,000 円(税込み 1,485,000 円)
※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要!以下の説明をお読みになった上で、ご自身のノートPCをお持ちください。 受講に必要なPC環境についてご確認ください。
このコースに完全に参加するためには、正しく設定されたシステムが必要です。以降の説明を確認いただかないと、満足のいく授業が受けられない可能性が高いです。したがって、コースで指定されたすべての要件を満たすシステムで参加されることを強くお勧めします。
授業の前にシステムをバックアップしておくこと。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータについて責任を負いません。
コースのメディアがダウンロードで配信されるようになりました。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続の速度次第でダウンロードに要する時間はは大きく異なり、様々な要因に左右されるため、教材のダウンロードにかかる時間を正確に見積もることはできません。リンクを取得したら、すぐにコースメディアのダウンロードを開始してください。コースメディアは授業初日にすぐに必要になります。授業が始まる前夜になるまでダウンロードを開始するのを待っていると、失敗する可能性が高まります。また、SANSでは、PDF形式のテキストの提供を始めており、さらに、一部のクラスではPDFに加えて電子ワークブックを使用しています。電子ワークブックを使用しているクラスは急速に増えていくと思われます。このような新しい環境では、講師がプレゼンテーションを行っている間、あるいは演習に取り組んでいる間も授業の資料を確認できるようにしておくために、セカンドモニターやタブレット端末を利用すると効率が上がります。
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。
あなたは、私たちの仮想組織「SYNCTECHLABS」がサイバーセキュリティ能力を構築するのを助けるために雇われたばかりだ。初日、上司があなたに言った: 「私たちは最近のサイバーセキュリティのトレンドレポートを見て、私たちは筋書きを失ったように感じています。高度な持続的脅威、ランサムウェア、サービス拒否...。どこから手をつければいいのかわからないんです。
サイバー脅威は増加の一途をたどっています。ランサムウェアの手口は中小企業から大企業まで同様に影響を及ぼしており、国家に支援された敵対者は、最も貴重な王冠の宝石へのアクセスを取得しようとしています。SEC599 SEC599:Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defensesは、今日の脅威に打ち勝つために必要な知識とノウハウを提供します。予防のみの戦略では不十分であることを認識し、敵対者の阻止、検知、対応を目的としたセキュリティコントロールを紹介します。
コース執筆者のスティーブン・シムズとエリック・ヴァン・バッゲンハウト(ともにGIACセキュリティエキスパートの資格を持つ)は、侵入テストとインシデント対応を通じてサイバー攻撃がどのように機能するかについて深い理解を築いた実践的な実務家です。侵入テストコースを教えているとき、彼らはしばしば質問を受けました: 「この種の攻撃を防ぐには、あるいは検知するにはどうすればいいのでしょうか?これだ!SEC599では、攻撃を防ぐ方法を実例を挙げて説明します。このコースでは、20以上のラボと終日のDefend-the-Flag演習が行われ、受講生は仮想組織をその環境に対するさまざまな攻撃の波から守ることを試みます。
6つのパートからなるこのコースは、徹底的なケーススタディを通して最近の攻撃を分析することから始まります。どのようなタイプの攻撃が発生しているかを説明し、サイバー・キル・チェーンやMITRE ATT&CKフレームワークなど、敵の行動に関する公式な記述を紹介します。また、攻撃の仕組みを理解するために、セクション1の演習では、当社の仮想組織「SYNCTECHLABS」を危険にさらしていただきます。
セクション2、3、4、5では、サイバー攻撃を防止、検知、対応するために、どのように効果的なセキュリティ管理を実施するかについて説明します。取り上げるトピックは以下の通りです:
SEC599は盛況のうちに幕を閉じます。コース最終セクションの「Defend-the-Flag」では、ネットワークの安全性を維持するために、高度な敵対者と対戦します。あなたは、さまざまな攻撃の波から環境を守ることができるでしょうか?敵の勢いは止まりません。
GIAC Defending Advanced Threats
GDATは、攻撃的なセキュリティと防御的なセキュリティの両方のトピックを深く掘り下げてカバーするユニークな資格です。 GDAT認定は、持続的なサイバー敵対者がどのように活動し、IT環境をどのように改善すれば、インシデントの予防、検出、および対応を行えるかを証明します。
このコースで行う実践的なラボと演習の例では、以下のことが可能になります。
Autoruns と OSQuery を使用したマルウェアの永続化の検出と回避
ログ解析の中心的なソリューションとしてElasticスタックの活用
Sysmon、Windowsイベント監視、グループポリシーによる横移動の検知と防止
Suricata、Zeek、RITAを用いたネットワークトラフィック解析によるコマンド&コントロールのブロックと検出
MISP、Loki、Volatilityを使用した脅威インテリジェンスの活用によるセキュリティ体制の改善
