このICSインシデント対応コースは、産業環境のセキュリティ確保ための実践的なスキルを身につけられます。実際の産業機器を使用した実践的な演習を通じて、ICS/OTシステムに依存する重要インフラやその他の環境におけるネットワークの可視性の確保、資産の特定、脅威の検知、インシデントへの対応方法を学びます。カリキュラムでは、STUXNET、HAVEX、BLACKENERGY2、CRASHOVERRIDE、TRISIS/TRITON、FROSTYGOOP、EKANS、PIPEDREAMなどの高度な脅威に対する高度な防御技術を網羅しています。実際のプログラマブルロジックコントローラー (PLC) キット、セクターシミュレーションボード、受講後も保有可能な仮想マシンを使用し、スキルの向上を継続します。業界標準フレームワークを活用して、産業環境をセキュリティ確保のための繰り返し利用可能な方法を開発します。
ICSの可視性、検知、対応
ICS515:ICSの可視性、検知、対応は、産業用制御システム(ICS)/オペレーショナル・テクノロジー(OT)ネットワークにおける可視性と資産の識別、サイバー脅威の監視と検知、ICSサイバー攻撃の分析による教訓の抽出、インシデント対応、そしてインテリジェンス主導のアプローチによる世界最先端のICSサイバーセキュリティプログラムの実行を支援し、安全で信頼性の高い運用を実現します。このコースは、ICS脅威の検知、対応、およびアクティブディフェンスに重点を置く専門家向けの業界をリードする資格であるGRID認定(GIAC Response and Industrial Defense)の主要な準備コースでもあります。
このコースでは、受講者がネットワーク化されたICS環境を理解し、脅威を監視し、特定された脅威に対してインシデント対応を実行し、攻撃者とのやり取りから学習し、ネットワークセキュリティを強化できるようになります。このアプローチは、STUXNET、HAVEX、BLACKENERGY2、CRASHOVERRIDE、TRISIS/TRITON、FROSTYGOOP、EKANS、PIPEDREAMなどのマルウェアで見られるような高度な脅威に対抗するために重要です。さらに、この取り組みは、現代の複雑な自動化環境を理解して運用し、ネットワーク上で発生するサイバー関連ではないイベントの根本原因分析するためにも重要です。受講者は、ICSサイバーセキュリティプログラムに必要なコアスキルを身につけることが期待されます。
このコースでは、ICSの範囲と機器からの収集した多数の技術データセットと、エミュレートされた攻撃やと環境内に展開された実際のマルウェアを活用し、脅威の検知と対応を高度にシミュレートした体験を得られます。また、受講者はプログラマブルロジックコントローラー (PLC)、発電、送電、配電レベルで電力システムの動作をエミュレートする物理キット、およびヒューマンマシンインターフェイス (HMI) およびエンジニアリングワークステーション (EWS) としてセットアップされた仮想マシンを実際に操作し、維持管理します。
受講者はコースの約半分を、25を超える技術演習と終日の技術的なキャップストーンにわたる実践的なスキル習得に費やします。受講者は、ICSサイバーセキュリティ戦略の定義、脅威インテリジェンスの活用、ネットワークセキュリティ監視の実行、およびインシデント対応の実施について、実践的かつ技術的に理解を深めます。ICSサイバーキルチェーン、コレクション管理フレームワーク、アクティブサイバーディフェンスサイクルなどのフレームワークを学習し、受講後に繰り返し活用可能なフレームワークとモデルを習得します。これらの実践的なフレームワークは、GRID認定に必要な能力に沿った効果的なICS脅威検知および対応プログラムを提供する能力を強化します。
このコースで提示される戦略的および技術的スキルは、ICS防御の実現可能性を実証したいICS組織にとっての基礎となります。
- セキュリティ運用に重点を置き、運用の安全性と信頼性を優先してICSインシデント対応を行う方法を学びます。
- ICS脅威インテリジェンスの生成方法と、コミュニティで利用可能なものを使用してICS環境をサポートする方法を学び、学習した分析スキルにより、ICS脅威インテリジェンスレポートからの情報を定期的に批判的に分析し、適用できるようになります。
- ICS資産とそのネットワークトポロジを特定する方法と、ICSホットスポットの異常と脅威を監視する方法を学びます。このコースでは、ICSネットワークセキュリティ監視や、制御システムの脅威状況を軽減するためのアプローチなどの方法論を紹介し、強化します。
- ICSの脅威を分析し、環境のスコープを迅速に把握し、脅威の性質を理解するために必要な最も重要な情報を抽出する方法を学びます。
- 攻撃を受けた際に、運用を停止する必要があるのか、脅威に対応して運用を継続しても安全であるかを判断するためのチームや意思決定者に指示を求めるために必要な情報を取得する方法を学びます。
- 複数のセキュリティ分野を連携させてアクティブディフェンスを活用し、ICSを保護する方法を学びます。これらはすべて、演習ラボと技術概念で強化します。
このコースでは、以下の内容を学習します。
- ICSネットワークを調査し、資産とそのデータフローを特定して、高度な脅威を特定するために必要なネットワーク情報を理解します。
- 脅威インテリジェンスの活用、ネットワークセキュリティ監視、マルウェア分析、インシデント対応などのアクティブディフェンスの概念を用いてICSを保護します。
- SANS ICS515 Student Kitを使用して独自のプログラマブルロジックコントローラを構築し、受講後も保有できます。
- STUXNET、HAVEX、BLACKENERGY2、CRASHOVERRIDE、TRISIS/TRITON、FROSTYGOOP、EKANS、PIPEDREAMなど、ICSを標的とした脅威とマルウェアに関する深い知識を習得します。
- Shodan、Wireshark、Zeek、Suricata、Volatility、FTK Imager、PDFアナライザー、PLCプログラミングソフトウェアなどの技術ツールを活用できるようになります。
- YARAで侵害の痕跡(IOC)を作成します。
- サイバーセキュリティのスライディングスケール、アクティブサイバーディフェンスサイクル、コレクション管理フレームワーク、ICSサイバーキルチェーンなどのモデルを活用して、脅威から情報を抽出し、それを使用してICSネットワークセキュリティの長期的な成功を促進します。
ハンズオントレーニング
- SANS ICS515 Student Kitを使用したプログラマブルロジックコントローラ(PLC)の構築
- Shodanを通じてオンラインで入手可能な資産情報の特定
- 競合する仮説分析の完了
- 脅威インテリジェンスレポートの取り込み
- 新しいアクティブ防御スキルを特定して活用し、ラボネットワーク上の高度持続的脅威(APT)の影響を受けるヒューマンマシンインターフェイス(HMI)にインシデント対応者の誘導
- ネットワーク内で特定されたAPTマルウェアの影響を受けるシステムを特定し、分析可能な脅威サンプルの組み立て
- 感染したHMIと特定されたAPTマルウェアのサンプルから、マルウェアの分析、情報抽出、YARAルールの策定により、積極的な防御を実施
- SANS ICS515 Student Kitへの侵入から収集されたライブデータと、マルウェアに感染した分散制御システム(DCS)から収集されたデータを使用する3つの異なる実践的なシナリオに対応
