FORENSICS 578 | ||||||||||||||||||||||||||||||||
Cyber Threat Intelligence |
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
受講に必要なPC環境
演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。
FOR578 PC設定詳細
SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCが必須です。下記要件を確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。
注意:実習のためのツール類をインストールすることによって、一部のシステムの動作に支障をきたす可能性があります。また、ネットワークへの接続を伴う実習内容があり、故意過失を問わず、自分のノートコンピュータのデータに他の受講生からアクセスされる可能性もあります。いずれの場合もSANSではデータの破損や読み書きに関して責任をとることはできませんので、重要なデータが格納されているノートPCでの実習はお控えください。
利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。VMwareはWindows、Linux用に、ご利用になるノートPCの環境が64bitのゲストOSを動作させることができるかどうか確認するフリーツールを提供しています。また、こちらのページで、CPUとOSが64bitをサポートしているか確認する方法が説明されていますので参考にしてください。Macユーザーの方は、サポートページをご確認ください。
事前にVMware製品をダウンロードしてインストールしてください。VMwareWorkstation 11、VMware Fusion 7、VMware Player 7以降のバージョンを選択します。VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。VMware Playerは無償でライセンスも必要ありませんので、多くの受講者の方はVMware Playerをお使いのようです。
ノートパソコンのハードウェア要件
- CPU:64bit Intel i5 x64 2.0+ GHzプロセッサ以上(64bit必須)
- RAM:最低6GB以上(より多くを推奨)
- HDD/SSD:80GB以上の空き容量
- USB:3.0推奨
- ネットワーク:802.11 b, g, n もしくはac 規格に対応した無線LAN
- OS:フルパッチ済Windows 7以上、Mac OSX (10.10+)もしくは2014年以降にリリースされたLinux OSの最新版。VMware製品が正常に動くことを確認しておくこと。Linux OSの場合は、カーネルモジュールもしくはFUSEモジュールを使用し、ExFATパーティションにアクセスができること。Windows OS以外をホストOSとして使用する場合は、別途Windows Virtual System(Win7以降)を用意しておくことが必須要件
- その他:USBメモリの読込ができること
- その他:ホストOSのローカルアドミニストレーター権限
- その他:BIOS設定が変更できること
ノートパソコンのソフトウェア要件(下記を事前にインストールしてください)
- VMware Workstation11、VMware Player 7、VMware Fusion 7以降のバージョン(Virtual boxは非推奨)
- Microsoft Office 2012以上
60日の試用版:http://products.office.com/en-us/try
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。
コース概要
攻撃者から教わることは膨大です!
間違いなく、現在のコンピューターネットワーク防衛とインシデントレスポンスの重要な要素として、インテリジェンスとカウンターインテリジェンスが含まれます。アナリストは、自分たちのコンピューターとネットワークそして保有するデータを守るために、確実に理解し活用しなければなりません。
FOR578は、ネットワークディフェンダーとインシデントレスポンダーに次のスキルを養います。
- APTを検知、対応、防御、打ち負かすためにスレットインテリジェンスを構築し開発する
- 高度な攻撃者による成功または失敗した侵入行為に関して全分析をする
- 侵入キャンペーン、スレットアクター、背後の国家組織をつなぎあわせる
- APT攻撃者グループに関するインテリジェンスを管理、共有、受信する
- 自分たちの所有するデータソースからインテリジェンスを生成し、内容に応じて共有する
- APTによる侵入からインテリジェンスを特定、展開、活用する
- 保有するインテリジェンスを拡張し、攻撃者グループのプロファイリングを構築する
- インテリジェンスを活用し、将来の侵入に対応してより良い防御を行う
