SEC599 は、セキュリティ専門家が高度なサイバー脅威から防御するための実践的なスキルを習得できるように設計された集中的な実践的なコースです。20以上のハンズオンラボと、終日のDefend-the-Flag演習を通じて、受講者は攻撃チェーン全体にわたって効果的なセキュリティ制御を実装する方法を学びます。このコースでは、MITRE ATT&CKやCyber Kill Chainなどの業界標準フレームワークを使用して、実際の攻撃分析、攻撃者のエミュレーション、防御戦略の実装を組み合わせています。
カスタムサンドボックスの構築から、ラテラルムーブメントの検出、コマンド&コントロール通信の阻止まで、受講者は最新のセキュリティツールと技術に関する実践的な経験を積むことができます。このコースでは、防御と検知の両方に重点が置かれており、専門家が攻撃を阻止し、防御が突破されたときに迅速に特定できるようにします。また、受講者がGDAT認定資格を取得する準備もでき、パープルチーム戦術と高度な敵対者防御に関する専門知識を検証します。
エンタープライズサイバー防御の構築:脅威分析からパープルチームの導入まで
あなたは、仮想組織「SYNCTECHLABS」がサイバーセキュリティ機能を構築するのを支援するために採用されました。初日、上司から「最近のサイバーセキュリティのトレンドレポートを見たところ、状況が全く把握できない。高度な持続的な脅威、ランサムウェア、サービス拒否攻撃...サイバー攻撃は増加傾向だが、どこから始めればいいのかさえわからない!」と告げられました。
ランサムウェア攻撃は中小企業から大企業まで、あらゆる企業に影響を及ぼし、国家支援を受けた攻撃者は最も貴重な資産へアクセスしようとしています。SEC599: Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defensesは、今日の脅威を克服するために必要な知識と専門知識を習得できます。防御のみの戦略では不十分であることを認識し、攻撃者を阻止、検知、対応することを目的としたセキュリティ対策を紹介します。このコースは、高度な脅威に対する多層防御戦略を構築する能力を認定するGDAT認定資格の準備のための重要なリソースでもあります。
コースの作者であるStephen SimsとErik Van Buggenhout(どちらもGIACセキュリティエキスパートの認定を受けています)は、ペネトレーションテストとインシデント対応を通じてサイバー攻撃がどのように行われるのかを深く理解した実践者です。ペネトレーションテストのコースを教えているときに、「この種の攻撃を防止または検出するにはどうすればよいか」という質問がよく受けていました。その答えがSEC599です。 SEC599は、攻撃を防ぐための実践的な事例を受講者に示します。このコースには、20以上のラボに加え、受講者が新しい技術スキルを披露し、誰もが欲しがるSEC599チャレンジコインを競うことができる最終的なキャプチャーザフラッグ演習があります。
6部構成のこのコースは、詳細なケーススタディによる最近の攻撃の分析から始まります。どのような種類の攻撃が発生しているのかを説明し、サイバーキルチェーンやMITRE ATT&CKフレームワークなど、攻撃者の行動について正式に説明します。攻撃の仕組みを理解するために、セクション 1 の演習では、仮想組織「SYNCTECHLABS」へのも侵入も行います。
セクション2、3、4、5では、サイバー攻撃を防止、検知、および対応するために、効果的なセキュリティ対策を実装する方法について説明します。取り上げられるトピックは次のとおりです。
- MITRE ATT&CKを組織内の「共通言語」として活用
- オンラインサンドボックスとYARAルールを使用してマルウェアを迅速に分析
- スクリプトの実行を改善するための効果的なグループポリシーの開発 (PowerShell、Windows スクリプトホスト、VBA、HTA などを含む)
- スクリプトコントロールの主要なバイパス戦略 (アンマネージ Powershell、AMSI バイパスなど) の解説
- ExploitGuardとアプリケーションのホワイトリストを使用したゼロデイエクスプロイトの阻止
- アプリケーションのホワイトリストにおける主要なバイパス戦略の解説 (AppLocker に焦点を当てる)
- マルウェアの永続性の検知と防止
- Elastic Stackを中央ログ分析ソリューションとして活用
- Sysmon、Windowsイベント監視、およびグループポリシーによるラテラルムーブメントの検出と防止
- ネットワークトラフィック分析によるコマンド&コントロールのブロックと検出
- 脅威インテリジェンスを活用してセキュリティ体制を改善
5日間のコースを修了した後は、Capture-The-Flagに参加し、新しく学んだスキルを実際のケースに当てはめてみましょう。ネットワークが侵害されたら、何が起こっているのかを早く把握できるほど、スコアが高くなります。
実践的なサイバーセキュリティトレーニング
SEC599 は SANS OnDemandシステムを活用しており、受講者は本格的なブラウザ環境内で20以上のラボを受講できます。このセットアップにより、受講者のノートパソコンに関する潜在的な問題を排除し、仮想マシンの構成ではなくセキュリティ関連のトピックに焦点を当てた学習に最大限時間を活用できます。自宅での継続的な学習を促進するために、受講者には仮想マシンが提供されます。
このコースで実施する実践的なラボと演習の例。
- MITRE ATT&CK Navigatorを使用し、さまざまな手法を評価
- MITRE ATT&CKを組織内の「共通言語」として活用
- Security Compliance Toolkit (SCT) と Security Technical Implementation Guide (STIG) を使用したドメイン環境の強化
- Calderaを使用したアトミックTTPテストの実行
- BBOTで攻撃対象領域のマッピング
- Windows での NTLMv2 スニッフィング攻撃とリレー攻撃の阻止
- 一般的なフィッシングペイロードの実行をブロック
- バイナリとPowerShellの実行を制限
- SysmonとSIGMAを使用した脅威の検出
- オンラインサンドボックスとYARAを分析に活用
- コンパイル時コントロールと ExploitGuard を使用してエクスプロイト軽減策の実装
- Autoruns と Osquery を使用した永続性の検出
- ブラッドハウンドを使用して攻撃経路をマッピング
- ローカル管理者パスワードソリューション(LAPS)の実装
- 認証情報の侵害に対して Windows の強化
- Active Directory でのラテラルムーブメントの検出
- ランサムウェアからの防御
- MISPとThor Liteで脅威インテリジェンスを活用
- Velociraptorを使用して環境のハンティング
- MemProcFS を使用してマルウェアを検出
