Mathias Fuchs
SANS認定インストラクター
同氏は、Linux管理と一般的なITセキュリティのインストラクターからキャリアをスタートし、すぐに侵入テストとレッドチームに没頭することになりました。そしてスキルが向上すると共に、ITセキュリティに関する洞察力を高める新しい課題を探すにつれ、デジタルフォレンジックとインシデント対応の分野に自身の活動の中心を置くようになりました。
「資金力のあるAPT攻撃グループは、捜査官が新たに挑戦する課題を絶やさないようにしているようだ」とFuchs氏は述べています。
現場では、調査員は常に最新の攻撃手法や興味深いマルウェアに触れられる最前線であると彼は言い、それによって知識を習得すると共にそれぞれの顧客の特性をも把握します。
InfoGuard社では、インシデント対応の実地について構築することに重点を置いています。彼は自分の知識と経験を使ってチームを形成し、後になって変更することが難しいであろう陥りやすい課題について事前に対策することに力を注いでいました。
InfoGuard社の前には、Mandiant社のプリンシパルコンサルタントとして、世界中で大規模なサイバーセキュリティ調査を指揮しました。それ以前は、Deutsche Telecom社の子会社であるT-Systemsで主任セキュリティアーキテクトを務めたほか、通信、自動車、製薬、石油業界の国際的な顧客向けのセキュリティコンサルタントも兼任していました。
SANS FOR508:Advanced Digital Forensics,Incident Response,and Threat Huntingのインストラクターとして、Fuchs氏は教職における自身のルーツと、この分野における自身の経験の両方を利用して、現実世界の例を題材に講義を構成しています。彼は事例を示し、それをベースに実際の事例に類似するラボ内容で学んでいくスタイルを取っています。受講者はパズルの小さなピースを掘り下げる必要がありますが、企業全体の調査では全体像に焦点を当てる必要があります。
各受講生のスキルレベルはそれぞれ異なりますが、Fuchs氏は自身の知識だけでなくクラスで共有された知識をも活用しながら受講生に接することを得意としています。
「最終的には、受講生らの手順とセキュリティ製品について質問してもらい、インシデント対応をより効率的かつ効果的にすることで、どのように改善するかを考えてもらいたいと思います。」と彼はコメントしています。
受講生がこれまでに対処したことのない大きな事件に対処できるように、Fuchs氏は彼の失敗と成功を紹介します。「経験に代わるものはありませんが、私のクラスの受講生には、大規模な調査を実施する際に起こるような典型的なリスクを十分に意識してほしいと思います。」と彼は説明しています。「それに、面白い話が山ほどあります!」とも付け加えています。
Mandiant社に勤務していた間、Fuchs氏は10万以上のエンドポイントを持つネットワークを調査していました。「私はすぐに、攻撃者が2週間しかそこにいなかったことを知り、我々は彼が行った全ての操作を完全に記録し追跡することができた。」とFuchs氏は述べています。捜査関係者は度が過ぎた攻撃を行った攻撃者を4週間後に追い出すことになり、それまでのプロセスはそれ以降の事件への貴重な情報として提供することになったのです。
別の調査では、攻撃中にRDPサーバープロセスがクラッシュした際のクラッシュダンプにアクセスすることができました。「このクラッシュダンプを分析することで、攻撃者グループに関する多くの情報が得られ、マルウェアをインストールせずに攻撃者がアクセスした50台以上のマシンを迅速に見つけることができたため、さらなる調査の鍵となりました。」
業務以外では小型飛行機でアルプスの上空を飛んだり、ハイキング、マウンテンバイクに乗ったり、スノーボードをしたり、地元の救急車で救急隊員としてボランティア活動に励んでいます。
認定
GCFA:GIAC Certified Forensic Analyst
GREM:GIAC Reverse Engineering Malware
GRID:GIAC Response & Industrial Defence
CISA:Certified Information Systems Auditor
ITIL v3 Foundation
ITIL v2 Foundation
PCI Qualified Security Assessor(QSA)
