FORENSICS 578 | ||||||||||||||||||||||||||||||||
Cyber Threat Intelligence |
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
受講に必要なPC環境
演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。
FOR578 PC設定詳細
SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCが必須です。下記要件を確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。
注意:実習のためのツール類をインストールすることによって、一部のシステムの動作に支障をきたす可能性があります。また、ネットワークへの接続を伴う実習内容があり、故意過失を問わず、自分のノートコンピュータのデータに他の受講生からアクセスされる可能性もあります。いずれの場合もSANSではデータの破損や読み書きに関して責任をとることはできませんので、重要なデータが格納されているノートPCでの実習はお控えください。
利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。VMwareはWindows、Linux用に、ご利用になるノートPCの環境が64bitのゲストOSを動作させることができるかどうか確認するフリーツールを提供しています。また、こちらのページで、CPUとOSが64bitをサポートしているか確認する方法が説明されていますので参考にしてください。Macユーザーの方は、サポートページをご確認ください。
事前にVMware製品をダウンロードしてインストールしてください。VMwareWorkstation 11、VMware Fusion 7、VMware Player 7以降のバージョンを選択します。VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。VMware Playerは無償でライセンスも必要ありませんので、多くの受講者の方はVMware Playerをお使いのようです。
ノートパソコンのハードウェア要件
- CPU:64bit Intel i5 x64 2.0+ GHzプロセッサ以上(64bit必須)
- RAM:最低6GB以上(より多くを推奨)
- HDD/SSD:80GB以上の空き容量
- USB:3.0推奨
- ネットワーク:802.11 b, g, n もしくはac 規格に対応した無線LAN
- OS:フルパッチ済Windows 7以上、Mac OSX (10.10+)もしくは2014年以降にリリースされたLinux OSの最新版。VMware製品が正常に動くことを確認しておくこと。Linux OSの場合は、カーネルモジュールもしくはFUSEモジュールを使用し、ExFATパーティションにアクセスができること。Windows OS以外をホストOSとして使用する場合は、別途Windows Virtual System(Win7以降)を用意しておくことが必須要件
- その他:USBメモリの読込ができること
- その他:ホストOSのローカルアドミニストレーター権限
- その他:BIOS設定が変更できること
ノートパソコンのソフトウェア要件(下記を事前にインストールしてください)
- VMware Workstation11、VMware Player 7、VMware Fusion 7以降のバージョン(Virtual boxは非推奨)
- Microsoft Office 2012以上
60日の試用版:http://products.office.com/en-us/try - .NET 3.5をインストールするか、Redlineの最新バージョンをインストールし、動作を確認すること
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。
コース概要
攻撃者から教わることは膨大です!
すべてのセキュリティ専門家に対して、FOR578:サイバースレットインテリジェンスコースへの参加を推奨します。このコースでは、今までに学習してきた他の技術トレーニングとは異なり、既存のスキルを補強しながらセキュリティスキルセットの強固な基盤を確立できる構造化分析に重点を置いています。
本コースでは、以下のようにセキュリティのあらゆる分野を通じたインテリジェンス能力の確立を支援します。
