SECURITY 501 | ||||||||||||||||||||||||||||||||
Advanced Security Essentials - Enterprise Defender |
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
受講に必要なPC環境
演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。
SEC501 PC設定詳細
SEC501: Advanced Security Essentials - Enterprise Defenderを受講するにあたり、正しく構成されたノートPCが必要です。ノートPCでは管理者権限が利用できる必要があります。ウィルス対策ソフトは無効にするかアンインストールする必要があります。ノートPCに保存されているデータを消失したくない場合には、事前にクリーンなハードディスクに交換することをお勧めします。
このコースでは、SANSから次の仮想マシンを提供します。
- Custom 64-bit Kali Linux
- Custom Windows 10 64-bit
- Security Onion
- Metasploitable
- Cisco CSR 1000V
64ビットのゲスト仮想マシンを実行できるように、利用するノートPCのホストOS及び搭載されているCPUが64bitの動作をサポートしていることを確認してください。こちらで利用になるノートPCの環境が、64bitのゲストOSを動作させることができるかどうか確認することができます。また、こちらのページで、CPUとOSが64bitをサポートしているか確認する方法が説明されていますので参考にしてください。Macユーザの方は、サポートページをご確認ください。
ノートパソコンのハードウェア要件
- CPU:x64互換 Intel i5 2.0GHz以上
- RAM:16GB以上、できれば32GBを強くお勧めします
- HDD/SSD:80GB以上の空き容量
- VMware Workstation もしくは VMware Fusion
重要事項:VMware Workstation もしくは VMware Fusionは必須です。なお、VMware Playerは仮想マシンのスナップショットが取得できないため、利用できません。
演習では複数の仮想マシンを同時に実行するため、ノートPCにはVMware Workstationがインストールされている必要があります。VMwareを持っていなくても、30日間は無料トライアル版が利用できます(上記サイトよりダウンロードしてください。)。その場合、受講期間中にライセンスの有効期限が切れないようにご留意ください。
Mac(VMware Fusion)でも問題なくラボを行うことはできますが、ラボの手順を記したワークブックはWindowsホストとVMwareの視点で記載されています。そのため、ホストOSとしてMac OSやLinuxを使用する場合には、ホストOSと仮想化ソフトウェアで発生する問題についてご自身で管理していただきます。
最後に次のことについてご確認ください。
- 利用するノートPCは上記のハードウェア要件を満たしているか。
- VMware Workstationのトライアル版を使用する場合は、受講期間中にライセンスの有効期限が切れないか。
- Windows VMwareマシンのネットワークモードの設定は、ホストオンリーで実行されているか。
※ノートパソコンの設定については、米国SANSサイトの該当ページにも詳細が掲載されています。
ノートパソコンの設定要件は、OSやVMwareのリリースやバージョンアップの状況に応じて随時更新されます。本ページと米国SANSページの設定要件が異なる場合は、「米国ページ」の方を優先してください。(リンク先ページの”Laptop Required”タブよりご確認ください。)
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。
コース概要
効果的なサイバーセキュリティは、攻撃のステルス化が進み、企業の財務や風評に対して重大な影響を及ぼすことから、これまで以上に重要となります。SEC501: Advanced Security Essentials - Enterprise Defenderは、セキュリティチームが企業を守るためのコアポリシーや実践といった強固な基盤の上に構築されています。
