NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Advanced Security Essentials - Enterprise Defender
※2022年1月のイベントでの本コースは開催中止となりました。
次回の開催をお待ちください。
Cyber Defense Essentials
English2022年1月17日(月)~1月22日(土)
1日目:9:00-19:30
2日目~6日目:9:30-17:30
オンライン
880,000円(税込み:968,000円)
※上記試験費用は講義と同時お申し込み時のみ有効です。
※講義申込み完了後から講義開始までの間に追加でお申し込みいただく際には別途、事務手数料(10,000円(税込 11,000円))が発生します。
※また講義開始後のお申し込みについてはこちらのページ(英語)を参照のうえ、SANS/GIACへ直接お申込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要:以下の手順に従って設定されたPCを各自用意してください。
以下のリストを基にご確認ください。
PCは、この10個の条件を満たしている必要があります。
以下の5つのタスクを実行するために必要な権限をすべて持っていること。
この3つの項目は、重要性を強調するために再度記載します。
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。
コースメディア
コースメディアや印刷物(PDF)は、ダウンロードする必要があります。コースメディアイメージは20GBのサイズがありますので、ダウンロードが完了するまでには十分な時間が必要です。インターネットの接続環境や速度は、様々な要因によって大きく異なります。そのため、教材のダウンロードにかかる時間の目安を示すことはできません。リンクを取得したら、すぐにコースメディアのダウンロードを開始してください。授業の初日までに、コースメディアからVMをインストールする必要があります。授業開始の前日の夜までダウンロードを待っていると、失敗する可能性が高くなりますのでお早目にご対応ください。
以下のようなことを思ったことはありませんか?
このようなダイナミックなスキルを身につけて企業を守りたい方には、SEC501:Advanced Security Essentials -Enterprise Defenderはお勧めのコースです。
効果的なサイバーセキュリティは、攻撃がより密かになり、より大きな財務的影響を与え、広範な風評被害を引き起こすため、これまで以上に重要です。このコースでは、個人やセキュリティチームが企業を守るために必要なコアポリシーとプラクティスの確固たる基盤を提供します。
本講座受講にあたっての前提
必須ではありませんが、受講生はSANSのSEC401:Security Essentials Bootcamp Styleを受講しているか、同程度のスキルを持っていることをお勧めします。具体的には、ネットワーク、プロトコル及びオペレーティングシステムについて詳細に理解していることです。
私はネットワークエンジニアとして働き、企業のネットワーク構築に携わっていました。この役割は、根本的に安全な設計とエンジニアリングに移り変わりました。当時、私が関心のあったペネトレーションテストとエクスプロイトは、私の設計が真に強力なものであったことの検証を可能としました。この関心は、結局のところ、私に本格的なリバースエンジニアリングとゼロデイバグの発見、エクスプロイト開発といったキャリアをもたらしました。先進的なペネトレーションテストとエクスプロイトの作成のために、SANSのコースを執筆し、教鞭を取ってきた長い歴史を通じ、私のこれまでの経験を還元できることに喜びを感じています。
我々は、SEC501のシラバスとコンテンツを制作するためにロックスターの著者(Dave Shackleford、Phil Hagen、Matt Bromiley、Rob Davenport)を選びました。
- Stephen Sims
GIAC Certified Enterprise Defender (GCED) 認定資格は、企業環境を防御し、組織全体を守るために必要な、より高度な技術的スキルを評価します。GCED 認定資格者は、防御的なネットワークインフラストラクチャ、パケット分析、侵入テスト、インシデント処理、マルウェア除去の分野における知識と能力を検証します。
セクション1では、様々なエンタープライズインフラストラクチャの設計や構成に焦点を当てます。セキュリティの観点から見た適切な設計と構成は、構成しているコンポーネントだけでなく、他のコンポーネントを攻撃から守るために、関連する組織の他の部分も含めて保護することです。言い換えると、良い家には良い基礎が必要です!