過去10年において、高度ペネトレーションテストやエクスプロイト構築コースの開発や講義を行ってきましたが、あるトレンドに気がつきました。1つのコースで、半数以上の受講生はペネトレーションテスターでもなければゼロデイ攻撃を作成するわけでもありませんでした。実は、そのほとんどは防御側の業務をされていて、攻撃者の手法を学習することで自身の環境の防御に役立てようとする方々でした。そこで私たちは、コース内容の多くの部分を敵やレッドチームテスターが用いるテクニックを打ち砕くコントロールの実装方法に割くことにしたのです。
- Stephen Sims
私のInfoSecのキャリアにおいて初めの5年間はペネトレーションテストに従事し、その後、インシデントレスポンスの世界へよりシフトしていきました。その時、私はサイバーディフェンスへの構造的なアプローチの必要性を感じ始めました。一つのスタンドアロンソリューションやツール、テクニックでは限界があります。高度な敵を効果的に阻止したいのであれば、敵の攻撃手段の一つ一つに対抗するセキュリティ対策を実施できるような、徹底した防御対策をとる必要があります。SEC599は、高度な敵がどのように組織に侵入しようとしているかを深く理解することで、防御力を高めます。APTの攻撃サイクルは、攻撃の最初から最後まで一連の仕組みを技術的に深く理解することができます。Stephen Simsと私は、ペネトレーションテストとインシデントレスポンスの分野で豊富な経験を持っており、このコースを開発する上で理想的な立場にあります。このコースは、サイバーディフェンスのカリキュラムに欠けている部分を補ってくれるものだと信じています。敵がどのようにIT環境を侵害しているのか、また、敵のあらゆる動きをどのように防ぎ、検知し、さらには対応することができるのかを理解したいと考えているIT専門家にとって理想的なコースとなります。私は応用して学ぶことを強い信頼をおいているので、このコースはハンズオンが非常に豊富です。1週間を通して、20以上のラボや演習を行い、6日目には1日がかりの「Defend-the-Flag」演習を行います。
- Erik Van Buggenhout
SEC599は、Exploit Guardに関する興味深い洞察を与えてくれた。今まで受講したクラスの中で最高のラボでした。
- Jeremiah Hainly, The Hershey Company
6部構成からなるこの旅の1日目は、綿密なケーススタディを通じた最近の攻撃の分析から始まります。実際の状況で何が起こっているのかを説明し、CyberKillChainとMITRE ATT&CKのフレームワークを、攻撃者の戦術やテクニックを説明するための構造化されたアプローチとして紹介します。また、パープル・チーミングとは何か、それに関連する代表的なツール、組織内での最適な編成方法についても説明します。また、攻撃がどのように機能するかを理解するために、受講生は1日目の演習で、私たちの仮想組織「SYNCTECHLABS」への侵入を試みます。
2日目では、敵が組織内でペイロードの配信と実行をどのように試みるかを取り上げます。まず、攻撃者のテクニック(例:悪意のある実行ファイルやスクリプトの作成)を取り上げ、次に、ペイロードの配信(例:フィッシングメール)と実行(例:添付ファイルのダブルクリック)の両方をどのように阻止するかに焦点を当てます。また、共通のペイロード記述言語としてYARA、ベンダに依存しないユースケース記述言語としてSIGMAについて解説します。
3日目では、まず、どのようにしてエクスプロイトを防御したり検出したりすることができるかを解説します。セキュリティがソフトウェア開発ライフサイクルの不可欠な一部であるべきであること、そして、脆弱性のあるソフトウェアの作成を防ぐためにどのように役立つかを示します。また、パッチ管理が全体像の中でどのように適合するかについても解説します。
次に、コンパイル(ControlFlowGuard など)とランタイム(ExploitGuard)の両方でのエクスプロイト緩和テクニックに焦点を当てます。異なるエクスプロイト緩和テクニックが何をカバーしているのか(しようとしているのか)、また、それらがどれほど効果的なのかについて、詳細な解説を行います。次に、典型的な永続化戦略と、Autoruns と OSQuery を使用してどのように検出できるかについて説明します。最後に、Command&Control(C&C)チャンネルがどのように設定されているか、そして検知と防御のために防御者がどのような制御が可能かを説明します。
4日目は、敵がどのようにして環境全体を横方向に移動するかに焦点を当てます。主なポイントは、Active Directory (AD) の構造とプロトコル (ローカルクレデンシャルの盗用、NTLMv2、Kerberosm など) にあります。Windows 特権のエスカレーション、UAC バイパス、(オーバー) Pass-the-Hash、Kerberoasting、シルバーチケットなどを含む、一般的な攻撃戦略を解説します。また、BloodHound を使用して、AD 環境を介した攻撃パスを開発する方法についても解説します。最後に、環境内での横方向の動きをどのように識別できるか、サイバー詐欺を利用して侵入者を現行犯逮捕する方法について説明します!
5日目は、一連の攻撃の最終段階における敵の動きを阻止する以下の点に注力します。
コースのクライマックスは、チーム対抗の「Defend-the-Flag」競技会です。第6章は、コースで学んだ内容を実践的に学ぶ章です。あなたのチームは複数のレベルとミッションを経て、1週間を通じて学んだ最新のサイバーセキュリティコントロールを確実に習得します。このチャレンジングな演習では、楽しく、実践的で、チームベースのチャレンジで重要な原則を確認していきます。
なお、OnDemandの受講者は、この演習を個人単位で楽しむことができます。いつものように、SANSのSMEがOnDemandの受講者一人ひとりの体験をサポートします。