NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Advanced Security Essentials - Enterprise Defender
※本コースは中止となりました。次回開催をお待ちください。
Cyber Defense Essentials
English2024年1月22日(月)~1月27日(土)
1日目:9:00-19:30
2日目~6日目:9:30-17:30
オンライン
【早割価格】1,220,000 円(税込み:1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
【通常価格】1,350,000 円(税込み:1,485,000 円)
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要:以下の手順に従って設定されたPCを各自用意してください。
サイバーのリスキルとスキルアップは、規模の大小を問わず、企業にとって重大な関心事である。技術者は、複数の分野で幅広い知識と一定の基本的なスキルを身に付けていなければならない。インフォメーション・テクノロジーやDevOpsにまで拡大しつつあるセキュリティ・チームの各メンバーは、コーディング、構築、配備されるシステム、ソフトウェア、インフラが攻撃に強いことを確実にするための準備をしなければならない。チームメンバーは、敵対者を特定するために必要な知識を持たなければならない。そのためには、敵対者の戦術、テクニック、手順に関する知識と、企業内での敵対者の活動を明らかにする実世界のツールに精通している必要がある。敵対者の横の動きを制御し、侵入範囲を制限することで、ミッションクリティカルな企業データの漏洩、改ざん、破壊のリスクを最小限に抑えることができます。敵対者の根絶、侵害されたシステムの修復、失われた資産の回復には、総力を挙げて取り組むことが重要です。防ぐ。検知する。対応する。
敵の継続的な活動は、その規模を拡大し、頻繁な攻撃を引き起こし、必然的に侵害され、データの損失や漏えいにつながることが多くなっています。企業は、必要に応じてCERT/CSIRT活動に有意義に貢献できるよう、十分に準備されたクロストレーニングの専門家を持たなければならない。サイバーキャリアの道を模索し、最先端のツールを使った実践的な経験を求めている経験豊富な技術者は、SEC501: Advanced Security Essentials-Enterprise Defenderで必要なものを見つけることができるでしょう。このコースは、企業の防御に日々使用されるツールやテクニックについて、サイバーセキュリティの下位分野にわたるトレーニングを提供する唯一のSANSコースです。全日コースのトピックは、ネットワーク・アーキテクチャの防御、侵入テスト、セキュリティ・オペレーション、DFIR/CERT/CSIRT、マルウェア解析をカバーしています。クラス内で実施される25のラボでは、これらの各分野で実際に使用されているツール(Ciscoルーター、Covenant、Metasploit、Nessus、Nmap、Procmon、Snort、SOF-ELK、TShark、Wiresharkなど)を使用した実習が行われ、デモンストレーションが行われます:
など。
SEC501:Advanced Security Essentials-Enterprise Defenderでは、以下のことを学びます。
ランサムウェアがどのように動作し、機能するために何が必要なのか、その秘密に迫り、ランサムウェアの要求を満たしたと思わせることによって、ランサムウェアを打ち負かすために必要なデータを見つけます。
認証、冗長性、ルーティング・プロトコル、暗号化された認証情報を侵害することで、ネットワーク・デバイスに対するリアルタイムの攻撃を開始します。
システムを発見し、侵害し、アカウントを列挙し、認証情報を盗み出し、敵が行うのとまったく同じように悪用ツールとフレームワークを使用して、ターゲット・ネットワーク上の他のシステムを発見し、特定し、攻撃し、侵害し、ピボットします。
スニッファ、スキャナ、プロキシを使用して脆弱性を検出し、攻撃が開始される前にシステムの弱点を修正する機会を提供します。
脅威インテリジェンスを直接利用し、ネットワークからキャプチャしたパケットから攻撃の兆候を特定し、ネットワーク侵入検知システムの新しいルールを作成してテストします。