- 複雑なシナリオを理解したうえで、統合、活用するための分析スキル
- スレットモデリングなどを通じたインテリジェンス要件の特定、作成
- スレットインテリジェンスの戦術、運用、戦略レベルにおけるスキルの理解
- スレットインテリジェンスの生成と、集中型および標的型の脅威の検出、および未然防止
- 敵対者のデータを収集するための様々な情報源と、それらの利活用方法
- 悪意あるインテリジェンスコストを最小限に抑えるための、外部情報検証
- YARA、OpenIOC、およびSTIXなどの形式による、脅威の痕跡(IOC)の作成
- IOCによるセキュリティ成熟度の向上や、脅威に関する挙動の理解と対処
- セキュリティのために構造化された分析手法の確立
セキュリティ専門家は自らをアナリストと呼ぶのが一般的です。しかし、単に技術トレーニングに参加するのではなく、構造化分析に関するトレーニングの受講や体得した人はどれ程いるでしょうか?どちらも重要ですが、アナリストは分析に必要な考え方の訓練に焦点を当てることはほとんどありません。このコースでは、既存の知識を補完し、セキュリティチームの新しいベストプラクティスを確立するための新しい考え方、方法論、テクニックを学びます。適切な分析スキルは、ディフェンダーが日常的に曝される複雑な状況での手掛かりとなります。
敵対者の意図や機会、攻撃能力に関する分析は、一般的にサイバースレットインテリジェンスとして知られています。インテリジェンスはデータフィードではなく、ツールからもたらされるものでもありません。インテリジェンスは、重要な知識のギャップやお互いに譲歩が難しい点を明らかにするだけではなく、組織の要件に答える実行可能な情報であるべきです。敵対者に関する知識の収集や分類、あるいは抽出の結果は、敵対者に優位性をあなたの組織に与える、仮に攻撃が行なわれたとしても、それらの経験から学び進化してゆくものです。
したがって、サイバースレットインテリジェンスは、洗練された脅威に対処すべくレスポンスや識別の能力を確立、あるいは高めようとする組織にとって、これ以上ない支援ができるでしょう。マルウェアは敵対者のツールですが、サイバースレットインテリジェンスは、適切な訓練と権限を与えられた職員によって整理された、本当の脅威である人間に対処することに焦点が当てられています。
敵対者の情報は、すべてのセキュリティチームにとって重要です。レッドチームは、敵対者の手法を理解して、その技術を再現してみる必要があります。セキュリティオペレーションセンターでは、侵入に関する対処の優先順位付けの方法を知り、すぐに注意が必要なものに迅速に対処する必要があるでしょう。インシデント対応チームは、対象となる検知情報について迅速に内容を把握し対応する方法について実用的な情報が必要であり、脆弱性を管理するグループは、優先順位付けのために最も重要だと判断できる脆弱性の情報と、それらによってもたらされるリスクを理解する必要があります。また、スレットハンティングチームは、新しい脅威を発見するために敵対者の思考や挙動について理解をしなければなりません。
言い換えれば、サイバースレットインテリジェンスは、敵対者に対応するために必要な全てのセキュリティプラクティスを明らかにすることなのです。 FOR578:サイバースレットインテリジェンスは、進化する脅威の状況をこれまで以上に深く理解し、その脅威に正確かつ効果的に対処するために必要な戦術的な運用、および戦略的に取り組まれたサイバースレットインテリジェンスのスキルを通じて、セキュリティチームや組織を支援できるようなノウハウを習得することができます。
コースメニューへ▲ ページトップへ▲
本講座受講にあたっての前提
FOR578は初心者向けのコースではありません。受講生はインシデントレスポンスに関してよく理解している必要があり、高度な情報セキュリティ技術を身につけている必要があります。たとえば、FOR508/FOR572/FOR610/ICS515といったコースで培われるスキル、もしくはその実務経験が必須要件となります。FOR578は、4年以上の実務経験を持つSANS過去受講者にとって解析スキルを向上させるコースとして、パーフェクトなトレーニングでしょう。
- SEC401 - Security Essentials Bootcamp Style
- SEC511 - Continuous Monitoring and Security Operations
- FOR508 - Advanced Incident Response
- FOR572 - Advanced Network Forensics
