NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Hacker Tools, Techniques, and Incident Handling
Penetration Testing and Ethical Hacking
English2023年12月4日(月)~12月9日(土)
1日目:9:00 ~ 19:45
2~6日目:9:30 ~ 17:30
◆LiveOnline形式
オンライン
◆Onsite形式(予定)
御茶ノ水トライエッジカンファレンス(https://try-edge.infield95.com/)
東京都千代田区神田駿河台4-2-5 御茶ノ水NKビル(トライエッジ御茶ノ水)11階
早期割引価格:900,000 円(税込み 990,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:990,000円(税込み 1,089,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込み11,000円)をいただきます。
※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。
※講義開始後の英語教材の追加お申し込みは承れませんのでご了承ください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要!次の手順に従ってシステムを構成してください。
このコースの全てに参加するためには、適切に設定されたシステムが必要です。この説明をよくお読みになり、それに従っていただかないと、このコースに不可欠なハンズオン演習に参加することができず、満足のいく講義を受けていただくことができません。したがって、このコースで指定されたすべての要件を満たすシステムを用意することを強くお勧めします。
授業の前にシステムのバックアップを取っておくことが重要です。 また、機密データが保存されているシステムは持ち込まないことを強くお勧めします。
ホスト構成とソフトウェア要件
コースのメディアがダウンロードで配信されるようになりました。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続の速度次第でダウンロードに要する時間は大きく異なり、様々な要因に左右されるため、教材のダウンロードにかかる時間を正確に見積もることはできません。リンクを取得したら、すぐにコースメディアのダウンロードを開始してください。コースメディアは授業初日にすぐに必要になります。授業が始まる前夜になるまでダウンロードを開始するのを待っていると、失敗する可能性が高まります。
コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスのイベントに参加する前、またはオンライン・クラスを開始する前に行わなければならない重要な手順の詳細が記載されています。これらの手順を完了するには、30分以上かかる場合があります。
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください。
インターネットは強力なハッキング・ツールに満ちており、悪人たちはそれを広範囲に利用している。インターネットに接続している組織や、不満を持つ従業員が1人か2人いれば(いない組織もある!)、コンピューター・システムは攻撃を受けるだろう。インターネット・インフラに対する毎日の数百から数千のプローブから、最も重要な情報資産にじわじわと忍び寄る悪意のある内部関係者に至るまで、攻撃者はますます悪質かつ巧妙に、あなたのシステムを標的にしています。防御側としては、これらのハッキング・ツールやテクニックを理解することが不可欠です。
このコースでは、コンピュータ攻撃者の戦術と戦略を理解し、脆弱性の発見と侵入の発見を実践的に経験し、包括的なインシデント対応計画を身につけることで、コンピュータ攻撃者に形勢を逆転することを可能にします。本書は、最先端の陰湿な攻撃ベクトルから、今なお蔓延している「古くて良い」攻撃、そしてその中間のものまで、あらゆるものを取り上げています。このコースでは、単にハッキング攻撃のトリックを教えるのではなく、コンピュータ・インシデントに対応するための、時間をかけて実証されたステップ・バイ・ステップのプロセスを提供し、攻撃者がどのようにシステムを弱体化させるかを詳細に説明することで、インシデントの予防、検出、対応ができるようにします。最後に、システムのスキャン、悪用、防御に焦点を当てた実践的なワークショップに参加します。これらのスキルを自分の組織で応用することで、悪者より先にシステムの欠陥を発見することができるようになります!