従来型のネットワーク防御、たとえばIDSやウィルス対策製品は脆弱性リスクに対して注力しています。また古典的なインシデントレスポンス手法は、侵入されてから行われる前提になっています。しかし、コンピューターネットワーク侵入の手口は進化かつ洗練されてきており、近年のネットワーク化された組織が直面している脅威には不十分なアプローチであるといえるでしょう。現在の攻撃者たちは彼らの目標を達成するために高度なツールとテクニックを使用して、ほとんどの従来型コンピュータネットワーク防御の仕組みを回避しています。そのため、侵入が検知できず、かなり長い期間ネットワークに気づかれないまま侵入し続けることになっています。
攻撃者に関するナレッジを収集・分類・開発すること、一般にこれらをサイバースレットインテリジェンスといいますが、ネットワークディフェンダーにとっては、対策の優先度に関する情報を提供することになります。攻撃者が侵入を試みた情報を活用することで、攻撃が成功する可能性を減少させる知見を得ることができます。レスポンダーにおいては、最新かつ進化した攻撃を観測して正確かつタイムリーで詳細な情報を得る必要があるとともに、収集した情報を活用して防御体制の向上に結び付ける方法を理解する必要があります。スレットインテリジェンスは、増加傾向にある洗練されたAPT攻撃に対抗する上で、組織の対応能力と検知能力を飛躍的に向上させます。
標的型攻撃に際して、組織はインテリジェンスで武装した一流かつ先端的なインシデントレスポンスが必要になり、脅威に対抗するためには攻撃者がどのように侵入を試みるのかを理解する必要があります。FOR578では、あなたとそのチームを訓練し、侵入やデータ侵害といった攻撃を検知し被害範囲を特定して柔軟に対抗できるスキルを養成します。
コースメニューへ▲ ページトップへ▲
本講座受講にあたっての前提
FOR578は初心者向けのコースではありません。受講生はインシデントレスポンスに関してよく理解している必要があり、高度な情報セキュリティ技術を身につけている必要があります。たとえば、FOR508/FOR572/FOR610/ICS515といったコースで培われるスキル、もしくはその実務経験が必須要件となります。FOR578は、4年以上の実務経験を持つSANS過去受講者にとって解析スキルを向上させるコースとして、パーフェクトなトレーニングでしょう。
また、追加の必須要件として、UnixとWindowsの両方のコマンドライン操作に慣れている必要があります。FOR578に参加する前に、少なくとも下記コースのうち1つを前もって受講していることを強くお勧めします。もしくは、SEC504/SEC503/SEC511レベルのインシデントレスポンスに関する知識・スキルを実務経験で補えることが必要です。もし、これらの前提条件を満たない場合は、おそらく本コースのペースに付いていけないでしょう。
- SEC504 - Hacker Tools, Techniques, Exploits and Incident Handling
- SEC503 - Intrusion Detection In-Depth
- SEC511 - Continuous Monitoring and Security Operations
- FOR508 - Advanced Incident Response
- FOR572 - Advanced Network Forensics
- FOR526 - Memory Forensics In-Depth
- FOR610 - REM: Malware Analysis
- ICS515 - ICS Active Defense and Incident Response
前提条件に関して質問や懸念がある方は、コース開発者に連絡してください(FOR578-Prereq@sans.org)。
コースメニューへ▲ ページトップへ▲
受講対象者
- インシデントレスポンスチームメンバー
- デジタルフォレンジックアナリスト
- 情報セキュリティプロフェッショナル
- FOR408、FOR508、FOR572、FOR610を受講された方
コースメニューへ▲ ページトップへ▲
講義内容の一例
- スピアフィッシングメール分析とそこからのインテリジェンス抽出
- 悪意あるPDF添付ファイルの分析とそこからのインテリジェンス抽出
- Redlineによる侵害されたシステムの解析
- C2ビーコンと横展開の特定
- 基本的なOSINTピボットとインディケーターのマッピング
- Excelでの集約方法とピボット
- Maltegoによる知的な集約方法とピボット
- 解析者のバイアス調和
- ACH、国家関与の属性付け
- KGB、マイコンピューター、そして自分
- Recorded Futureによるオープンソースインテリジェンス
- IOC作成
- 重要なスレットインテリジェンスの分析報告書作成
- アクティブサイバーディフェンスのサイクルの中で内部のスレットインテリジェンスを共有する
