SECURITY 501

ディフェンシブネットワークアーキテクチャ

セクション1では、様々なエンタープライズインフラストラクチャの設計や構成に焦点を当てます。セキュリティの観点から見た適切な設計と構成は、構成しているコンポーネントだけでなく、他のコンポーネントを攻撃から守るために、関連する組織の他の部分も含めて保護することです。言い換えると、良い家には良い基礎が必要です！

次に、公開されているベンチマークやさまざまな製品を保護するためのベンダーガイダンス、規制要件、特定の攻撃に対してインフラストラクチャを防御する際の影響について説明します。これらのポイントを説明するにあたり、さまざまなデバイスやネットワークベースの攻撃からルータインフラストラクチャを保護、防御する方法について詳しく説明します。

 また、一般的な攻撃に対するプライベートおよびパブリッククラウドのインフラストラクチャの保護についても説明します。

演習

• ルーターの初期設定と監査
• AAAのセキュリティ
• 冗長化プロトコルのセキュリティ
• 防御におけるログ基盤
• ルーティング・プロトコルの防御
• ルーターの最終的な強化手順/監査

トピック

• セキュリティスタンダードと監査
• Authentication（認証）Authorization（認可）、Accounting（アカウンティング）
• ネットワークインフラの防御
• 侵入防止システムとファイアウォール
• 名前解決攻撃と防御
• プライベートおよびパブリック・クラウド・インフラストラクチャの保護

ペネトレーションテスト

セキュリティとは、組織の重要資産に対するリスクを理解し、軽減させ、管理することです。組織は変化する脅威の状況を理解し、環境を侵害するために悪用できる自身の脆弱性を対比する能力を持つ必要があります。2日目には、ネットワークサービス、オペレーティングシステム及びアプリケーションのセキュリティに関する姿勢をよりよく理解するために、組織に対して行えるさまざまなテストと効果的なペネトレーションテストの方法について紹介します。さらに、ユーザに対する脅威としてソーシャルエンジニアリングや偵察活動が増えていることを紹介します。

基本的な脆弱性を見つけることは簡単ですが、攻撃者がシステムに侵入する際に悪用する脆弱性でなければ、必ずしも効果的とは言えません。高度なペネトレーションテストのためには、ネットワーク上のさまざまなシステムとアプリケーションを理解し、攻撃者がどのようにして侵害できるのか把握する必要があります。受講生は、現実世界の攻撃者のような環境を通じて、テストプロジェクトのスコープや計画の策定、外部と内部のネットワークペネトレーションテスト、ウェブアプリケーションテストについて学習します。

ペネトレーションテストは、組織の情報流出のポイントを特定するために重要ですが、組織全体に渡りセキュリティを高めるために、脆弱性の優先順位付けと修正方法についても学習します。

演習

• ネットワークスキャンの基礎知識
• Nessusによるスキャン
• エクスプロイトとMetasploitの基礎
• 基本的なWebアプリスキャンと攻撃
• Metasploitとピボット

トピック

• ペネトレーションテストのスコープとエンゲージメントのルール
• オンラインによる偵察
• ソーシャルエンジニアリング
• ネットワークマッピングとスキャンの手法
• 企業用途の脆弱性スキャン
• ネットワークエクスプロイトツールとその技術
• Post-Exploitationとピボット
• Webアプリケーションエクスプロイトツールとその技術
• レポートとデブリーフィング

セキュリティオペレーションの基礎

「予防は理想的ですが、検出は必須です」という言葉はネットワークセキュリティの専門家にとって重要なモットーです。組織は可能な限り多くの攻撃を防ぎたいと考えていますが、攻撃者は依然としてネットワークに侵入します。攻撃が正しく防げない場合、ネットワークセキュリティの専門家は、ネットワークトラフィックを分析して進行中の攻撃を見つける必要があります。重大な影響を受ける前に止められることが理想的です。このようなタイムリーな検出の核心は、パケット分析と侵入検知となります。組織は攻撃を検出するだけではなく、今後その攻撃を防ぐことが可能な対策を講じていく必要があります。

攻撃の状況は変わることから、それらの検出は継続的な課題となります。今日の攻撃は、ステルス化が進み、これまで以上に見つけることが困難です。トラフィック分析の基本原則を理解することによって、通常のトラフィックと攻撃トラフィックを判別できる熟練したアナリストになれます。常に新しい攻撃が行われているため、セキュリティ専門家はネットワーク環境が侵害される前に、最新の攻撃を検知する侵入検知ルールを作成する必要があります。

トラフィック分析と侵入検知は、多くの組織で個々の規律として扱われてきました。今日では、予防、検出、対応は緊密である必要があり、攻撃が検出されると防衛措置が開始され、積極的なフォレンジックが実施されることにより、組織が継続的に運用できることとなります。このコースのセクションでは、ネットワークセキュリティの監視について紹介した後、セキュリティ専門家として特定すべき重要なネットワークプロトコルについて説明します。TCPdumpやWiresharkといったツールを使用してパケットトレースを分析し、攻撃の目的を見つけ出します。また、さまざまな検出ツールや分析ツール、検出のテストを行うためにScapyを利用してパケットを生成し、ネットワークフォレンジックやSecurity Onionを用いた監視についても取り上げます。ネットワーク侵入検知システムとしてSnortを利用し、シグネチャルールを詳細に調べます。