- FOR526 - Memory Forensics In-Depth
- FOR610 - REM: Malware Analysis
- ICS515 - ICS Active Defense and Incident Response
前提条件に関して質問や懸念がある方は、コース開発者に連絡してください(FOR578-Prereq@sans.org)。
コースメニューへ▲ ページトップへ▲
受講対象者
このコースは、レッドチームからインシデントレスポンダーまで、あらゆるセキュリティスキルを補完することができます。
- インシデントレスポンスチームメンバー
- デジタルフォレンジックアナリスト/マルウェアアナリスト
- 情報セキュリティプロフェッショナル
- FOR500、FOR508、FOR572、FOR610を受講された方
Mike Cloppert、Chris Sperry、Robert M. Leeのコース開発チームは、コミュニティがサイバースレットインテリジェンスの簡潔明快な情報を必要としているという理解の元、最初のFOR578:Cyber Threat Intelligenceを開発しました。CloppertとSperryは、彼らのスケジュール確保が難しく、直接教えることができないであろうという前提のもとでコースの開発を開始しましたが、様々な人の意見を反映し続けた結果、現在のようなコースとなりました。今日でも コースの発展に対する彼らの影響は重要であり、SANSは彼らのリーダーシップに感謝しています。
スレットインテリジェンスの価値を考え直したとき、ほとんどの人や組織は次の3つの質問に到るでしょう。スレットインテリジェンスとは何か、いつになったら使えるようになるのか、そしてそれはどう使えばいいのか。このコースはこの質問に的確に答えるものであり、スレットインテリジェンスを通じてコミュニティを活発化させるということも叶えることができるでしょう。
- Robert M. Lee
「スレットインテリジェンスは、訓練を受けたアナリストの強力なツールであり、ネットワークに対する戦術的脅威に対応しているセキュリティアナリストから、取締役会への戦略レベルの脅威を報告する幹部まで、セキュリティプログラムに関するあらゆるレベルに対して情報を提供することができます。このコースでは、セキュリティ運用におけるスレットインテリジェンスの役割と、ますます洗練された敵と戦うためのリソースとしてどのように活用できるのかを受講生に解説します。
- Rebekah Brown
「スレットインテリジェンスが流行語となる前は、インシデントレスポンスの一環として私たちが全て行なっていました。現在では、私たちがそれらの活動が不完全であったと認める一方で、最高のアドホックともなっています。侵入分析、キャンペーンの追跡、脅威に関する一貫したレポート作成に必要な構造化されたモデルなどを使用している現在は、インテリジェンス分析技術で訓練されたアナリストは、適切なキャンペーンモデリング、帰属、脅威分析を行う準備が必要です。コースでは、報告における認知バイアスを回避する方法や、インテリジェンス分析における仮説が競合した場合の代替方法もお伝えしています。これは今日の業界で欠かすことのできない重要なスキルです。
- Jake Williams
サイバースレットインテリジェンス(侵入)
サイバースレットインテリジェンス(CTI)は急速に拡大している分野です。サイバースレットインテリジェンスについて、最初にもっとも基礎的な要素と考え方を定義し、専門用語について理解していきます。インテリジェンス用語、スパイ活動に関する技術、およびインパクトに関する重要なポイントを理解することは、サイバースレットインテリジェンスの理解と使用には不可欠です。このセクションでは、インテリジェンス、スパイ活動に関する技術、およびサイバースレットインテリジェンスのレベルの最も重要な概念、および組織に加えることができる価値について紹介します。すべてのセクション同様に、受講生には演習をして理解を深めてもらいます。
演習
- 構造化分析のテクニック
- スライディングスケールの使用
- 内容の充実と理解の限界
- 戦略的な脅威のモデリング
トピック
ケーススタディ: Carbanak, "The Great Bank Robbery"
インテリジェンスを理解する
- インテリジェンス用語と定義
- 従来のインテリジェンスサイクル
- シャーマン・ケントとインテリジェンスノウハウ
- 構造化分析テクニック
サイバースレットインテリジェンスの理解
- 脅威の理解
- リスクの理解
- サイバースレットインテリジェンスとその役割
