NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Advanced Security Essentials - Enterprise Defender
Cyber Defense Essentials
2020年11月9日(月)~11月14日(土)(6日間)
1日目:9:00~19:00、
2~6日目:9:00~17:00
オンライン
■810,000円(税抜)
※上記試験費用は講義と同時お申し込み時のみ有効です。
※講義申込み完了後から講義開始までの間に追加でお申し込みいただく際には別途、事務手数料(1万円)が発生します。
※また講義開始後のお申し込みについてはこちらのページ(英語)を参照のうえ、SANS/GIACへ直接お申込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
SEC501: Advanced Security Essentials - Enterprise Defenderを受講するにあたり、正しく構成されたノートPCが必要です。ノートPCでは管理者権限が利用できる必要があります。ウィルス対策ソフトは無効にするかアンインストールする必要があります。ノートPCに保存されているデータを消失したくない場合には、事前にクリーンなハードディスクに交換することをお勧めします。
このコースでは、SANSから次の仮想マシンを提供します。
64ビットのゲスト仮想マシンを実行できるように、利用するノートPCのホストOS及び搭載されているCPUが64bitの動作をサポートしていることを確認してください。こちらで利用になるノートPCの環境が、64bitのゲストOSを動作させることができるかどうか確認することができます。また、こちらのページで、CPUとOSが64bitをサポートしているか確認する方法が説明されていますので参考にしてください。Macユーザの方は、サポートページをご確認ください。
ノートパソコンのハードウェア要件
重要事項:VMware Workstation もしくは VMware Fusionは必須です。なお、VMware Playerは仮想マシンのスナップショットが取得できないため、利用できません。
演習では複数の仮想マシンを同時に実行するため、ノートPCにはVMware Workstationがインストールされている必要があります。VMwareを持っていなくても、30日間は無料トライアル版が利用できます(上記サイトよりダウンロードしてください。)。その場合、受講期間中にライセンスの有効期限が切れないようにご留意ください。
Mac(VMware Fusion)でも問題なくラボを行うことはできますが、ラボの手順を記したワークブックはWindowsホストとVMwareの視点で記載されています。そのため、ホストOSとしてMac OSやLinuxを使用する場合には、ホストOSと仮想化ソフトウェアで発生する問題についてご自身で管理していただきます。
最後に次のことについてご確認ください。
※ノートパソコンの設定については、米国SANSサイトの該当ページにも詳細が掲載されています。
ノートパソコンの設定要件は、OSやVMwareのリリースやバージョンアップの状況に応じて随時更新されます。本ページと米国SANSページの設定要件が異なる場合は、「米国ページ」の方を優先してください。(リンク先ページの”Laptop Required”タブよりご確認ください。)
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。
効果的なサイバーセキュリティは、攻撃のステルス化が進み、企業の財務や風評に対して重大な影響を及ぼすことから、これまで以上に重要となります。SEC501: Advanced Security Essentials - Enterprise Defenderは、セキュリティチームが企業を守るためのコアポリシーや実践といった強固な基盤の上に構築されています。
「予防は理想的ですが、検出は必須です」ということがセキュリティでは言われています。 しかし、検出できたとしても対応しなければほとんど価値はありません。ネットワークセキュリティは、可能な限り多くの攻撃を防ぎ、発生した異常を迅速に検出し適切に対応するために、改善し続ける必要があります。この予防、検出及び対応に関する戦略は、外部と内部の両方で適切に対処することが必要です。また、データがよりポータブルになり、ネットワークが浸透し続けてきているため、データ保護に重点を置くことが必要となります。重要な情報は、サーバや強固なネットワークアーキテクチャ、ポータブルデバイスのいずれでもセキュリティで保護されていなければなりません。
