NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Cyber Deception - Attack Detection, Disruption and Active Defense
※本イベントでの開催は中止となりました。
次回開催をお待ちください。
CyberDeception
English2023年1月23日(月)~1月28日(土)
1日目: 9:00-17:30
2日目~6日目: 9:30-17:30
オンライン
【年末年始特別価格※】1,180,000円(税込 1,298,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
【通常価格】1,280,000円(税込 : 1,408,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
演習で使用するノートPCをご準備ください。受講に必要なPC環境についてご確認ください。
重要!次の手順に従ってシステムを構成してください。
このコースに完全に参加するためには、正しく設定されたシステムが必要です。この説明書をよく読み、それに従わない場合は、このコースに不可欠な実習に参加できないため、満足のいく授業が受けられない可能性が高くなります。したがって、このコースで指定されているすべての要件を満たすシステムで参加されることを強くお勧めします。
また、授業の前にシステムをバックアップしていただくとともに、機密データをシステムに保存しないようにしてください。弊社は受講者の皆様のシステムやデータに対して責任を負いません。
以下の要件は、上記の基本要件に追加されるものです。授業開始前に、VMware仮想化ソフトウェアをインストールし、以下の追加ソフトウェアの要件を満たしている必要があります。
VMware Playerのインストール
授業のメディアは、ダウンロードで配信されます。授業で使用するメディアファイルは容量が大きく、中には20GBを超えるものもあります。ダウンロードが完了するまでに、十分な時間を確保する必要があります。インターネット接続と速度は、多くの異なる要因によって大きく異なります。そのため、教材のダウンロードにかかる時間の目安をお知らせすることはできません。リンクを入手したら、コースメディアのダウンロードを開始してください。授業初日には、コースメディアがすぐに必要になります。授業開始の前夜にダウンロードを開始すると、失敗する可能性が高くなります。
SANSでは、PDF形式の印刷物の提供を開始しました。さらに、一部のクラスでは、PDFに加え、電子ワークブックを使用しています。電子ワークブックを使用するクラスは、今後急速に増加すると思われます。この新しい環境では、セカンドモニターやタブレット端末があると、講師の講義中やラボの演習中に授業資料を見ることができ、便利です。
ノートパソコンの仕様についてご質問がある場合は、sans-info@nri-secure.co.jp までご連絡ください。
従来の防御的コントロールは失敗に終わっています。攻撃者が最初の侵害から横方向に移動するのにかかる時間は急速に減少している一方で、侵害を検知し効果的に対応するのにかかる時間は数週間から数カ月単位で測定されます。さらに、Ponemon Instituteによる「2020 Cost of a Data Breach Report」における調査では、侵害の検知と対応にかかる時間と、その侵害が組織にもたらすコストには直接的な相関関係があり、時間がかかるほど、侵害によるコストも高くなることが示されています。リスクを軽減するためには、防御側が敵の活動を迅速に検知し、より迅速で効果的な対応を可能にする情報を収集するためのより良い方法が必要です。
サイバーディセプションは、この対応時間を短縮し、コストを最小化するためのソリューションです。SEC550 Cyber Deception - Attack Detection, Disruption and Active Defenseは、サイバーディセプションの基本原理を理解し、ほぼすべての環境に適合するサイバーディセプションキャンペーンを計画、実施できるようにします。
現在使用されているほとんどの検出制御は、「悪」を探すことに重点を置いていますが、攻撃者は無害に見せかけたり、見えないようにすることに長けています。アンチウイルス、アプリケーションホワイトリスト、DLP、ファイアウォールなどの技術は、比較的容易に回避することができます。一般的な解決策は、「悪」を探すことから「異常」を探すことに変更することです。しかし、かなり小規模なコンピューティング環境であっても、「正常化」を試みることは困難であり、時間がかかることがあります。