「予防は理想的ですが、検出は必須です」ということがセキュリティでは言われています。 しかし、検出できたとしても対応しなければほとんど価値はありません。ネットワークセキュリティは、可能な限り多くの攻撃を防ぎ、発生した異常を迅速に検出し適切に対応するために、改善し続ける必要があります。この予防、検出及び対応に関する戦略は、外部と内部の両方で適切に対処することが必要です。また、データがよりポータブルになり、ネットワークが浸透し続けてきているため、データ保護に重点を置くことが必要となります。重要な情報は、サーバや強固なネットワークアーキテクチャ、ポータブルデバイスのいずれでもセキュリティで保護されていなければなりません。
ネットワークへの攻撃を防いだり、重要なデータを保護したりするために、組織が最善の努力をしたにも係らず、攻撃のいくつかは成功するでしょう。したがって、組織はタイムリーに攻撃を検出できる必要があります。これは、ネットワーク上を流れるトラフィックを理解した上で、攻撃の兆候を見つけたり、侵入される前に問題を特定して議論するために、組織内でペネトレーションテストと脆弱性分析を行ったりすることで実現します。
最後に、攻撃が検出されると、迅速かつ効果的に対応し、必要なフォレンジックを実行する必要があります。攻撃者の侵入手口を理解することで得た知識は、予防や検出の対策としてもフィードバックされ、セキュリティライフサイクルとして完遂することができます。
本講座受講にあたっての前提
必須ではありませんが、受講生はSANSのSEC401:Security Essentials Bootcamp Styleを受講しているか、同程度のスキルを持っていることをお勧めします。具体的には、ネットワーク、プロトコル及びオペレーティングシステムについて詳細に理解していることです。
コースメニューへ▲ ページトップへ▲
受講対象者
- インシデントレスポンダーやペネトレーションテスター
- SOCのエンジニアやアナリスト
- ネットワークセキュリティの専門家
- 包括的なセキュリティソリューションの実装について、技術的に深い知識を求めたい方
コースメニューへ▲ ページトップへ▲
講義内容の一例
- 攻撃の予防、検出及び対応に重点を置いた包括的なセキュリティプログラムを構築する方法
- 防御可能なネットワークインフラを構築するためのコアコンポーネントとルータ、スイッチ、ネットワークインフラを適切に保護する方法
- 現在侵害されているシステムに対する高度な攻撃の検出方法
- 組織が使用するセキュリティ装置の脆弱性を見つけるためのペネトレーションテストを実行する正式な方法
- 6段階(準備、識別、隔離、根絶、回復、教訓)のインシデントレスポンスプロセスを使用してインシデントに対処する方法
- 完全な自動分析から静的プロパティ分析、行動分析及びコード分析までのマルウェア分析に対するアプローチ
私はネットワークエンジニアとして働き、企業のネットワーク構築に携わっていました。この役割は、根本的に安全な設計とエンジニアリングに移り変わりました。当時、私が関心のあったペネトレーションテストとエクスプロイトは、私の設計が真に強力なものであったことの検証を可能としました。この関心は、結局のところ、私に本格的なリバースエンジニアリングとゼロデイバグの発見、エクスプロイト開発といったキャリアをもたらしました。先進的なペネトレーションテストとエクスプロイトの作成のために、SANSのコースを執筆し、教鞭を取ってきた長い歴史を通じ、私のこれまでの経験を還元できることに喜びを感じています。
我々は、SEC501のシラバスとコンテンツを制作するためにロックスターの著者(Dave Shackleford、Phil Hagen、Matt Bromiley、Rob Davenport)を選びました。
- Stephen Sims
ディフェンシブネットワークアーキテクチャ
セクション1では、様々なエンタープライズインフラストラクチャの設計や構成に焦点を当てます。セキュリティの観点から見た適切な設計と構成は、構成しているコンポーネントだけでなく、他のコンポーネントを攻撃から守るために、関連する組織の他の部分も含めて保護することです。言い換えると、良い家には良い基礎が必要です!