このコースは、インシデント処理チームを率いる、あるいはその一員である人に特に適しています。一般的なセキュリティ実務者、システム管理者、セキュリティ・アーキテクトは、攻撃を阻止するためのシステムの設計、構築、運用方法を理解することで利益を得ることができる。
SEC504では、以下のことを学びます。
「18歳のとき、学校のカードカタログサーバーをハッキングして捕まった。退学になる代わりに学校の職員になり、それから10年間、ハッカーツールの使い方、エクスプロイトの書き方、新しいテクニックの開発、そして猛攻撃にどう対応するかを考えながら、セキュリティの向上に努めました。その間に、自分が管理する防御能力を評価し、改善するために、攻撃者のテクニックを真に理解することの利点を理解するようになりました。
SEC504では、インシデント・レスポンス・アナリストの視点から、現代の攻撃者が使用するハッカー・ツール、テクニック、エクスプロイトについて掘り下げます。偵察から悪用、スキャンからデータ略奪まで、あらゆることをカバーします。コースの講義、実習、没頭型のキャップストーンイベントにより、ネットワークセキュリティに関する賢明な意思決定を行うために必要なツールとテクニックを身につけることができます。ハッカーがどのように活動しているかを学べば、攻撃を特定し、洗練された敵からネットワークを保護する準備が整います。」
- Joshua Wright
「講師のJoshは信じられないほど素晴らしかったです。魅力的で、熱心で、非常に知識が豊富です(特にvim)。彼の熱意は伝染し、教材に対するモチベーションを高めてくれました。これからも素晴らしい仕事を続けてください!」
- Jen F., US Federal Agency
GIAC Certified Incident Handlerは、コンピュータセキュリティインシデントを検出、対応、および解決するために必要な、幅広いセキュリティスキルを備えた実践者の能力を検証します。
GCIH認証保有者は、一般的な攻撃手法、ベクター、ツールを理解することにより、セキュリティインシデントを管理するために必要な知識を持っているだけでなく、そのような攻撃が発生した場合に防御し、対応します。
規模の大小にかかわらず、インシデントへの対応は複雑な作業である。効果的な対応には、ビジネスや情報セキュリティの関係者を含め、複数の利害関係者による慎重な検討と意見が必要である。日々新たな脆弱性が発見される中、侵入の可能性は常に存在する。オンライン侵入だけでなく、火災、洪水、犯罪などの物理的なインシデントが発生した場合、システムやサービスをできるだけ迅速かつ安全にオンラインに戻すために、しっかりとしたインシデント対応のアプローチが必要となります。
このコースでは、まず、インシデント対応とデジタル調査の重要な構成要素を検討します。いくつかのインシデントから情報を得て、事業運営とセキュリティの双方にとって重要な目標と成果を検討します。このダイナミックなアプローチは、個々のビジネスやインシデントの特定のニーズに適用することができます。その後、より実践的な問題に移り、ライブ・システムを取り巻く問題や異常な活動の特定について検討する。引き続き、ネットワークとメモリから証拠を調べるための調査技法に焦点を当てます。また、未知のプログラムが悪意のあるものであるかどうか、悪意のあるものであればどのような足跡が残されているのかを判断する技術についても取り上げます。
最小限の情報でも始める方法
ライブ環境の調査
異常な活動の特定
ネットワークは、潜在的な攻撃者に膨大な量の情報を提供しています。情報漏えいやオープンソースのインテリジェンスを探すだけでなく、攻撃者はシステムの詳細なスキャンを行い、防御を突破するための隙を探します。ネットワークに侵入するために、攻撃者は脆弱なDMZシステムやターンキー・プラットフォーム、脆弱なWi-Fiや独自の無線システムなど、好機となるターゲットを探し出します。攻撃者はまた、複雑なWindows Active Directoryドメインの詳細なスキャンと尋問を活用し、構成ポリシーを特定して操作することで、大きなアドバンテージを得ようとします。
このコースでは、多くのサイバー攻撃の初期段階に関連する詳細を取り上げます。MITRE ATT&CK Frameworkを通じて、現代の攻撃者のツール、テクニック、プラクティスを理解するための重要なフレームワークを紹介し、これを出発点として攻撃者が採用する攻撃前のステップを調査します。ローカルおよびクラウドベースのツールを活用して、標的組織の効果的な偵察を行い、最初の侵害のための弱点を明らかにする情報開示を特定します。その後、ネットワークの観点から、また最新のWindows Active Directoryフォレストの複雑さに焦点を当てながら、スキャン技術を深く掘り下げ、攻撃者に特権アクセスを与える攻撃計画を立案します。また、組織に対する攻撃を検知するための優位性を提供する、フリーおよびオープンソースのツールを使用した防御テクニックにもスポットを当てます。
どの攻撃者も同じことを言うだろう。パスワードによる侵害は、エクスプロイトによる侵害よりも優れている。有効なユーザー名とパスワードを使ったシステム・アクセスは、エクスプロイトよりも信頼性が高いだけでなく、認証された認証情報を使うことで通常のシステム使用に溶け込み、検知につながるログやシステム異常が少なくなります。このような攻撃は非常に一般的であるため、パスワードベースの攻撃について詳しく説明し、防御すべき洗練された敵対者と同じスキルとテクニックでシステムをテストするためのツールを提供します。