- 組織とアナリストへの期待
- 脅威検出の4つの方法
スレットインテリジェンスの消費
- サイバーセキュリティのスライディングスケール
- さまざまな目標に対するインテリジェンスの消費
- インテリジェンスを備えた他チームを有効化する
インテリジェンスを生成するチーム配置
- インテリジェンスチームを構築する
- 組織でのチームの位置付け
- インテリジェンス生成の前提条件
計画と目的意識(開発要件)
- インテリジェンス要件
- インテリジェンス要件の優先順位
- インテリジェンスライフサイクルの開始
- スレットモデリング
テクニカルスレットインテリジェンス:侵入解析のためのキル・チェイン
侵入解析はスレットインテリジェンスの核心と言えます。 これは、セキュリティに対処するために、より完全なアプローチを使用するセキュリティ実践者にとって基本的なスキルです。 敵対者からの侵入を評価するために最も一般的に使用されるモデルは、「キル・チェイン」と「ダイヤモンド・モデル」です。 これらのモデルは、侵入について分析し、敵対的な行動や悪意ある活動に関連したインジケータなどのパターンを抽出するためのフレームワークと構造化スキームとして機能します。また、敵対者による活動の最初の通知から、イベントの分析完了までいくつかのパターンを参考にしながら理解を深めていただきます。また、このプロセスが敵対的キャンペーンを構造化し、定義することの重要性についても注目していきます。
演習
- 構造化分析テクニックの使用
- スライディングスケールの使用
- 内容の充実と理解の限界
- 戦略的な脅威のモデリング
トピック
プライマリコレクションソース:侵入解析
- コアスキルセットとしての侵入解析
- 侵入解析を実行する方法
- 侵入キル・チェイン
キル・チェインアクションコース
- 履歴データとログアクティビティのパッシブ検出
- 今後のスレットアクションと機能の検出
- スレットへのアクセスを拒否する
- 敵対的な戦術とマルウェアの遅延と悪化
キル・チェインの深堀
- シナリオの概要
- 悪意のある行為の通知
- 敵対的活動を発見するために、単一インジケータをオフにする
- 悪意のあるアクションの特定と分類
- ネットワークおよびホストベースのデータ使用
- インシデント対応チームと対話する
- マルウェアリバースエンジニアと対話する
- 情報要請を効果的に活用する
複数キル・チェインの対応
- 異なる同時侵入を特定する
- 複数キル・チェインの管理と構築
- 関連する侵入のリンク
コレクションソース:マルウェア
- マルウェア分析のデータ
- 分析およびピボットオンする主要なデータ型
- VirusTotalとマルウェアのパーサー
- 侵入パターンとキーインジケータの特定
オペレーショナルスレットインテリジェンス:キャンペーン、オープンソースインテリジェンス
サイバースレットインテリジェンスのアナリストは、収集元を詳細に調査し、収集された情報のソースを理解する必要があります。 アナリストはマルウェアのリバースエンジニアである必要はありませんが、少なくともその作業の工程を理解し、どのデータが求められるのかを知っていなければなりません。 このセクションでは、アナリストに必要となる主要な情報を前のセクションに続いて紹介していきます。 一般にオープンソースインテリジェンス(OSINT)と呼ばれるものについては多くの活用できる情報があるので参考となるでしょう。 このセクションでは、ドメイン情報や外部データセット、Transport Layer Security / Secure Sockets Layer(TLS / SSL)証明書などの情報検索と活用についても触れることで、情報共有が期待される情報が悪用されるデータとその構造についても見ていきます。
演習
- DomainToolsでのOSINTとドメイン情報抽出
- Maltegoによるインテリジェンス情報の集約と抽出
- オープンソース・インテリジェンスの膨大な情報の分類
- TLS証明書情報の抽出
- マルウェア情報共有プラットフォーム(MISP)へのスレットデータ格納
トピック
ケーススタディ:原則
コレクションソース:ドメイン
- Domain Deep Dive
- 異なるタイプの敵対的ドメイン
- ドメイン内の情報を有効にする
ケーススタディ: GlassRAT
コレクションソース:外部データセット
- 外部データセットからのリポジトリの構築
- オープンソースのインテリジェンス収集ツールとフレームワーク
コレクションソース:TLS証明書
- TLS / SSL証明書