ネットワークへの攻撃を防いだり、重要なデータを保護したりするために、組織が最善の努力をしたにも係らず、攻撃のいくつかは成功するでしょう。したがって、組織はタイムリーに攻撃を検出できる必要があります。これは、ネットワーク上を流れるトラフィックを理解した上で、攻撃の兆候を見つけたり、侵入される前に問題を特定して議論するために、組織内でペネトレーションテストと脆弱性分析を行ったりすることで実現します。
最後に、攻撃が検出されると、迅速かつ効果的に対応し、必要なフォレンジックを実行する必要があります。攻撃者の侵入手口を理解することで得た知識は、予防や検出の対策としてもフィードバックされ、セキュリティライフサイクルとして完遂することができます。
本講座受講にあたっての前提
必須ではありませんが、受講生はSANSのSEC401:Security Essentials Bootcamp Styleを受講しているか、同程度のスキルを持っていることをお勧めします。具体的には、ネットワーク、プロトコル及びオペレーティングシステムについて詳細に理解していることです。
私はネットワークエンジニアとして働き、企業のネットワーク構築に携わっていました。この役割は、根本的に安全な設計とエンジニアリングに移り変わりました。当時、私が関心のあったペネトレーションテストとエクスプロイトは、私の設計が真に強力なものであったことの検証を可能としました。この関心は、結局のところ、私に本格的なリバースエンジニアリングとゼロデイバグの発見、エクスプロイト開発といったキャリアをもたらしました。先進的なペネトレーションテストとエクスプロイトの作成のために、SANSのコースを執筆し、教鞭を取ってきた長い歴史を通じ、私のこれまでの経験を還元できることに喜びを感じています。
我々は、SEC501のシラバスとコンテンツを制作するためにロックスターの著者(Dave Shackleford、Phil Hagen、Matt Bromiley、Rob Davenport)を選びました。
- Stephen Sims
セクション1では、様々なエンタープライズインフラストラクチャの設計や構成に焦点を当てます。セキュリティの観点から見た適切な設計と構成は、構成しているコンポーネントだけでなく、他のコンポーネントを攻撃から守るために、関連する組織の他の部分も含めて保護することです。言い換えると、良い家には良い基礎が必要です!
次に、公開されているベンチマークやさまざまな製品を保護するためのベンダーガイダンス、規制要件、特定の攻撃に対してインフラストラクチャを防御する際の影響について説明します。これらのポイントを説明するにあたり、さまざまなデバイスやネットワークベースの攻撃からルータインフラストラクチャを保護、防御する方法について詳しく説明します。
さらに、特定の攻撃に対するWindowsとActive Directoryの保護についても取り上げます。一般的な攻撃に対するプライベートクラウドとパブリッククラウドのインフラストラクチャの保護についても紹介し、アクティブディフェンスに対するアプローチについて詳しく説明します。
セキュリティとは、組織の重要資産に対するリスクを理解し、軽減させ、管理することです。組織は変化する脅威の状況を理解し、環境を侵害するために悪用できる自身の脆弱性を対比する能力を持つ必要があります。2日目には、ネットワークサービス、オペレーティングシステム及びアプリケーションのセキュリティに関する姿勢をよりよく理解するために、組織に対して行えるさまざまなテストと効果的なペネトレーションテストの方法について紹介します。さらに、ユーザに対する脅威としてソーシャルエンジニアリングや偵察活動が増えていることを紹介します。
基本的な脆弱性を見つけることは簡単ですが、攻撃者がシステムに侵入する際に悪用する脆弱性でなければ、必ずしも効果的とは言えません。高度なペネトレーションテストのためには、ネットワーク上のさまざまなシステムとアプリケーションを理解し、攻撃者がどのようにして侵害できるのか把握する必要があります。受講生は、現実世界の攻撃者のような環境を通じて、テストプロジェクトのスコープや計画の策定、外部と内部のネットワークペネトレーションテスト、ウェブアプリケーションテストについて学習します。
ペネトレーションテストは、組織の情報流出のポイントを特定するために重要ですが、組織全体に渡りセキュリティを高めるために、脆弱性の優先順位付けと修正方法についても学習します。
「予防は理想的ですが、検出は必須です」という言葉はネットワークセキュリティの専門家にとって重要なモットーです。組織は可能な限り多くの攻撃を防ぎたいと考えていますが、攻撃者は依然としてネットワークに侵入します。攻撃が正しく防げない場合、ネットワークセキュリティの専門家は、ネットワークトラフィックを分析して進行中の攻撃を見つける必要があります。重大な影響を受ける前に止められることが理想的です。このようなタイムリーな検出の核心は、パケット分析と侵入検知となります。組織は攻撃を検出するだけではなく、今後その攻撃を防ぐことが可能な対策を講じていく必要があります。