次に、公開されているベンチマークやさまざまな製品を保護するためのベンダーガイダンス、規制要件、特定の攻撃に対してインフラストラクチャを防御する際の影響について説明します。これらのポイントを説明するにあたり、さまざまなデバイスやネットワークベースの攻撃からルータインフラストラクチャを保護、防御する方法について詳しく説明します。
さらに、特定の攻撃に対するWindowsとActive Directoryの保護についても取り上げます。一般的な攻撃に対するプライベートクラウドとパブリッククラウドのインフラストラクチャの保護についても紹介し、アクティブディフェンスに対するアプローチについて詳しく説明します。
演習
- ルータアーキテクチャの攻撃と防御
- ネットワークアーキテクチャの安全な構成と監査
- 認証インタフェースにマウントされた攻撃に対する防御
- 重要なプロトコルに対する防御と攻撃
- 防御の重要な要素としてのロギング
- 中間者攻撃と防御
- アクティブディフェンス
- ハニーポットとハニーポート
- 攻撃者と防御側の双方によるハニードキュメント
トピック
- 防衛するインフラストラクチャのセキュリティベンチマーク、基準、監査の役割
- 認証と認可を使用するサービスの防衛
- 攻撃から組織を守るためのロギングとSIEMの使用
- 重要なプロトコルに対する攻撃と防御
- 中間者攻撃の様々な方法とそれぞれに対する防御
- IPS、次世代ファイアウォール、WAFを使用したインフラストラクチャの防御
- 重要なサーバとサービスの防御
- アクティブディフェンス
- プライベートクラウドアーキテクチャとパブリッククラウドアーキテクチャの防衛
ペネトレーションテスト
セキュリティとは、組織の重要資産に対するリスクを理解し、軽減させ、管理することです。組織は変化する脅威の状況を理解し、環境を侵害するために悪用できる自身の脆弱性を対比する能力を持つ必要があります。2日目には、ネットワークサービス、オペレーティングシステム及びアプリケーションのセキュリティに関する姿勢をよりよく理解するために、組織に対して行えるさまざまなテストと効果的なペネトレーションテストの方法について紹介します。さらに、ユーザに対する脅威としてソーシャルエンジニアリングや偵察活動が増えていることを紹介します。
基本的な脆弱性を見つけることは簡単ですが、攻撃者がシステムに侵入する際に悪用する脆弱性でなければ、必ずしも効果的とは言えません。高度なペネトレーションテストのためには、ネットワーク上のさまざまなシステムとアプリケーションを理解し、攻撃者がどのようにして侵害できるのか把握する必要があります。受講生は、現実世界の攻撃者のような環境を通じて、テストプロジェクトのスコープや計画の策定、外部と内部のネットワークペネトレーションテスト、ウェブアプリケーションテストについて学習します。
ペネトレーションテストは、組織の情報流出のポイントを特定するために重要ですが、組織全体に渡りセキュリティを高めるために、脆弱性の優先順位付けと修正方法についても学習します。
演習
- スキャンと列挙の基礎
- その他のスキャンと列挙オプション
- OpenVASによる脆弱性スキャン
- エクスプロイトとMetasploitの基礎
- 基本的なWebアプリスキャンと攻撃
- Metasploitとピボット
トピック
- ペネトレーションテストの概念の紹介
- ペネトレーションテストのスコープとエンゲージメントのルール
- オンラインによる偵察と攻撃のカウンターインテリジェンス
- ソーシャルエンジニアリング
- ネットワークマッピングとスキャンの技術
- 企業用途の脆弱性スキャン
- ネットワークエクスプロイトツールとその技術
- Webアプリケーションエクスプロイトツールとその技術
- Post-Exploitationとピボット
- OSとアプリケーションに対するエクスプロイトの緩和
- レポートとデブリーフィング
ネットワーク検出とパケット分析
「予防は理想的ですが、検出は必須です」という言葉はネットワークセキュリティの専門家にとって重要なモットーです。組織は可能な限り多くの攻撃を防ぎたいと考えていますが、攻撃者は依然としてネットワークに侵入します。攻撃が正しく防げない場合、ネットワークセキュリティの専門家は、ネットワークトラフィックを分析して進行中の攻撃を見つける必要があります。重大な影響を受ける前に止められることが理想的です。このようなタイムリーな検出の核心は、パケット分析と侵入検知となります。組織は攻撃を検出するだけではなく、今後その攻撃を防ぐことが可能な対策を講じていく必要があります。
