NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Hacker Tools, Techniques, Exploits and Incident Handling
Penetration Testing and Ethical Hacking
English2022年1月17日(月)~1月22日(土)
1日目:9:00 ~ 19:45
2~6日目:9:30 ~ 17:30
オンライン
【日本語コース応援キャンペーン価格※】790,000円(税込み 869,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
※キャンペーン価格は2021年12月24日(金)で終了しました。
【通常価格】840,000円(税込み 924,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後にGIAC試験を追加される場合、事務手数料(10,000円(税込み11,000円))をいただきます。
※GIAC試験はご自身で直接お申し込みいただくことも可能です。こちらのページ(英語)を参照ください。
※コース開始後の英語教材の追加お申し込みは承れませんのでご了承ください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要!次の手順に従ってシステムを構成してください。
このコースの全てに参加するためには、適切に設定されたシステムが必要です。この説明をよくお読みになり、それに従っていただかないと、このコースに不可欠なハンズオン演習に参加することができず、満足のいく講義を受けていただくことができません。したがって、このコースで指定されたすべての要件を満たすシステムを用意することを強くお勧めします。授業の前にシステムのバックアップを取っておくことが重要です。 また、機密データが保存されているシステムは持ち込まないことを強くお勧めします。
CPU
ハードドライブの空き容量
オペレーティングシステム
以下の要件は、上記のベースライン要件に追加されるものです。クラスの開始前に、VMware仮想化ソフトウェアをインストールし、以下に示す追加のハードウェアおよびソフトウェア要件を満たす必要があります。
その他のソフトウェア要件
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)
インターネット上には、強力なハッキングツールとそれらを大々的に使用する悪意ある者が存在します。組織のコンピュータシステムがインターネットに接続されている、または組織内部に不満を抱いた従業員がいるという場合、システムは攻撃を受ける可能性が高いと言えるでしょう。悪質ハッカーがインターネット経由で攻撃を仕掛けたり、内部関係者がたやすく重要な情報資産にアクセスしたり、アタッカーは悪質・巧妙な手口をさらに増幅させながら、組織のシステムをねらっています。そのため、ディフェンダーとしては、これらのハッキングツールや手法を理解することが必要となります。
このコースは、このような悪意者のねらいとその手口を詳細に理解し、それを踏まえた脆弱性の発見と侵入検知の実技経験を養い、総合的なインシデントハンドリングが行えるようになることを目的としています。受講を通じて得られる知識とスキルによってアタッカーより優位な立場に立てるでしょう。このコースでは、いまだ幅をきかせている”古き良き”タイプの攻撃から今まさに最新の狡猾な攻撃ベクトルに至るまで、あらゆる種類の攻撃手法を押さえます。単なるハッキング攻撃技術の講義にとどまらず、アタッカーによる攻撃手法を詳細に見ていくことで攻撃に対する準備、検知、レスポンスを可能にし、段階的なプロセスを経たコンピュータインシデントレスポンス手法の習得を目指します。そして、従業員の監視や法的措置を取る際の手順、証拠の保全といった、コンピュータアタックのレスポンスに絡む法的な問題についても取り上げます。最後に、受講生は、システムのスキャンやエクスプロイト、防御に焦点を当てた実践的なハンズオンワークショップを体験します。
このコースは、特にインシデントハンドリングに携わる方の受講をお勧めします。また、一般的なセキュリティ業務、システム管理、セキュリティ構築などを担当している方にも、攻撃の阻止、検知、レスポンスを行うためのシステム設計、構築、運用の方法が理解できるという点で有益でしょう。
GIACインシデントハンドラ認定は、コンピュータセキュリティインシデントを検出、対応、および解決するために必要な、幅広いセキュリティスキルを備えた実践者の能力を検証します。
GCIH認証保有者は、一般的な攻撃手法、ベクター、ツールを理解することにより、セキュリティインシデントを管理するために必要な知識を持っているだけでなく、そのような攻撃が発生した場合に防御し、対応します。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
