ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 550

Cyber Deception - Attack Detection, Disruption and Active Defense
※本イベントでの開催は中止となりました。
次回開催をお待ちください。

CyberDeception

English
日程

2023年1月23日(月)~1月28日(土)

期間
6日間
講義時間

1日目: 9:00-17:30
2日目~6日目: 9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
-
講師
Kevin Fiscus|ケビン フィスクス
SANSプリンシパルインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

【年末年始特別価格※】1,180,000円(税込 1,298,000円)

※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

【通常価格】1,280,000円(税込 : 1,408,000円)

申込締切日
【年末年始特別価格】2023年1月6日(金)
【お申込み締切】2023年1月13日(金)
オプション
  • NetWars Continuous  250,000円(税込み 275,000円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC550 PC設定詳細

演習で使用するノートPCをご準備ください。受講に必要なPC環境についてご確認ください。

重要!次の手順に従ってシステムを構成してください。

このコースに完全に参加するためには、正しく設定されたシステムが必要です。この説明書をよく読み、それに従わない場合は、このコースに不可欠な実習に参加できないため、満足のいく授業が受けられない可能性が高くなります。したがって、このコースで指定されているすべての要件を満たすシステムで参加されることを強くお勧めします。

また、授業の前にシステムをバックアップしていただくとともに、機密データをシステムに保存しないようにしてください。弊社は受講者の皆様のシステムやデータに対して責任を負いません。

オペレーションシステム

  • ホストOSは、Windows 10 ProLinux、またはmacOS 10.14以降が動作し、後述のVMware仮想化製品をインストールおよび実行できるシステムであることが必要です。
  • 受講前にホストOSをアップデートし、最新の0デバイスを使用するためのドライバやパッチをインストールしておく必要があります。
  • Linux ホストを使用する場合は、適切なカーネルまたは FUSE モジュールを使用して、exFAT パーティションにアクセスできるようにすることが必要です。
  • 7-Zip (Windows ホスト用) または Keka (macOS) をダウンロードし、インストールしてください。これらの解凍ソフトがないと、授業で提供する大きなアーカイブファイルを解凍することができません。

CPU

  • 64ビット Intel i5/i7 2.0+ GHz プロセッサー
  • システムのプロセッサは、64ビットのIntel i5またはi7 2.0GHzプロセッサ以上である必要があります。Windows 10で確認するには、Windowsキー+「I」を押して「設定」を開き、「システム」、「詳細情報」の順にクリックします。プロセッサーの情報は、ページの下方に表示されます。Macで確認するには、ディスプレイの左上にあるAppleのロゴをクリックし、「このMacについて」をクリックします。 

BIOS

  • "Intel-VT"が有効になっていること
  • Intel VT (VT-x) ハードウェア仮想化技術は、システムの BIOS または UEFI 設定で有効になっている必要があります。授業中、システムのBIOSにアクセスできる必要があります。BIOSがパスワードで保護されている場合は、そのパスワードを持っている必要があります。これは絶対に必要です。

RAM

  • "最高の体験のために、8GB RAM(またはそれ以上)を強く推奨します。Windows 10で確認するには、Windowsキー+「I」を押して「設定」を開き、「システム」、「詳細情報」の順にクリックします。RAMの情報は、ページの一番下に表示されます。Macで確認するには、ディスプレイの左上にあるAppleのロゴをクリックし、「このMacについて」をクリックします。

ハードディスク空き容量

  • ハードディスクに100GBの空き容量があることが、配布する仮想マシンや追加ファイルをホストするために重要です。SSDドライブは、機械式ハードディスクよりも仮想マシンを高速に動作させることができるため、強く推奨されます。

追加要件

以下の要件は、上記の基本要件に追加されるものです。授業開始前に、VMware仮想化ソフトウェアをインストールし、以下の追加ソフトウェアの要件を満たしている必要があります。