演習

• TCPdumpを使用したPCAP分析
• Wiresharkによる攻撃の分析
• Snortの基礎
• Security Onionによる悪意ある行動の検知

• SOF-ELKによるセキュリティ・アナリティクスの基礎

トピック

• ネットワークセキュリティの監視
• 高度なパケット分析
• ネットワーク侵入検知・防止
• 検知用シグネチャの作成
• ネットワークフォレンジックとその他
• イベント管理入門
• 継続的なモニタリング
• ロギングとイベントの収集と分析
• SIEMとアナリティクス

デジタルフォレンジックとインシデントレスポンス

「悪者の排除」は、DFIR（Digital Forensics and Incident Response ）専門家の重要なミッションです。インシデントが発生したら組織は専門家としてのレスポンダーに頼り、ネットワークから悪意のあるものを見つけ、範囲を絞り、封じ込め、回復を行います。調査員は、DFIRにより、何が起こったのか特定します。DFIRチームは、侵害された証拠を見つけ、環境を改善し、継続的に検出を向上させるために、運用チームに対してスレットインテリジェンスに関するデータを提供するための調査を行います。これまでは、限りあるプロセスとみなされていましたが、インシデントレスポンスは進行中のものであることから、DFIRの専門家は、既存の証拠に対して新たな脅威の情報を当てはめることにより、環境に存在している、これまで検出されていなかったような攻撃者の証拠をも探し出します。これが「スレットハンティング」の概要の要点となります。

このセクションでは、「デジタルフォレンジック」と「インシデントレスポンス」の両方の概要について学習します。フォレンジック調査官が事件の発生原因を具体的に洞察するにあたり、数多くのアーティファクトを調査します。攻撃者が使用するダイナミックな手順に対処するために、インシデントレスポンスが何年もの進化を経て現在どのように運用されているのかについて学習します。また、DFIRを継続的なセキュリティ運用プログラムに適用する方法についても紹介します。

次に、6段階のインシデントレスポンスプロセスの一般的なガイドラインについて説明します。各段階を適用する方法について実例を交え詳細に紹介します。最後に、特定の環境内で疑わしい活動を判断するための最適なアーティファクトや企業レベルの分析のために大きなデータセットを移行する技術を学びます。

演習

• アクティブディフェンス：ハニーポット
• FTK imagerとPhotorecによるデータ回復
• アーティファクトの発見
• ランサムウェアのタイムライン分析
• ランサムウェアのネットワーク分析

トピック

• アクティブディフェンス
•  DFIRコアコンセプト：デジタルフォレンジック
• DFIRコアコンセプト：インシデントレスポンス
• 現代のDFIR
• ネットの拡大：スケーリングとスコーピング

マルウェア分析

多くの組織では、悪意あるソフトウェアはインシデントとして取り扱われる必要があります。マルウェアの種類は、ランサムウェアやルートキットから、仮想通貨のマイニングやワームに至るまで、多岐に渡ります。最も一般的な種類のマルウェアを定義した後、複数の事例を紹介します。完全自動分析、静的プロパティ分析、対話型行動分析、手動によるコードリバースエンジニアリングの4つの主要なフェーズのマルウェア分析について説明します。静的分析からコード分析まで、実績のあるランサムウェア検体を用いて詳細に調査するラボを行います。リバースエンジニアリングにより鍵を抽出することで、ランサムウェアで暗号化されたファイルを復号するだけでなく、動的分析技術を通してマルウェアを欺く実践的なハンズオンをも体験することができます。これらの目標を達成するプロセスが実行でき、消化できるようになるために、すべての段階は明確に定義、かつテストされています。

演習

• ランサムウェアの静的プロパティ分析
• ランサムウェアの対話型行動分析 - Part1
• ランサムウェアの対話型行動分析 - Part2
• ランサムウェアの手動によるコードリバース

トピック

• マルウェア分析の概要
• マルウェア解析のステージ：完全自動化と静的特性解析
• マルウェア解析のステージ：インタラクティブな動作解析

• マルウェアの解析段階：マニュアルコードリバース

エンタープライズディフェンダーキャップストーン

コースの最終セクションは、チームで働くこと、コース全体を通して学んだスキルを使用すること、既存の枠に捕らわれずに考えること、単純なものから複雑なものまでさまざまな問題を解決することによって、受講生にとっての現実世界の課題になることでしょう。WebサーバのスコアリングシステムとCTF（Capture-the-Flag）エンジンにより、受講生のフラグの提出や得点が記録されます。より困難な課題は、多くのポイントを得ることができるでしょう。このディフェンシブ演習は、パケット分析、ルーティングプロトコル、スキャン、マルウェア分析、その他、コース教材に関連する様々な課題が含まれています。