次に、公開されているベンチマークやさまざまな製品を保護するためのベンダーガイダンス、規制要件、特定の攻撃に対してインフラストラクチャを防御する際の影響について説明します。これらのポイントを説明するにあたり、さまざまなデバイスやネットワークベースの攻撃からルータインフラストラクチャを保護、防御する方法について詳しく説明します。
また、一般的な攻撃に対するプライベートおよびパブリッククラウドのインフラストラクチャの保護についても説明します。
セキュリティとは、組織の重要資産に対するリスクを理解し、軽減させ、管理することです。組織は変化する脅威の状況を理解し、環境を侵害するために悪用できる自身の脆弱性を対比する能力を持つ必要があります。2日目には、ネットワークサービス、オペレーティングシステム及びアプリケーションのセキュリティに関する姿勢をよりよく理解するために、組織に対して行えるさまざまなテストと効果的なペネトレーションテストの方法について紹介します。さらに、ユーザに対する脅威としてソーシャルエンジニアリングや偵察活動が増えていることを紹介します。
基本的な脆弱性を見つけることは簡単ですが、攻撃者がシステムに侵入する際に悪用する脆弱性でなければ、必ずしも効果的とは言えません。高度なペネトレーションテストのためには、ネットワーク上のさまざまなシステムとアプリケーションを理解し、攻撃者がどのようにして侵害できるのか把握する必要があります。受講生は、現実世界の攻撃者のような環境を通じて、テストプロジェクトのスコープや計画の策定、外部と内部のネットワークペネトレーションテスト、ウェブアプリケーションテストについて学習します。
ペネトレーションテストは、組織の情報流出のポイントを特定するために重要ですが、組織全体に渡りセキュリティを高めるために、脆弱性の優先順位付けと修正方法についても学習します。
「予防は理想的ですが、検出は必須です」という言葉はネットワークセキュリティの専門家にとって重要なモットーです。組織は可能な限り多くの攻撃を防ぎたいと考えていますが、攻撃者は依然としてネットワークに侵入します。攻撃が正しく防げない場合、ネットワークセキュリティの専門家は、ネットワークトラフィックを分析して進行中の攻撃を見つける必要があります。重大な影響を受ける前に止められることが理想的です。このようなタイムリーな検出の核心は、パケット分析と侵入検知となります。組織は攻撃を検出するだけではなく、今後その攻撃を防ぐことが可能な対策を講じていく必要があります。
攻撃の状況は変わることから、それらの検出は継続的な課題となります。今日の攻撃は、ステルス化が進み、これまで以上に見つけることが困難です。トラフィック分析の基本原則を理解することによって、通常のトラフィックと攻撃トラフィックを判別できる熟練したアナリストになれます。常に新しい攻撃が行われているため、セキュリティ専門家はネットワーク環境が侵害される前に、最新の攻撃を検知する侵入検知ルールを作成する必要があります。
トラフィック分析と侵入検知は、多くの組織で個々の規律として扱われてきました。今日では、予防、検出、対応は緊密である必要があり、攻撃が検出されると防衛措置が開始され、積極的なフォレンジックが実施されることにより、組織が継続的に運用できることとなります。このコースのセクションでは、ネットワークセキュリティの監視について紹介した後、セキュリティ専門家として特定すべき重要なネットワークプロトコルについて説明します。TCPdumpやWiresharkといったツールを使用してパケットトレースを分析し、攻撃の目的を見つけ出します。また、さまざまな検出ツールや分析ツール、検出のテストを行うためにScapyを利用してパケットを生成し、ネットワークフォレンジックやSecurity Onionを用いた監視についても取り上げます。ネットワーク侵入検知システムとしてSnortを利用し、シグネチャルールを詳細に調べます。
SOF-ELKによるセキュリティ・アナリティクスの基礎
「悪者の排除」は、DFIR(Digital Forensics and Incident Response )専門家の重要なミッションです。インシデントが発生したら組織は専門家としてのレスポンダーに頼り、ネットワークから悪意のあるものを見つけ、範囲を絞り、封じ込め、回復を行います。調査員は、DFIRにより、何が起こったのか特定します。DFIRチームは、侵害された証拠を見つけ、環境を改善し、継続的に検出を向上させるために、運用チームに対してスレットインテリジェンスに関するデータを提供するための調査を行います。これまでは、限りあるプロセスとみなされていましたが、インシデントレスポンスは進行中のものであることから、DFIRの専門家は、既存の証拠に対して新たな脅威の情報を当てはめることにより、環境に存在している、これまで検出されていなかったような攻撃者の証拠をも探し出します。これが「スレットハンティング」の概要の要点となります。
このセクションでは、「デジタルフォレンジック」と「インシデントレスポンス」の両方の概要について学習します。フォレンジック調査官が事件の発生原因を具体的に洞察するにあたり、数多くのアーティファクトを調査します。攻撃者が使用するダイナミックな手順に対処するために、インシデントレスポンスが何年もの進化を経て現在どのように運用されているのかについて学習します。また、DFIRを継続的なセキュリティ運用プログラムに適用する方法についても紹介します。
次に、6段階のインシデントレスポンスプロセスの一般的なガイドラインについて説明します。各段階を適用する方法について実例を交え詳細に紹介します。最後に、特定の環境内で疑わしい活動を判断するための最適なアーティファクトや企業レベルの分析のために大きなデータセットを移行する技術を学びます。
多くの組織では、悪意あるソフトウェアはインシデントとして取り扱われる必要があります。マルウェアの種類は、ランサムウェアやルートキットから、仮想通貨のマイニングやワームに至るまで、多岐に渡ります。最も一般的な種類のマルウェアを定義した後、複数の事例を紹介します。完全自動分析、静的プロパティ分析、対話型行動分析、手動によるコードリバースエンジニアリングの4つの主要なフェーズのマルウェア分析について説明します。静的分析からコード分析まで、実績のあるランサムウェア検体を用いて詳細に調査するラボを行います。リバースエンジニアリングにより鍵を抽出することで、ランサムウェアで暗号化されたファイルを復号するだけでなく、動的分析技術を通してマルウェアを欺く実践的なハンズオンをも体験することができます。これらの目標を達成するプロセスが実行でき、消化できるようになるために、すべての段階は明確に定義、かつテストされています。
マルウェアの解析段階:マニュアルコードリバース
コースの最終セクションは、チームで働くこと、コース全体を通して学んだスキルを使用すること、既存の枠に捕らわれずに考えること、単純なものから複雑なものまでさまざまな問題を解決することによって、受講生にとっての現実世界の課題になることでしょう。WebサーバのスコアリングシステムとCTF(Capture-the-Flag)エンジンにより、受講生のフラグの提出や得点が記録されます。より困難な課題は、多くのポイントを得ることができるでしょう。このディフェンシブ演習は、パケット分析、ルーティングプロトコル、スキャン、マルウェア分析、その他、コース教材に関連する様々な課題が含まれています。