VMware Playerのインストール

  • VMware Workstation Player 15.5+VMware Workstation Pro 15.5.+、または VMware Fusion 11.5+ のいずれかを使用します。
  • VMware Workstation または Fusion のライセンス コピーをお持ちでない場合は、VMware 社から 30 日間の無償評価版をダウンロードすることができます。VMware 社の Web サイトで試用版に登録すると、VMware 社から期間限定のシリアル番号が送信されます。VMware Workstation Player は、商用ライセンスを必要としない無償ダウンロード製品ですが、Workstation Pro よりも機能が少なくなっています。Hyper-VVirtualBoxなどの他の仮想化製品はサポートされていないため、教材で使用することはできません。
  • ホストOSおよびインストールされているすべてのセキュリティソフトウェアに対する管理者アクセス権が必要です。
  • ノートパソコンを再起動し、ログインできること(例:ドライブの暗号化やその他のセキュリティソフトウェアがインストールされている場合、その有効な認証情報を持っていること)

授業のメディアは、ダウンロードで配信されます。授業で使用するメディアファイルは容量が大きく、中には20GBを超えるものもあります。ダウンロードが完了するまでに、十分な時間を確保する必要があります。インターネット接続と速度は、多くの異なる要因によって大きく異なります。そのため、教材のダウンロードにかかる時間の目安をお知らせすることはできません。リンクを入手したら、コースメディアのダウンロードを開始してください。授業初日には、コースメディアがすぐに必要になります。授業開始の前夜にダウンロードを開始すると、失敗する可能性が高くなります。

SANSでは、PDF形式の印刷物の提供を開始しました。さらに、一部のクラスでは、PDFに加え、電子ワークブックを使用しています。電子ワークブックを使用するクラスは、今後急速に増加すると思われます。この新しい環境では、セカンドモニターやタブレット端末があると、講師の講義中やラボの演習中に授業資料を見ることができ、便利です。

ノートパソコンの仕様についてご質問がある場合は、sans-info@nri-secure.co.jp までご連絡ください。

SEC550 コース概要

従来の防御的コントロールは失敗に終わっています。攻撃者が最初の侵害から横方向に移動するのにかかる時間は急速に減少している一方で、侵害を検知し効果的に対応するのにかかる時間は数週間から数カ月単位で測定されます。さらに、Ponemon Instituteによる「2020 Cost of a Data Breach Report」における調査では、侵害の検知と対応にかかる時間と、その侵害が組織にもたらすコストには直接的な相関関係があり、時間がかかるほど、侵害によるコストも高くなることが示されています。リスクを軽減するためには、防御側が敵の活動を迅速に検知し、より迅速で効果的な対応を可能にする情報を収集するためのより良い方法が必要です。

サイバーディセプションは、この対応時間を短縮し、コストを最小化するためのソリューションです。SEC550 Cyber Deception - Attack Detection, Disruption and Active Defenseは、サイバーディセプションの基本原理を理解し、ほぼすべての環境に適合するサイバーディセプションキャンペーンを計画、実施できるようにします。

現在使用されているほとんどの検出制御は、「悪」を探すことに重点を置いていますが、攻撃者は無害に見せかけたり、見えないようにすることに長けています。アンチウイルス、アプリケーションホワイトリスト、DLP、ファイアウォールなどの技術は、比較的容易に回避することができます。一般的な解決策は、「悪」を探すことから「異常」を探すことに変更することです。しかし、かなり小規模なコンピューティング環境であっても、「正常化」を試みることは困難であり、時間がかかることがあります。

幸いなことに、別の方法があります。本番環境の正規化を試みる代わりに、本番環境では利用価値のないリソースをその環境に配置したらどうでしょうか。これらのリソースは、ユーザーアカウント、認証情報、サービス、オープンポート、コンピュータ、あるいはネットワーク全体である可能性もあります。これらのリソースは通常の本番運用の一部ではないため、「通常」とは、相互作用がない、または使用されていないと定義することができる。言い換えれば、これらの欺瞞的なリソースと正当なやりとりをする理由がないため、いかなるやりとりも異常であり、「誤検出」アラートはほとんど発生しない。これにより、忠実度が高く、ノイズの少ない検出ソリューションが実現する。さらに、欺瞞的なリソースを監視したり、ログを生成するように設定することができるため、防御側は実用的な脅威インテリジェンスや攻撃起因情報を大量に収集し、より迅速かつ効果的に対処することができます。さらに、攻撃者が欺瞞的なシステムのハッキングを試みるのに忙しく、実際の生産リソースから注意をそらしている間に、このようなことが可能になります。