- 新しいマルウェアサンプルおよびC2をTLSで追跡する
- TLS証明書情報を有効にする
ケーススタディ: Trickbots
搾取:データの保存と構造化
- スレットデータの保存
- スレット情報の共有
- ストレージプラットフォームとしてのMISP
オペレーショナルスレットインテリジェンス:インテリジェンスの共有
多くの組織はインテリジェンス情報を共有しようとしますが、共有された情報の評価と併せて、共有される情報の制限や限界、そして共有されるメンバーが納得できるフォーマットを理解することなどが理由により、多くは敬遠されてきました。このセクションでは、利用可能なオープンソースツールとプロフェッショナルツールの両方を理解し、組織内部と外部でサイバースレットインテリジェンスの共有を標準化する方法に焦点が当てられています。そのため、YARAの概要やYARAルールの生成によって、インシデント対応者、セキュリティ運用担当者、マルウェアアナリストを支援する方法も紹介します。また、STIXの活用について演習を通じて体験することで、組織間で情報を共有するためのCybOXやTAXIIフレームワークの理解につなげます。最後に、特徴的なキャンペーンに関する様々な情報を整理し、その情報を共有するための方法についても触れる予定です。
演習
- 競合する仮説の分析
- Maltegoによる可視分析
- 2つのルールの設定
- YARAルールの開発
- STIXフレームワークを用いたIOCの抽出と開発
- キャンペーンヒートマップの作成
トピック
分析:仮説を探る
- 競合する仮説の分析
- 仮説の生成
- 知識ギャップの理解と特定
分析:キャンペーンの構築
- 相関キャンペーンのさまざまな方法
- 認識した敵対者を把握する
- キャンペーン分析にダイヤモンド・モデルを活用する
普及:戦術
- 支持者と使用者を理解する
- スレットデータフィードとその制限事項
- YARA
- 高度なYARAの概念と例
ケーススタディ: Sony Attack
普及:オペレーション
- パートナーとコラボレーション
- 組織のインテリジェンス情報の共有
- トラフィックライトプロトコル標準
- 情報共有と分析センター
- CybOX, STIX, および TAXII
- STIX Elements および Projects
- TAXII を実装する
- スレットインテリジェンスレポート
- キャンペーンに於けるコミュニケーション
- キャンペーンヒートマップと敵対者トラッキング
ストラテジックスレットインテリジェンス:高次分析
どのようなレベルでのインテリジェンス分析であっても、特定のバイアスに影響されることなく、情報を分析する能力がコアとして必要です。サイバースレットインテリジェンスの戦略的なレベルにおいては、批判的に考えるというスキルは非常に重要であり、その結果如何によっては組織全体や国家レベルで影響を及ぼしかねません。このセクションでは、論理的な誤謬や偏見について見てゆくと同時に、それらに影響されないための方法について学習します。この中には、国家の特性について、それに意味があるケース、それが単なる錯乱のケースなどがあるという事例研究も含まれており、以前に特定されたキャンペーンについて国レベルでのバイアス特性について理解することで、サイバースレットインテリジェンス業界のこれまでの全体像を考え直す機会となるでしょう。クラスの後半では、組織に大きな変更を加えるために、スレットインテリジェンスを活用して、実行可能な対応策の整理を行うことについての議論を行なって終了となります。
演習
- メディアレポーティングにおける認知バイアスの特定
- インテリジェンスレポートの分析
- 総合練習:実行可能対応策および議論 - 第1部
- 総合練習:実行可能対応策および議論 - 第2部
トピック
論理的な誤謬と認知バイアス
- バイアスの特定と撲滅
- 論理的な誤りとその例
- 一般的なサイバースレットインテリジェンスの機密性の低い誤謬
- 認知バイアスと例
普及:戦略的
- レポート作成の落とし穴
- レポート作成のベストプラクティス
- 異なる種類の戦略的アウトプット
ケーススタディ: Stuxnet
微調整の分析
- 新しいインテリジェンス要件の特定と是正
- コレクション管理フレームワークのチューニング
ケーススタディ: Sofacy
アトリビューション
- 異なる種類のアトリビューション
- グループアトリビューション
- キャンペーンアトリビューション
- 侵入設定アトリビューション
- 真のアトリビューション
- サイバー攻撃の地政学的な動機