攻撃の状況は変わることから、それらの検出は継続的な課題となります。今日の攻撃は、ステルス化が進み、これまで以上に見つけることが困難です。トラフィック分析の基本原則を理解することによって、通常のトラフィックと攻撃トラフィックを判別できる熟練したアナリストになれます。常に新しい攻撃が行われているため、セキュリティ専門家はネットワーク環境が侵害される前に、最新の攻撃を検知する侵入検知ルールを作成する必要があります。
トラフィック分析と侵入検知は、多くの組織で個々の規律として扱われてきました。今日では、予防、検出、対応は緊密である必要があり、攻撃が検出されると防衛措置が開始され、積極的なフォレンジックが実施されることにより、組織が継続的に運用できることとなります。このコースのセクションでは、ネットワークセキュリティの監視について紹介した後、セキュリティ専門家として特定すべき重要なネットワークプロトコルについて説明します。TCPdumpやWiresharkといったツールを使用してパケットトレースを分析し、攻撃の目的を見つけ出します。また、さまざまな検出ツールや分析ツール、検出のテストを行うためにScapyを利用してパケットを生成し、ネットワークフォレンジックやSecurity Onionを用いた監視についても取り上げます。ネットワーク侵入検知システムとしてSnortを利用し、シグネチャルールを詳細に調べます。
「悪者の排除」は、DFIR(Digital Forensics and Incident Response )専門家の重要なミッションです。インシデントが発生したら組織は専門家としてのレスポンダーに頼り、ネットワークから悪意のあるものを見つけ、範囲を絞り、封じ込め、回復を行います。調査員は、DFIRにより、何が起こったのか特定します。DFIRチームは、侵害された証拠を見つけ、環境を改善し、継続的に検出を向上させるために、運用チームに対してスレットインテリジェンスに関するデータを提供するための調査を行います。これまでは、限りあるプロセスとみなされていましたが、インシデントレスポンスは進行中のものであることから、DFIRの専門家は、既存の証拠に対して新たな脅威の情報を当てはめることにより、環境に存在している、これまで検出されていなかったような攻撃者の証拠をも探し出します。これが「スレットハンティング」の概要の要点となります。
このセクションでは、「デジタルフォレンジック」と「インシデントレスポンス」の両方の概要について学習します。フォレンジック調査官が事件の発生原因を具体的に洞察するにあたり、数多くのアーティファクトを調査します。攻撃者が使用するダイナミックな手順に対処するために、インシデントレスポンスが何年もの進化を経て現在どのように運用されているのかについて学習します。また、DFIRを継続的なセキュリティ運用プログラムに適用する方法についても紹介します。
次に、6段階のインシデントレスポンスプロセスの一般的なガイドラインについて説明します。各段階を適用する方法について実例を交え詳細に紹介します。最後に、特定の環境内で疑わしい活動を判断するための最適なアーティファクトや企業レベルの分析のために大きなデータセットを移行する技術を学びます。
多くの組織では、悪意あるソフトウェアはインシデントとして取り扱われる必要があります。マルウェアの種類は、ランサムウェアやルートキットから、仮想通貨のマイニングやワームに至るまで、多岐に渡ります。最も一般的な種類のマルウェアを定義した後、複数の事例を紹介します。完全自動分析、静的プロパティ分析、対話型行動分析、手動によるコードリバースエンジニアリングの4つの主要なフェーズのマルウェア分析について説明します。静的分析からコード分析まで、実績のあるランサムウェア検体を用いて詳細に調査するラボを行います。リバースエンジニアリングにより鍵を抽出することで、ランサムウェアで暗号化されたファイルを復号するだけでなく、動的分析技術を通してマルウェアを欺く実践的なハンズオンをも体験することができます。これらの目標を達成するプロセスが実行でき、消化できるようになるために、すべての段階は明確に定義、かつテストされています。
コースの最終セクションは、チームで働くこと、コース全体を通して学んだスキルを使用すること、既存の枠に捕らわれずに考えること、単純なものから複雑なものまでさまざまな問題を解決することによって、受講生にとっての現実世界の課題になることでしょう。WebサーバのスコアリングシステムとCTF(Capture-the-Flag)エンジンにより、受講生のフラグの提出や得点が記録されます。より困難な課題は、多くのポイントを得ることができるでしょう。このディフェンシブ演習は、パケット分析、ルーティングプロトコル、スキャン、マルウェア分析、その他、コース教材に関連する様々な課題が含まれています。