この実践的なコースでは、サイバーディセプションの理論とコンセプトを学ぶだけでなく、15時間以上に及ぶガイド付き演習でディセプション技術を積極的に活用する役割を担います。コース終了時には、サイバーディセプションの価値を理解し、ご自身のコンピュータ環境を保護するためにすぐに活用できる実践的な経験を得ることができます。

このコースを通じて学べること

  • なぜサイバーディセプションは、情報セキュリティのゲームを完全に変えてしまうのか?
  • サイバーディセプションを利用して、ネットワーク上の攻撃者を従来の検知技術よりも90%も速く検知する方法
  • ディセプション技術を利用して、実用的な脅威インテリジェンスと攻撃のアトリビューション情報を収集する方法
  • 攻撃者は完璧でなければ検知されないが、攻撃者を捕まえるには一度だけ正しい行動をとればよいという環境を作り出す方法
  • 攻撃者にリアルタイムにかつ積極的に関与する方法
  • 攻撃者がネットワークにパケットを送信する前に、攻撃を阻止する方法
  • 攻撃者から優位性を取り戻す方法

事業上の収穫

  • 包括的なサイバーディセプションプログラムの設計、実装、評価、および管理
  • ネットワーク上の攻撃者の活動のより迅速な検出
  • 誤検知アラートの削減
  • より効果的な攻撃への対応
  • 攻撃が発生する前の抑止または阻止

受講対象者

  • 一般的なセキュリティ実務者
  • ディセプションプランナー
  • セキュリティに関する意思決定者
  • セキュリティプログラムアーキテクト
  • インシデント対応担当者
  • サイバーディフェンダー/ブルーチーム担当者
  • スレットハンター
  • パープルチーム担当者
  • 最高情報セキュリティ責任者(CISO)
  • サイバーセキュリティアナリスト/エンジニア

前提条件

  • WindowsおよびLinuxの基本的な理解
  • ネットワークプロトコルとネットワークトラフィック解析の基本的な理解
  • 攻撃的なハッカー技術に関する基本的な理解

コース開発者より

サイバーディセプションの世界を探求し始めたとき、私は控えめに言っても混乱しました。この騒ぎが何なのか、よく理解できなかったのです。私は、サイバーディセプションを次世代のハニーポットのようなものだと考えていました。ハニーポット?本当に?ある日、ピンときたのです。ハニーポットの導入方法をいろいろと調べているうちに、あることを思いつきました。この技術を使って、ある環境に対して侵入テストを行おうとしたらどうだろう?それはどのようなものだろうか。という疑問が湧いたのです。しかし、そのことがかえって混乱を招いてしまった。サイバーディセプションがいかに効果的であるかを知るにつれ、私は疑念を抱くようになった。こんなにうまくいくはずがない。何か見落としているものがあるはずだ!」。何ヶ月も研究を続け、実験し、他のディセプションの専門家と議論した結果、私はついに、セキュリティ業界に欠けているものを見つけたことに気づきました。それ以来、私はこのテーマに情熱を傾けています。そして、サイバーディセプションを本当に理解している人は、私と同じように情熱を持っており、このことをできるだけ多くの人と共有する必要があると思うようになったのです。
- Kevin Fiscus

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

SEC550.1: Understanding the Problem

概要

最初のコースでは、攻撃の検知と対応に関連する中核的な問題を理解し、ディセプション技術がこれらの問題をどのように解決できるかに焦点を当てます。また、一般的な攻撃者の戦術やテクニックが、従来の防御・検知制御をどのように回避することができるかを見ていきます。最後に、ディセプションの構成要素と計画活動の概要を説明することにより、ディセプションを正しく行うために何が必要かを検討します。

演習

  • 攻撃的なテクニックと戦術
  • 明らかなディセプションの評価
  • 正しく行われるディセプション - 構成要素と計画
  • MITRE ATT&CKShieldを使用したディセプションの予備計画策定