このコースでは、パスワード推測攻撃から始まり、攻撃者がアカウントロックアウトのような防御システムを迂回する効果的なプロセスとして採用するテクニックを迅速に調査します。他のネットワーク侵害から効果的なパスワード推測リストを作成する重要なトピックや、攻撃者が組織に対してユーザーパスワードの再利用をどのように活用するかについて調査します。パスワード・ハッシュの背後にあるアルゴリズムについて掘り下げ、いくつかのツールを使って平文パスワードを回復する一方、クラッキング・プロセスを数年ではなく数日で完了するように最適化します。また、簡単なバックドア、フォワード・シェルとリバース・シェル、組織内の離散的なデータ転送の使用を通して、本質的なネットワーク攻撃のトピックを理解するためのスタートを切ります。また、組織内の認証ログを監視するためのドメインパスワード監査ツール(DPAT)やElastic Stack(旧ELK)ツールの使用など、仕事に戻ったときにすぐに適用できる防御策についても調査します。
公開型攻撃やドライブバイ攻撃は、組織にとって重大なリスク領域であり、組織を標的とする敵対者にとって一般的な攻撃ベクトルです。ウェブ・アプリケーション、VPN サーバー、電子メール・システム、その他のサポート・プロトコルのようなパブリックな標的は、敵によって素早く特定され、脆弱性を評価されます。ドライブ・バイ・アタックでは、敵対者はサードパーティのウェブサイトに内在する信頼を危うくし、それを利用して、ユーザーを騙してシステムを脆弱にするような行動を取らせます。
このコースでは、Metasploit のようなエクスプロイト・フレームワークを通して、公開されているシステムを侵害するためのハッカー・ツールを検証します。また、ドライブ・バイ攻撃や水飲み場攻撃の背後にある概念とテクニック、そして攻撃者が悪意のあるインストーラ、ブラウザのJavaScript、悪意のあるMicrosoft Office文書を通じて、どのようにエクスプロイトとシステム侵害ツールを作成するかについても掘り下げます。認証されていないユーザーと認証されたユーザーの両方の視点から、組織内のウェブ・アプリケーションに特有の攻撃を検証し、最も一般的なウェブ・アプリケーションの脆弱性に対する実践的な攻撃手順を紹介します。ハッカー・ツールの検証に加え、Windows SRUMデータベースを使用した履歴システム・アクティビティ・レポートや、Elastic Stack(旧ELK)ツールを使用したWebサーバー・ロギング・データの評価による攻撃の兆候の特定など、自由に利用できる実用的な防御策についても調査します。
単にシステムを侵害することが攻撃者の目的であることは稀です。多くの場合、攻撃者による侵害が最初のステップであり、その後、ネットワークへの追加アクセスや組織内の機密データを取得するための攻撃が続きます。その過程で、攻撃者は、エンドポイント保護、サーバーのロックダウン、権限制限環境など、攻撃者の努力を阻止するために設計された防御コントロールにも対処しなければなりません。
このコースでは、最初の侵害が終わった後の攻撃者のステップについて検討します。攻撃者がエンドポイント検出および対応プラットフォームを迂回した後にマルウェアを埋め込むために使用するテクニック、サードパーティ製ツールやビルトインツールを使用してネットワーク内を移動する方法、内部ネットワークスキャンや資産発見にネットワーク上の最初の足場を活用する方法について掘り下げます。単一のホストの侵害によって、攻撃者が特権的なネットワーク・インサイダー・アクセス権を得て、まったく新しい攻撃の分野を切り開く方法と、そのアクセス権を賢く利用し、ホスト上とネットワーク上の痕跡を消して検知システムを回避する方法について見ていきます。また、攻撃者がどのようにして最初のアクセスを確立した後、侵害されたネットワークにアクセスし、データを収集し、流出させるかを見ていきます。講義の最後には、新しいスキルを永続的かつ長期的に思い出すためのリソースやベスト・プラクティスを検討し、今後の学習の方向性について説明します。
実行ファイル操作によるEDR分析の回避:ゴーストライティング
攻撃シグネチャ公開のためのWindows Defenderの操作
LOLBASを使用したアプリケーションのホワイトリスト回避
保護されたプラットフォーム上でMetasploitペイロードを適応する
長年にわたり、セキュリティ業界はより賢く、より効果的に攻撃者を阻止できるようになってきた。残念ながら、攻撃者自身もより賢く、より巧妙になっている。攻撃者を阻止する最も効果的な方法の1つは、攻撃者があなたに対して使用するのと同じツールや戦術で実際に環境をテストすることです。当社のCapture-the-Flagイベントは、最近情報漏えいを受けた架空の企業のコンサルタントとして働いていただく1日体験型のアクティビティです。最新の高度なネットワーク環境を侵害するために攻撃者が使用するのと同じテクニックを使って、授業で学んだスキルをすべて実践します。チームとして協力し、少人数のグループで、Windows、Linux、モノのインターネット、クラウドターゲットなど、さまざまなターゲットシステムに対してスキャン、エクスプロイト、およびエクスプロイト後のタスクを実行します。この実践的なチャレンジは、プレーヤーがスキルを練習し、コースを通して学んだコンセプトを強化しながら、現代のネットワークを再現した環境で個々のプレーヤーに挑戦できるように設計されています。NetWarsエンジンを搭載したこのイベントは、ターゲットシステムの侵害、エンドポイント保護プラットフォームのバイパス、内部ネットワークのハイバリューホストへのピボット、ターゲット組織にとって最も価値のあるデータの流出を成功させるようプレイヤーを導きます。優勝者には、SEC504チャレンジコインが授与されます。