攻撃の状況は変わることから、それらの検出は継続的な課題となります。今日の攻撃は、ステルス化が進み、これまで以上に見つけることが困難です。トラフィック分析の基本原則を理解することによって、通常のトラフィックと攻撃トラフィックを判別できる熟練したアナリストになれます。常に新しい攻撃が行われているため、セキュリティ専門家はネットワーク環境が侵害される前に、最新の攻撃を検知する侵入検知ルールを作成する必要があります。
トラフィック分析と侵入検知は、多くの組織で個々の規律として扱われてきました。今日では、予防、検出、対応は緊密である必要があり、攻撃が検出されると防衛措置が開始され、積極的なフォレンジックが実施されることにより、組織が継続的に運用できることとなります。このコースのセクションでは、ネットワークセキュリティの監視について紹介した後、セキュリティ専門家として特定すべき重要なネットワークプロトコルについて説明します。TCPdumpやWiresharkといったツールを使用してパケットトレースを分析し、攻撃の目的を見つけ出します。また、さまざまな検出ツールや分析ツール、検出のテストを行うためにScapyを利用してパケットを生成し、ネットワークフォレンジックやSecurity Onionを用いた監視についても取り上げます。ネットワーク侵入検知システムとしてSnortを利用し、シグネチャルールを詳細に調べます。
演習
- TCPdumpを使用したPCAP分析
- Wiresharkによる攻撃の分析
- ネットワーク監視をテストするためのパケット生成
- Security Onionによるネットワークフォレンジック及び悪意のある活動の検出
- フォレンジックのためのPCAPコンテンツの抽出
- Snortの基礎
- Wiresharkによるネットワーク侵害の分析
トピック
- ネットワークセキュリティの監視
- IP、TCP及びUDPのリフレッシャ
- 高度なパケット分析
- Security Onionによるネットワークフォレンジックの紹介
- 悪意のあるコンテンツとストリームの特定
- PCAPファイルからのコンテンツの抽出と修復
- トラフィック可視化ツール
- 侵入検知と侵入防止
- Snortの詳細
- Snortシグネチャの作成
- 暗号化ネットワークトラフィックの処理
デジタルフォレンジックとインシデントレスポンス
「悪者の排除」は、DFIR(Digital Forensics and Incident Response )専門家の重要なミッションです。インシデントが発生したら組織は専門家としてのレスポンダーに頼り、ネットワークから悪意のあるものを見つけ、範囲を絞り、封じ込め、回復を行います。調査員は、DFIRにより、何が起こったのか特定します。DFIRチームは、侵害された証拠を見つけ、環境を改善し、継続的に検出を向上させるために、運用チームに対してスレットインテリジェンスに関するデータを提供するための調査を行います。これまでは、限りあるプロセスとみなされていましたが、インシデントレスポンスは進行中のものであることから、DFIRの専門家は、既存の証拠に対して新たな脅威の情報を当てはめることにより、環境に存在している、これまで検出されていなかったような攻撃者の証拠をも探し出します。これが「スレットハンティング」の概要の要点となります。
このセクションでは、「デジタルフォレンジック」と「インシデントレスポンス」の両方の概要について学習します。フォレンジック調査官が事件の発生原因を具体的に洞察するにあたり、数多くのアーティファクトを調査します。攻撃者が使用するダイナミックな手順に対処するために、インシデントレスポンスが何年もの進化を経て現在どのように運用されているのかについて学習します。また、DFIRを継続的なセキュリティ運用プログラムに適用する方法についても紹介します。
次に、6段階のインシデントレスポンスプロセスの一般的なガイドラインについて説明します。各段階を適用する方法について実例を交え詳細に紹介します。最後に、特定の環境内で疑わしい活動を判断するための最適なアーティファクトや企業レベルの分析のために大きなデータセットを移行する技術を学びます。
演習
- FTK imagerとPhotorecによるデータ回復
- ランサムウェアのタイムライン分析
- ランサムウェアのネットワーク分析
トピック
- DFIRコアコンセプト:デジタルフォレンジック