本講座受講にあたっての前提
必須ではありませんが、受講生はSANSのSEC401:Security Essentials Bootcamp Styleを受講しているか、同程度のスキルを持っていることをお勧めします。具体的には、ネットワーク、プロトコル及びオペレーティングシステムについて詳細に理解していることです。
GIAC Certified Enterprise Defender(GCED)
GIAC Certified Enterprise Defender(GCED)認定資格は、GIAC Security Essentials認定資格で測定されるセキュリティスキルを基礎としています。エンタープライズ環境を防御し、組織全体を保護するために必要な、より高度な技術的スキルを評価します。GCED認定者は、防御ネットワークインフラ、パケット分析、侵入テスト、インシデント処理、マルウェア駆除の分野で有効な知識と能力を有しています。
SEC501は、以下の方法を示す25のラボを備えています。
私がサイバーセキュリティに出会ったのは、神経科学の博士課程に在籍していた1990年代初頭、研究室がサイバー攻撃を受けた翌日のことだった。研究室のUNIXワークステーションに既知の脆弱性があり、パッチをダウンロードしてインストールしなければならないことを知ったのはその時だった。まったくの独学で、カーネルにパッチを当てて再構築し、Tripwire、SATAN、TCP Wrappersなどのツールをコンパイル、デプロイ、設定、使用することを学んだ。その後、フルタイムの企業管理者として、スイッチ、ルーター、ファイアウォール、RSA SecurID、IPSec VPN、プロキシゲートウェイ、Windowsエンドポイントの強化、Active Directoryの監査とセキュリティグループの動的な作成の自動化、Nexposeの管理、IPTablesの扱いについて学んだ。私自身、多方面にわたる技術的なバックグラウンドがあるため、SEC501の主執筆者として特に熱意をもって取り組んでいます。このコースは、私自身の何でも屋としての経験を反映したものであり、その興奮を皆さんと分かち合う絶好の機会です!
- Ross Bergman
ネットワーク・デバイスの適切な設計とコンフィギュレーションは、コンフィギュレーションされたコンポーネントと、そのデバイスに依存し、他のコンポーネントを攻撃から守る企業の残りの部分の両方を保護します。言い換えれば、良い家には良い基礎が必要です!
次に、公開されているベンチマークやさまざまな製品を保護するためのベンダーガイダンス、規制要件、特定の攻撃に対してインフラストラクチャを防御する際の影響について説明します。これらのポイントを説明するにあたり、さまざまなデバイスやネットワークベースの攻撃からルータインフラストラクチャを保護、防御する方法について詳しく説明します。
また、一般的な攻撃に対するプライベートおよびパブリッククラウドのインフラストラクチャの保護についても説明します。
セキュリティとは、組織の重要資産に対するリスクを理解し、軽減させ、管理することです。組織は変化する脅威の状況を理解し、環境を侵害するために悪用できる自身の脆弱性を対比する能力を持つ必要があります。2日目には、ネットワークサービス、オペレーティングシステム及びアプリケーションのセキュリティに関する姿勢をよりよく理解するために、組織に対して行えるさまざまなテストと効果的なペネトレーションテストの方法について紹介します。さらに、ソーシャル・エンジニアリングとオープンソース・インテリジェンス活動についてもお話しし、ユーザーに対してますます蔓延している脅威をよりよく模倣していきます。
基本的な脆弱性を見つけることは簡単ですが、攻撃者がシステムに侵入する際に悪用する脆弱性でなければ、必ずしも効果的とは言えません。高度なペネトレーションテストのためには、ネットワーク上のさまざまなシステムとアプリケーションを理解し、攻撃者がどのようにして侵害できるのか把握する必要があります。受講生は、現実世界の攻撃者のような環境を通じて、テストプロジェクトのスコープや計画の策定、外部と内部のネットワークペネトレーションテスト、ウェブアプリケーションテストについて学習します。
ペネトレーションテストは、組織の情報流出のポイントを特定するために重要ですが、組織全体に渡りセキュリティを高めるために、脆弱性の優先順位付けと修正方法についても学習します。