幸いなことに、別の方法があります。本番環境の正規化を試みる代わりに、本番環境では利用価値のないリソースをその環境に配置したらどうでしょうか。これらのリソースは、ユーザーアカウント、認証情報、サービス、オープンポート、コンピュータ、あるいはネットワーク全体である可能性もあります。これらのリソースは通常の本番運用の一部ではないため、「通常」とは、相互作用がない、または使用されていないと定義することができる。言い換えれば、これらの欺瞞的なリソースと正当なやりとりをする理由がないため、いかなるやりとりも異常であり、「誤検出」アラートはほとんど発生しない。これにより、忠実度が高く、ノイズの少ない検出ソリューションが実現する。さらに、欺瞞的なリソースを監視したり、ログを生成するように設定することができるため、防御側は実用的な脅威インテリジェンスや攻撃起因情報を大量に収集し、より迅速かつ効果的に対処することができます。さらに、攻撃者が欺瞞的なシステムのハッキングを試みるのに忙しく、実際の生産リソースから注意をそらしている間に、このようなことが可能になります。
この実践的なコースでは、サイバーディセプションの理論とコンセプトを学ぶだけでなく、15時間以上に及ぶガイド付き演習でディセプション技術を積極的に活用する役割を担います。コース終了時には、サイバーディセプションの価値を理解し、ご自身のコンピュータ環境を保護するためにすぐに活用できる実践的な経験を得ることができます。
サイバーディセプションの世界を探求し始めたとき、私は控えめに言っても混乱しました。この騒ぎが何なのか、よく理解できなかったのです。私は、サイバーディセプションを次世代のハニーポットのようなものだと考えていました。ハニーポット?本当に?ある日、ピンときたのです。ハニーポットの導入方法をいろいろと調べているうちに、あることを思いつきました。この技術を使って、ある環境に対して侵入テストを行おうとしたらどうだろう?それはどのようなものだろうか。という疑問が湧いたのです。しかし、そのことがかえって混乱を招いてしまった。サイバーディセプションがいかに効果的であるかを知るにつれ、私は疑念を抱くようになった。こんなにうまくいくはずがない。何か見落としているものがあるはずだ!」。何ヶ月も研究を続け、実験し、他のディセプションの専門家と議論した結果、私はついに、セキュリティ業界に欠けているものを見つけたことに気づきました。それ以来、私はこのテーマに情熱を傾けています。そして、サイバーディセプションを本当に理解している人は、私と同じように情熱を持っており、このことをできるだけ多くの人と共有する必要があると思うようになったのです。
- Kevin Fiscus
最初のコースでは、攻撃の検知と対応に関連する中核的な問題を理解し、ディセプション技術がこれらの問題をどのように解決できるかに焦点を当てます。また、一般的な攻撃者の戦術やテクニックが、従来の防御・検知制御をどのように回避することができるかを見ていきます。最後に、ディセプションの構成要素と計画活動の概要を説明することにより、ディセプションを正しく行うために何が必要かを検討します。
ディセプションの実装は、ネットワーク内でいくつかの簡単なツールを実行するのと同じくらい簡単に行うことができます。現在ではディセプションは一般的ではないため、単純なディセプションは非常に効果的である。しかし、ディセプションが一般的になればなるほど、あるいは高度な敵に対処するためには、より包括的なディセプション・プランが必要になります。このコースでは、自分自身を知り、敵を知り、ディセプションの目標を知ることで、詳細かつ包括的で、信頼できるディセプション・プランを設計するために必要なことを学びます。また、費用対効果が高く、柔軟で信頼性の高いディセプション・プログラムを実施するために、さまざまな仮想化技術をどのように利用できるかを学びます。
このセクションでは、ディセプションプログラムコンポーネントの最初のセットについて見ていきます。DNSとWebディセプション、ポートとサービスのディセプション、電子メール、Internet of Things、ワイヤレスのディセプション、ファイルシステムのディセプションの設計、実装、および使用方法について学びます。
このセクションでは、ディセプションプログラムの構成要素について引き続き見ていきます。欺瞞的なアカウントとクレデンシャルおよび高インタラクションのハニーポットを設計し、実装し、使用する方法について学びます。また、検知されたディセプションを回避する方法と、ハニーネットとハニーポットを配布する方法についても学びます。
このコースでは、授業で学んだことをすべて使って、包括的なディセプション計画を作成します。そして、ディセプションプログラムの有効性を評価する方法を学びます。また、ディセプションの合法性、およびディセプション環境におけるインシデントレスポンスの違いについても理解することができます。最後に、商用ディセプション・ソリューションの概要を説明します。
この最終セクションでは、コースを通して学んだ知識とスキルを実践的に使用します。受講生はチームに分かれ、新しいコンピュータ環境を与えられます。そして、自分たちの環境と攻撃者のツール、テクニック、戦術を理解する能力をテストするために、一連の課題が提示されます。学生は、提供された情報に基づいてディセプションの目標を特定し、次に具体的なサイバー欺瞞の目標を提示されます。提示された質問に答え、ディセプションの目標を達成することができれば、得点となります。演習終了時に最も多くのポイントを獲得したチームが勝者となります。