- 定義及び使用事例/ミッションエリア
- フォレンジックによる健全な分析
- Windows環境におけるフォレンジックアーティファクト
- デジタルフォレンジックツール
- DFIRコアコンセプト:インシデントレスポンス
- 定義及び使用事例
- インシデントレスポンスのためのスレットインテリジェンスの生成と使用
- DFIRのサブ分野:エンドポイント、ネットワーク、スレットインテリジェンス、リバースエンジニアリング
- インシデントレスポンスツール
- 現代のDFIR:現在も使用されるプロセス
- 定義及び使用事例
- 6段階のプロセスガイドライン:準備、識別/スコープ、封じ込め/インテリジェンスの開発、根絶/修復、回復、フォローアップ/教訓
- ネットの拡大:DFIRプロセスの拡張と侵害のスコープ
- 定義及び使用事例
- スレットインテリジェンスの生成と使用
- スコープをサポートするアーティファクトの事例
- 現代のインシデントレスポンスと継続的なコンポーネントのスコープ
- スコープ及びスケーリングツール
マルウェア分析
多くの組織では、悪意あるソフトウェアはインシデントとして取り扱われる必要があります。マルウェアの種類は、ランサムウェアやルートキットから、仮想通貨のマイニングやワームに至るまで、多岐に渡ります。最も一般的な種類のマルウェアを定義した後、複数の事例を紹介します。完全自動分析、静的プロパティ分析、対話型行動分析、手動によるコードリバースエンジニアリングの4つの主要なフェーズのマルウェア分析について説明します。静的分析からコード分析まで、実績のあるランサムウェア検体を用いて詳細に調査するラボを行います。リバースエンジニアリングにより鍵を抽出することで、ランサムウェアで暗号化されたファイルを復号するだけでなく、動的分析技術を通してマルウェアを欺く実践的なハンズオンをも体験することができます。これらの目標を達成するプロセスが実行でき、消化できるようになるために、すべての段階は明確に定義、かつテストされています。
演習
- ランサムウェアの静的プロパティ分析
- file、strings、clamscan、pescanなどのLinuxツールとVirusTotal
- PeStudioやstrings2等のWindowsツールの利用
- ランサムウェアの対話型行動分析 - Part1
- Process Monitorを使用したファイルシステム、ネットワーク、プロセスアクティビティ及びレジストリアクセスの監視
- Process Hackerを使用したプロセスの動作とメモリの調査
- ランサムウェアの対話型行動分析 - Part2
- ランサムウェア検体に対する高度な行動分析
- ランサムウェアを操作してオンラインリソースへ到達
- Burpプロキシツールを利用したランサムウェアからの送受信データの改ざん
- 全てのファイルを回復するために、支払が行われたことをランサムウェアに通知
- ランサムウェアの手動によるコードリバース
- ランサムウェアのコード解析
- 更なる分析と暗号鍵回復のための難読化の解除
- PowerShellを利用した.NET Frameworkとの連携によるファイルの復号
トピック
- マルウェア分析の概要
- マルウェアの多くの種類
- ATM/キャッシュマシンマルウェア
- マルウェア分析のためのラボ環境の構築
- マルウェアのロケーションとフットプリント
- 完全な自動マルウェア
- Cuckoo Sandbox
- 静的プロパティ分析
- インタラクティブ行動分析
- 手動コードリバースエンジニアリング
- IDA、PeStudio、ILSpy、Process Hacker、Process Monitor、NoFuserExなどのツール
エンタープライズディフェンダーキャップストーン
コースの最終セクションは、チームで働くこと、コース全体を通して学んだスキルを使用すること、既存の枠に捕らわれずに考えること、単純なものから複雑なものまでさまざまな問題を解決することによって、受講生にとっての現実世界の課題になることでしょう。WebサーバのスコアリングシステムとCTF(Capture-the-Flag)エンジンにより、受講生のフラグの提出や得点が記録されます。より困難な課題は、多くのポイントを得ることができるでしょう。このディフェンシブ演習は、パケット分析、ルーティングプロトコル、スキャン、マルウェア分析、その他、コース教材に関連する様々な課題が含まれています。