トピックス

  • 問題の把握
    • 従来の保護と検出のコントロールの問題点
    • 検知の失敗がリスクを著しく増大させる理由
  • 解決策の説明
    • 観察・判断・行動(OODA)ループの理解とセキュリティプログラムへの活用方法
    • サイバーディセプションの紹介:主な利点、要素、構成要素
    • 攻撃手法とコントロールの回避
  • 攻撃者が従来のセキュリティ制御を回避する方法の検証
    • 攻撃マッピングフレームワークの紹介:Lockheed Martin Cyber Kill ChainUnified Kill Chain、およびMITRE ATT&CK
    • 正しく行われるディセプション、ディセプションの構成要素、ディセプションの計画
  • 攻撃者がディセプションを発見する方法
    • ディセプションが発見された場合、攻撃者は何をすることができるかを理解する
    • 一般的なディセプションの目標を理解する
    • MITRE Shieldを使用し、ディセプションとアクティブディフェンスの目標を明確にする
    • ディセプション・コンポーネントとエレメントのプレビュー
  • ディセプションのコンポーネントと要素のプレビュー

SEC550.2: Deception Foundations

概要

ディセプションの実装は、ネットワーク内でいくつかの簡単なツールを実行するのと同じくらい簡単に行うことができます。現在ではディセプションは一般的ではないため、単純なディセプションは非常に効果的である。しかし、ディセプションが一般的になればなるほど、あるいは高度な敵に対処するためには、より包括的なディセプション・プランが必要になります。このコースでは、自分自身を知り、敵を知り、ディセプションの目標を知ることで、詳細かつ包括的で、信頼できるディセプション・プランを設計するために必要なことを学びます。また、費用対効果が高く、柔軟で信頼性の高いディセプション・プログラムを実施するために、さまざまな仮想化技術をどのように利用できるかを学びます。

演習

  • Dockerを使用したディセプションの実装
  • 汝自身を知れ:Active Directory、非Active Directory、およびLinux環境におけるネットワークリソースのインベントリ作成
  • 汝の敵を知れ:MITRE ATT&CKATT&CK Navigatorを使用した作業

トピックス

  • 基礎知識
    • ディセプションの基本概念
    • ディセプションの効果と方法
    • 事実と虚構を明らかにする/隠す
    • 正規表現
    • デセプションと仮想化
  • 自分自身を知る
    • ディセプションの計画を促進するためのIT資産インベントリの作成
    • データを分類し、ビジネスへの影響を分析し、ディセプションの優先順位を特定する
    • 正規表現を使用したセンシティブデータの特定と位置の特定
    • 脆弱性の特定
    • ユーザーとグループのインベントリを作成する
    • 技術使用パターンの特定
  • 敵を知る
    • 攻撃者の戦術とテクニックを理解するための方法を発見する
    • 攻撃戦術のトレーニングがどのようにディセプションプランニングを向上させるかを理解する
    • インシデントレスポンスとフォレンジックのスキルを使用して、より優れたディセプションを実現する
    • Lockheed Martin Intrusion Kill ChainUnified Kill ChainMITRE ATT&CKを使用した攻撃者の活動に関する学習

SEC550.3: Deception Techniques and Technologies, Part I

概要

このセクションでは、ディセプションプログラムコンポーネントの最初のセットについて見ていきます。DNSWebディセプション、ポートとサービスのディセプション、電子メール、Internet of Things、ワイヤレスのディセプション、ファイルシステムのディセプションの設計、実装、および使用方法について学びます。

演習

  • DNSWebディセプション
    • SSHRDPのハニーポット、プロキシリダイレクト
    • Conpot ICSハニーポットの使用、テスト、カスタマイズ
    • WindowsLinuxのファイルシステムディセプション

トピックス

  • DNSディセプション
    • DNSの重要性
    • DNSが関与する攻撃
    • DNS欺瞞の戦術とテクニック
  • Webディセプション
    • ウェブデセプションの戦術とテクニック
    • Webディセプションツールとハニーポット
  • ポートおよびサービスのディセプション
    • 高インタラクションハニーポットと低インタラクションハニーポットの違い
    • ポートおよびサービス・ディセプションのツール、ユーティリティ、およびハニーポット
    • ポートおよびサービス・ディセプションの長所と短所
  • 電子メールディセプション
    • フィッシング、スピアフィッシング、スパムなど、電子メールに関連する攻撃
    • フィッシング詐欺対策
    • アンチスパムディセプション戦略
  • モノのインターネット(IoT)、オペレーション・テクノロジー(OT)、産業用制御システム(ICS)ディセプション
    • IoT/OT/ICSディセプション・ツールとユーティリティ
  • ワイヤレス・デセプション
    • ワイヤレス攻撃の理解
    • ワイヤレス・インフラ・ディセプション
    • ワイヤレスクライアントディセプション
    • ワイヤレス・デセプションツールとユーティリティ
  • ファイルとフォルダーのディセプション
    • ファイルとフォルダーの偽装の概要
    • ファイルシステムのインストルメンテーションとアラート
    • 信頼できる欺瞞データの生成方法