18歳のとき、私が学校のカード目録サーバーをハッキングしたことが発覚しました。その後私は学校から追い出されるのではなく、なんとそのまま学校の職員になり、その後10年間、セキュリティの改善に取り組む一方で、ハッカー向けツールの活用、エクスプロイトの作成、新しい手法の開発、そして猛威を振るう攻撃へのより良い対応方法の構築に努めてきました。こうした中で気が付いた点としては、私が管理していたシステムの防御能力を評価・改善するために、攻撃者の手法を理解することが大きなメリットをもつということでした。
SEC504では、インシデントレスポンス分析者の視点から、現代の攻撃者が使用しているハッカーツール、テクニック、およびエクスプロイトについて掘り下げています。ここでは、偵察から搾取、スキャンからデータ略奪まで、あらゆることを取り上げます。このコースの講義、実践的な演習型のキャップストーン・イベントでは、ネットワーク・セキュリティに関する適切な判断を行うために必要なツールと手法を学ぶことができます。ハッカーの考えを学び、攻撃を識別し、高度な攻撃者からネットワークを保護するための準備が整います
-Joshua Wright
どのような規模にせよ、インシデントレスポンスをすることは複雑な作業です。効果的なインシデントレスポンスには、ビジネスや情報セキュリティに関する懸念事項を含む、複数の利害関係者との慎重な検討とインプットが必要です。日々新たな脆弱性が発見されており、常に侵入の可能性はあります。ネットワークへの侵入に加え、火災、洪水、犯罪などの物理的なインシデントに対しては、システムやサービスを可能な限り迅速かつ安全にオンラインに戻すためのしっかりとしたインシデントレスポンスのアプローチが必要です。
Day1では、インシデントレスポンスとデジタル調査の双方の重要な要素を検討することから始まります。いくつかのインシデントから情報を得て、ビジネスオペレーションとセキュリティの両方にとってのゴールと成果を検討します。ここで提示するダイナミックなアプローチは、個々のビジネスやインシデントに適用可能です。次に、より実践的な課題へと移行し、実際のシステムを取り巻く問題を検討し、異常な事象を検知します。さらに、実践的な観点を保ちつつ、ネットワークとメモリからの証拠調査のための技術にも着目します。また、未知のプログラムが悪意のあるものかどうかを判断し、悪意のあるものであれば、どのような足跡が残されているかを判断するための技術を取り上げます。
皆さんが所属する組織のネットワークは、潜在的な攻撃者に膨大な量の情報を提供しています。情報漏洩やオープンソース情報(OSINT)に加え、攻撃者はシステムの詳細なスキャンを行い、防御を突破するための突破口を探索しています。攻撃者は、ネットワークに侵入するために、脆弱なDMZシステムやプラットフォーム、脆弱なWi-Fiや独自の無線システムなど、侵入チャンスのあるターゲットを探し出しています。さらに攻撃者は、複雑な Windows Active Directory ドメインの詳細なスキャンと調査を行い、構成ポリシーを識別して操作することで、より有利な立場に立とうとしてます。
Day2では、多くのサイバー攻撃の初期段階に関わる詳細情報をカバーしています。MITRE ATT&CK Frameworkを通して、モダンな攻撃者のツール、技術、実践(TTP)を理解するための重要なフレームワークを紹介し、攻撃者が行う攻撃前のステップを調査する出発点としています。さらに、ローカルおよびクラウドベースのツールを活用して、ターゲット組織の効果的な偵察を行い、最初の侵害の弱点に関する情報を開示・特定します。次に、ネットワークの観点から、また最新の Windows Active Directory フォレストの複雑さに焦点を当て、攻撃者に特権的なアクセスを与える攻撃計画を作成するためのスキャン技術を深く掘り下げていきます。また、組織への攻撃を検出するための優位性を提供する無料のオープンソースのツールを使用した防御技術にも注目します。
パスワードの漏洩はエクスプロイトの漏洩よりまだ良い、とどの攻撃者も同じことを言うでしょう。有効なユーザ名とパスワードによるシステムアクセスは、エクスプロイトよりも信頼性が高いだけでなく、認証された資格情報を使用することで、通常のシステム使用に溶け込み、検出につながるログやシステムの異常を見せにくくすることができます。このような攻撃が非常に蔓延しているため、パスワードベースの攻撃を詳細に掘り下げ、防御しなければならない高度な攻撃者と同じスキルとテクニックでシステムをテストするためのツールが提供されています。