このコースを教える理由は、私の仲間を作ることです。攻撃者の視点を活用することによりネットワークを防御する方法を理解しており、私が信頼できる人物を育成することを目的としています。このコースには、私自身の経験から新しい仲間として出会いたい人にベースラインとして知っておいて欲しい知識を詰め込んであります。
- Mike Cloppert
スレットインテリジェンスの価値を考え直したとき、ほとんどの人・組織は次の3つの質問に到るでしょう。スレットインテリジェンスとは何か、いつになったら使えるようになるのか、そしてそれはどう使えばいいのか。このコースはこの質問に的確に答えるものであり、さらに重要なこととしてコミュニティを広げるようスレットインテリジェンスを活用する方法を教えます。
- Robert M. Lee
サイバースレットインテリジェンス(侵入)
サイバースレットインテリジェンス(CTI)について、まずもっとも基礎的な要素と考え方を定義し、専門用語について理解していきます。このセクションでは、CTIの概要とモデルについて解説し、広くインテリジェンスを理解することから始めます。CTIとは何かを定義付けしつつ、受講生には演習をして理解を深めてもらいます。
演習
- CRITSを利用したインテリジェンスの記録
- スピアフィッシングメール分析とそこからのインテリジェンス抽出
- 悪意あるPDF添付ファイルの分析とそこからのインテリジェンス抽出
- 攻撃者の偵察行為として行われるネットワークスキャンの特定
トピック
イントロダクション
- なぜCTIなのか。収集要件と動機付け
- インテリジェンスとインテルアナライシス
- 伝統的なインテリジェンスサイクル
- 用語と定義
- CTIアナリストの役割
- リスクについて
最新の脅威動向
- 脅威の定義と抽象化
- 何が脅威で、何が脅威でないのか
- CTIはどのように使えるのか
伝統的なインテリジェンス分析
- インテリジェンスとは何か
- ソース
- インテリジェンスサイクル
- 解析プロセスと科学的手法
- 仮説が競合する際の解析
- インテルアナライシスにおけるバイアス
- カウンターインテリジェンス
最新の脅威動向
- 脅威の定義と抽象化
- 何が脅威で、何が脅威でないのか
- CTIはどのように使えるのか
伝統的なインテリジェンス分析
- インテリジェンスとは何か
- ソース
- インテリジェンスサイクル
- 解析プロセスと科学的手法
- 仮説が競合する際の解析
- インテルアナライシスにおけるバイアス
- カウンターインテリジェンス
コンピュータネットワーク防御のためのインテリジェンス
- インディケーター
- インディケーターのサンプル
- どのようにインディケーターを見つけるのか
- CTIを表現する際のシグネチャを理解する
- インディケータのソース
Diamondモデル
キル・チェイン詳細
キル・チェインの解析的側面
インディケーターのライフサイクル
インディケーター成熟度モデル
- モデルの定義
- インディケーターとシグネチャへの応用
インテリジェンス取り込みに関する意思決定
- インテルが増加/減少が検討する
- 検知と対応の優先順位付け
- 従来のインシデントレスポンスにおけるキル・チェインとインテリジェンス
追加モデル、代替モデル、緊急モデル
キル・チェイン、コンピュータネットワーク防御
まず最初に、もっとも基礎的かつ頻繁に使われているモデルである「キル・チェイン」の解説から始めます。キル・チェインとは、攻撃者が侵害を成功させるために達成しなければならないステップをモデル化したものです。このセクションでは、キル・チェインを解説のガイドとして用いて、侵入の複数フェーズにおいて洗練された攻撃者に関するインテリジェンスを、どのように収集するかを解説します。発生したイベントを分析して、コマンド&コントロールを見つけるところから解説を始めていきます。また、他のモデルとして「Couses of Action Matrix」についても紹介します。この概念を用いて、キャンペーンをフル分析して定義付けします。彼らの手法や目的を見極め、成功してしまった侵入に関して適切なロール付けしたものを見ていただきます。
演習
- Redlineによる侵害されたシステムの解析
- C2ビーコンと横展開の特定
- 侵害されたホストからネットワーク上の挙動解析、その解析結果をインディケータとしてキャンペーンを明らかにする方法
トピック
シナリオベースのキル・チェイン解析:Webドライブバイアタック
- キル・チェインにおける前進とは
- キル・チェインにおける後退とは
- 検知順序のステージ1~7
コンピューターネットワーク防御のためのアプリケーション活用
キル・チェイン解析による分析の完全性
複数ステージに渡る侵入とキル・チェインの順序
シナリオベースのキル・チェイン:Webサーバー侵入
- キル・チェインの前につながる動きとは
- 検知順序のステージ1~7
侵入を試みた失敗の履歴:フィッシング
- インシデントを示す関係性
- 失敗した試みを分析するとき
- 失敗した侵入に関して完全に分析する
利用可能なインテリジェンスによる全体像を完成させる方法
キャンペーン、オープンソースピボット