トラフィック分析と侵入検知は、多くの組織で個々の規律として扱われてきました。今日では、予防、検出、対応は緊密である必要があり、攻撃が検出されると防衛措置が開始され、積極的なフォレンジックが実施されることにより、組織が継続的に運用できることとなります。このコースのセクションでは、ネットワークセキュリティの監視について紹介した後、セキュリティ専門家として特定すべき重要なネットワークプロトコルについて説明します。TCPdumpやWiresharkといったツールを使用してパケットトレースを分析し、攻撃の目的を見つけ出します。また、様々な検知・分析ツールを使用し、ネットワーク侵入検知システムとしてのSnortを探求し、ルールシグネチャを詳細に検討します。さらに、学生はネットワークフォレンジックを実施し、SOF-ELKプラットフォームを使用して、セキュリティ情報およびイベント管理ツールの威力を実証します。
SOF-ELKによるセキュリティ・アナリティクスの基礎
企業は、CERT/CSIRT を利用して、ネットワークから悪を発見し、範囲を特定し、封じ込め、根絶する。インシデント調査者は、何が起こったかを判断するために DFIR の手法を採用する: DFIR チームは、侵害の証拠を見つけ、環境を修復し、検知を継続的に改善するために運用チームにローカル脅威インテリジェンスを生成するためのデータを提供するために調査を実施します。従来、インシデントレスポンスは有限のプロセスと見なされてきたが、現在ではDFIRの専門家が既存の証拠に新たな脅威インテリジェンスを適用することで、検知されずに環境に存在していた攻撃者の証拠を探し出す、継続的なプロセスと見なされている。これが、"脅威ハンティング "と呼ばれる概念の核心である。
本セクションでは、まずアクティブ・ディフェンスのアプローチについて詳しく説明し、次にDFIRの中核となるコンセプトを紹介する。インシデント発生中に何が起こったかについて、フォレンジック調査官に具体的な洞察を与えることができる何百もの成果物のいくつかを探求する。受講生は、攻撃者が作戦を遂行するために使用するダイナミックな手順に対処するために、何年もかけて進化してきたインシデントレスポンスが現在どのように運用されているかを学ぶ。また、DFIRの実践を継続的なセキュリティ運用プログラムに統合する方法についても検討します。次に、周期的な6段階のインシデント対応プロセスを示す。各ステップは、その適用方法の実践例を含めて詳細に検討される。最後に、与えられた環境内の不審な活動の程度を判断するために最もよく使用できる成果物と、企業レベルの分析のために大規模なデータセットに技術を移行する方法について学びます。
多くの組織では、悪意あるソフトウェアはインシデントとして取り扱われる必要があります。マルウェアの種類は、ランサムウェアやルートキットから、仮想通貨のマイニングやワームに至るまで、多岐に渡ります。最も一般的な種類のマルウェアを定義した後、複数の事例を紹介します。完全自動分析、静的プロパティ分析、対話型行動分析、手動によるコードリバースエンジニアリングの4つの主要なフェーズのマルウェア分析について説明します。静的分析からコード分析まで、実績のあるランサムウェア検体を用いて詳細に調査するラボを行います。リバースエンジニアリングにより鍵を抽出することで、ランサムウェアで暗号化されたファイルを復号するだけでなく、動的分析技術を通してマルウェアを欺く実践的なハンズオンをも体験することができます。これらの目標を達成するプロセスが実行でき、消化できるようになるために、すべての段階は明確に定義、かつテストされています。
マルウェアの解析段階:マニュアルコードリバース
コースの最終セクションは、チームで働くこと、コース全体を通して学んだスキルを使用すること、既存の枠に捕らわれずに考えること、単純なものから複雑なものまでさまざまな問題を解決することによって、受講生にとっての現実世界の課題になることでしょう。WebサーバのスコアリングシステムとCTF(Capture-the-Flag)エンジンにより、受講生のフラグの提出や得点が記録されます。より困難な課題は、多くのポイントを得ることができるでしょう。このディフェンシブ演習は、パケット分析、ルーティングプロトコル、スキャン、マルウェア分析、その他、コース教材に関連する様々な課題が含まれています。