Day3は、簡単なパスワード推測攻撃から始まり、アカウントロックアウトなどの防御システムを回避する効果的なプロセスを採用するために攻撃者が採用しているテクニックを素早く学習します。別のネットワーク侵害から効果的なパスワード推測リストを作成することや、攻撃者がどのようにしてユーザーのパスワードを再利用して組織を攻撃するかなど、重要なトピックを学習します。また、パスワードハッシュの背後にあるアルゴリズムを掘り下げ、いくつかのツールを使用して、クラッキングプロセスを数年ではなく数日で完了させるようにを最適化しながらパスワードの平文復元を行います。また、簡単なバックドア、フォワードシェルとリバースシェル、組織内でのデータ転送の離散などを利用して、本質的なネットワーク攻撃のトピックを理解するための第一歩を、システムバイナリを通して踏み出します。また、組織内の認証ログを監視するためのドメインパスワード監査ツール(DPAT)やElastic Stack(旧ELK)ツールの使用など、業務に戻ってからすぐに活用できる防御策についても調査します。
外部からの攻撃やDrive-By攻撃は、組織にとって深刻なリスクであり、組織を標的とする攻撃者にとっては一般的な攻撃トレンドとなっています。ウェブアプリケーション、VPNサーバ、電子メールシステム、およびその他のサポートプロトコルなどに対する外部からの攻撃ターゲットは、攻撃者によって迅速に特定され、脆弱性を評価されます。Drive-By攻撃では、攻撃者はサードパーティの正当なウェブサイトを利用し、ユーザーを騙してシステムを脆弱にするような行動を取らせます。
Day4では、Metasploit などのエクスプロイトフレームワークを使用して、公開されたシステムを侵害するハッカーツールを学びます。また、Drive-By攻撃や水飲み場攻撃の背後にある概念とテクニックを掘り下げ、悪意のあるインストーラ、ブラウザのJavaScript、悪意のあるMicrosoft Office文書を介して、攻撃者がどのようにしてエクスプロイトやシステム侵害ツールを作成するかを調べます。また、組織におけるWebアプリケーションに特有の攻撃を、認証されていないユーザと認証されたユーザの両方の観点から、最も一般的なWebアプリケーションの脆弱性に対する実践的な悪用手順とともに検証します。ハッカーツールの調査に加えて、Windows SRUMデータベースを使用したシステムアクティビティの履歴レポート作成や、Webサーバのログデータを調査して攻撃の兆候を特定するためのElastic Stack (旧ELK)ツールの使用など、いつでも利用可能で実用的ないくつかの防御策を学習します。
攻撃者の目的は、単にシステムを侵害することではありません。多くの場合、攻撃者による侵害はあくまでも最初のステップであり、その後、さらなるネットワークアクセスや組織内の機密データの取得を目的としたポストエクスプロイト攻撃が行われます。その過程で攻撃者は、エンドポイント保護、サーバのロックダウン、制限された特権者環境など、その攻撃活動を阻止するために設計された防御策に対処しなければなりません。
Day5では、初期の侵害が終わった後の攻撃者のステップを検証します。EDRプラットフォームを回避した後、攻撃者がマルウェアを埋め込むために使用するテクニック、サードパーティ製および組み込みのツールを使用してネットワークを踏み台を経由して移動する方法、ネットワークの内部スキャンおよび情報資産探索のためのネットワーク上のはじめの一歩の活用方法を掘り下げていきます。さらに、1つのホストの侵害が、攻撃者に特権的なネットワークインサイダーアクセスを与え、攻撃が新しい分野を切り開く方法と、そのアクセスを賢く利用して、検出システムを回避するためにホストやネットワーク上の痕跡を隠蔽する方法を見ていきます。また、攻撃者が最初のアクセスを確立したのち、侵害されたネットワークからどのようにアクセスし、データを収集し、流出させるかを見ていきます。そして、新しいスキルを永続的で長期的な記憶に変えるためのリソースとベストプラクティスを検討し、コース終了後のゴールはどこかを見定めて、コースの講義のコンポーネントを終了します。
長年にわたり、セキュリティ業界は攻撃者を食い止めるために、より賢く、より効果的になってきました。残念ながら、攻撃者自身も賢くなり、より洗練されてきています。攻撃者を阻止する最も効果的な方法の1つは、攻撃者が使用するのと同じツールや戦術で実際に環境をテストすることです。このCapture-the-Flagイベントは、最近侵害された架空の会社のコンサルタントとして働くという、1日体験型のイベントです。最新の洗練されたネットワーク環境を侵害するために攻撃者が使用するのと同じテクニックを使用して、授業で学んだスキルをすべて活用します。グループでチームを組んで、Windows、Linux、Io T、クラウドなど、サイバー上のさまざまなターゲットシステムを対象に、スキャン、エクスプロイト、ポストエクスプロイトのタスクを行います。このハンズオンチャレンジは、現代のネットワークを再現した環境の中で、各プレイヤーがそれぞれのスキルを練習し、コース全体で学んだ概念を強化することができるように設計されています。NetWarsエンジンを搭載したこのイベントでは、ターゲットシステムへの侵入、エンドポイント保護プラットフォームの回避、内部ネットワークの高価値ホストへの移行、ターゲット組織にとって最大の価値を持つデータの流出を成功させるためのガイドをプレイヤーに提供します。優勝者にはSEC504チャレンジコインが贈られます。