SEC550.4: Deception Techniques and Technologies, Part II

概要

このセクションでは、ディセプションプログラムの構成要素について引き続き見ていきます。欺瞞的なアカウントとクレデンシャルおよび高インタラクションのハニーポットを設計し、実装し、使用する方法について学びます。また、検知されたディセプションを回避する方法と、ハニーネットとハニーポットを配布する方法についても学びます。

演習

  • LinuxWordpressActive Directoryの欺瞞アカウント作成、メモリ内のディセプションアカウント作成
  • レスポンダ、ルータ、ワイヤレスのディセプションとポートリダイレクトによるTCP Tarpitの実施
  • Windows 10ハニーポットの実装、監視と集中ログイン
  • アクティブな攻撃への対応

トピックス

  • 不正なアカウントとクレデンシャル
    • アカウントとクレデンシャルに対する攻撃を理解する
    • クレデンシャル攻撃への欺瞞的な対策
    • ペルソナの作成・管理・利用を騙る
  • 検知されたディセプションの回避
    • ディセプションのレベルとリアリズムの影響
    • ディセプションの検出
    • 欺瞞的なネットワークトラフィック
    • ポケットリターンとバーンイン
  • 高インタラクションハニーポット
    • 高インタラクションハニーポットの概要
    • 高インタラクションハニーポットの構成とインストルメンテーション
    • ハニーポット監視ソリューション
  • ハニーネット
    • ハニーネットの概要
    • ハニーネットの利点と欠点
    • ハニーネットの制御とインストルメンテーション
  • ハニーポットの配布
  • ハニードライブ
  • Active Defense Harbinger Distribution (ADHD)
  • Honeeepi
  • BlackArch Linux

SEC550.5: Deception Concepts, Planning, and Evaluation

概要

このコースでは、授業で学んだことをすべて使って、包括的なディセプション計画を作成します。そして、ディセプションプログラムの有効性を評価する方法を学びます。また、ディセプションの合法性、およびディセプション環境におけるインシデントレスポンスの違いについても理解することができます。最後に、商用ディセプション・ソリューションの概要を説明します。

演習

  • ディセプションプログラムの設計、実施、評価

トピックス

  • デセプション・プランニング
    • デセプション・プランニングのプロセス概要
    • デセプション・チャンネルの理解
    • ディセプション・ストーリーの作成
  • デセプション・プランの評価とテスト
    • 何が間違いかを理解し、計画する
    • ディセプション・プランを評価する方法
    • 欺瞞の特定
  • 法的な質問 エントラップメントとハッキングバック
  • インシデントの処理と対応
  • デセプション環境下でのインシデント対応における相違点
  • 攻撃者の積極的な関与:方法と理由
  • 商用ディセプション・ソリューションの概要

SEC550.6: Capstone Exercise

概要

この最終セクションでは、コースを通して学んだ知識とスキルを実践的に使用します。受講生はチームに分かれ、新しいコンピュータ環境を与えられます。そして、自分たちの環境と攻撃者のツール、テクニック、戦術を理解する能力をテストするために、一連の課題が提示されます。学生は、提供された情報に基づいてディセプションの目標を特定し、次に具体的なサイバー欺瞞の目標を提示されます。提示された質問に答え、ディセプションの目標を達成することができれば、得点となります。演習終了時に最も多くのポイントを獲得したチームが勝者となります。

演習

  • キャップストーン演習

トピック

  • 自己を知る
    • ホスト情報の把握
    • 脆弱性の特定
    • ネットワークトラフィックの調査
    • ユーザーとクレデンシャルの特定
  • 敵と目標を知る
    • MITRE ATT&CK をレビューする
    • MITRE Shield の適用
  • 欺瞞の実装
  • ディセプションの課題を解決する

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。