あなたは、私たちの仮想組織「SYNCTECHLABS」がサイバーセキュリティ能力を構築するのを助けるために雇われたばかりだ。初日、上司があなたに言った: 「私たちは最近のサイバーセキュリティのトレンドレポートを見て、私たちは筋書きを失ったように感じています。高度な持続的脅威、ランサムウェア、サービス拒否...。どこから手をつければいいのかわからないんです。
サイバー脅威は増加の一途をたどっています。ランサムウェアの手口は中小企業から大企業まで同様に影響を及ぼしており、国家に支援された敵対者は、最も貴重な王冠の宝石へのアクセスを取得しようとしています。SEC599 SEC599:Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defensesは、今日の脅威に打ち勝つために必要な知識とノウハウを提供します。予防のみの戦略では不十分であることを認識し、敵対者の阻止、検知、対応を目的としたセキュリティコントロールを紹介します。
コース執筆者のスティーブン・シムズとエリック・ヴァン・バッゲンハウト(ともにGIACセキュリティエキスパートの資格を持つ)は、侵入テストとインシデント対応を通じてサイバー攻撃がどのように機能するかについて深い理解を築いた実践的な実務家です。侵入テストコースを教えているとき、彼らはしばしば質問を受けました: 「この種の攻撃を防ぐには、あるいは検知するにはどうすればいいのでしょうか?これだ!SEC599では、攻撃を防ぐ方法を実例を挙げて説明します。このコースでは、20以上のラボと終日のDefend-the-Flag演習が行われ、受講生は仮想組織をその環境に対するさまざまな攻撃の波から守ることを試みます。
6つのパートからなるこのコースは、徹底的なケーススタディを通して最近の攻撃を分析することから始まります。どのようなタイプの攻撃が発生しているかを説明し、サイバー・キル・チェーンやMITRE ATT&CKフレームワークなど、敵の行動に関する公式な記述を紹介します。また、攻撃の仕組みを理解するために、セクション1の演習では、当社の仮想組織「SYNCTECHLABS」を危険にさらしていただきます。
セクション2、3、4、5では、サイバー攻撃を防止、検知、対応するために、どのように効果的なセキュリティ管理を実施するかについて説明します。取り上げるトピックは以下の通りです:
- MITRE ATT&CK を組織内の「共通言語」として活用する。
- ペイロードを分析するための独自のCuckooサンドボックスソリューションの構築
- スクリプトの実行を改善するための効果的なグループポリシーの開発(PowerShell、Windows Script Host、VBA、HTAなどを含む)
- スクリプトコントロールの主要なバイパス戦略を明らかにする(アンマネージドPowershell、AMSIバイパスなど)
- ExploitGuardとアプリケーションホワイトリストを使用した0-dayエクスプロイトの阻止
- アプリケーション・ホワイトリストにおける主要なバイパス戦略のハイライト(AppLockerにフォーカス)
- マルウェアの永続性の検出と防止
- セントラルログ分析ソリューションとしてのElasticスタックの活用
- Sysmon、Windowsイベントモニタリング、グループポリシーによる横の動きの検出と防止
- ネットワークトラフィック分析によるコマンド&コントロールのブロックと検出
- 脅威インテリジェンスの活用によるセキュリティ態勢の改善
SEC599は盛況のうちに幕を閉じます。コース最終セクションの「Defend-the-Flag」では、ネットワークの安全性を維持するために、高度な敵対者と対戦します。あなたは、さまざまな攻撃の波から環境を守ることができるでしょうか?敵の勢いは止まりません。