侵入は、何かシステムを利用するためにアクセス権を得るため、一人の攻撃者が行うたった一度の試みではありません。専門の攻撃者集団によって行われ、システムを侵害することを目的とし、特定の組織・人・技術を狙ったものであり、彼らの究極の目的を達成するまで一度ぐらいの失敗ではあきらめません。彼らの継続的なキャンペーンは、多くの場合で長期間に渡る複数回の侵入により行われます。それぞれは個々の分離したキル・チェインとして扱って可視化するとともに、監視と防御を行います。このセクションでは、キャンペーンとは何かを理解し、なぜキャンペーンを理解することが重要なのか、そしてどのように定義付ければよいのかを学習します。このベースラインとなるインテリジェンスから、オープンソースのリソースと手法を使用して、ギャップを特定し補填する部分の特定、オープンソースを収集するタイミングを認識します。オープンソースのデータリポジトリには、共通の種類と共通の実装方式があります。これらの詳細を見ていきつつ、トレーニングでは演習を通じ理解を深めてもらいます。これらのリソースを活用することで、侵入に対し巨大なインテリジェンスを構築することが可能です。この中にはおそらくまだ曖昧なパターンが含まれているので、キャンペーンやアクターを解明するためにさらに分析する必要があります。これらのパターンからそこで使われるツールとテクニックを明らかにするには、データに対し高次元解析を行う必要があります。高次元解析とは、攻撃行為とその背後の文脈(物語)を分析することを指します。これはインテリジェンス結果を応用することであり、行為の一貫性やキャンペーンの独自性などを相関付けて分析することを行っていきます。
演習
- キャンペーン構築
- 基本的なOSINTピボットとインディケーターのマッピング
- Excelでの集約方法とピボット
- Maltegoによる知的な集約方法とピボット
トピック
サイバー空間の脅威の歴史の要約
クロスインシデント相関分析
キャンペーンの定義
- 主要なインディケーター
- タクティクス、テクニック、プロシージャの詳細
相関的かつ実用的なインテリジェンスの区別
侵入を相関付ける際に陥る落とし穴
キャンペーンの重複する部分を解釈する方法
ピボット、ハンティング、外部のインテリジェンス活用方法
- パッシブネットワーク活動
- マルウェアのリポジトリ
- ドメインデータと組織データ
- ブロックデータの構成
キャンペーン分析のための検索テクニック
- グラフ型ツール
- ExcelによるCTI分析
組織、国家政府、高次元解析
ネットワークディフェンダーやインテリジェンスアナリストがいるのと同じく、キャンペーンの背後にも人間がいます。侵入者たちは、組織に属していたり、雇われていたり、あなたの上司や顧客はたまた同僚かもしれません。このセクションでは、侵入の背後にある組織的な特徴付けについてより詳細に解説していきます。そして、侵入はどのような特徴を持ったプロジェクトであったかを解析します。また、CTI分野における認識バイアスについて解説していきます。競合する仮説を分析して、形式的な方法に基づきバイアスを減少させてインテリジェンスの評価を一般化させます。その結果、国家組織とキャンペーンの属性が分離できるかもしれません。このセクションでは、1日目で触れた内容についてより掘り下げていきます。攻撃者の意図、機会、能力を分析し、特にどの国家組織に属するアクターに関連するものかを解明していきます。サイバースレットインテリジェンスの分析によって、国家組織の役割と意図の属性付けを行うことについての概念を説明します。そして、同時代的に発生した国家組織の脅威の実例も取り上げます。本セクションの最後には、サイバースペースにおける脅威の変遷について解説し、CTI分野にどのような変化をもたらしたのかを特に重要な部分に絞って説明します。
演習
- バイアス調和
- ACH、国家関与の属性付け
- KGB、マイコンピューター、そして自分
トピック
結論の導出
- 言語を推測する
- 信頼性を評価する
- 評価を構築する
認識バイアス、競合する仮説の分析(ACH)
国家関与の属性付け
- 意味付け
- 意図、機会、能力
- CNA、CNE、破壊活動、エスピオナージ
- 言語学者とCTI分析
戦略レベルや作戦レベルで脅威やその行動を理解する
CTIドメインに関連するサイバー空間の脅威の歴史の要約
収集、共有、インテリジェンスの活用
侵入は膨大な量の情報で構成されており、その情報を精査した後にインテリジェンスとなります。このセクションでは、効率的にインテリジェンスを管理する方法について学びます。そして、その知見をあなたの仲間に共有してセキュリティチームを強化する方法を解説します。キャンペーンは何ヶ月もしくは何年にも渡る侵入行為から構成され、各侵入行為はそれぞれが詳細に結び付いています。こういったインテリジェンスの収集は防御策の決定に活用でき、そして自組織内部や協力会社のセキュリティチームと適切な形で共有することで、攻撃者に関して柔軟な特徴付けを見つけるきっかけや新しいキャンペーンを発見することにつながる可能性が期待できます。侵入は、複数の組織にまたがることがあり、また産業横断的に行われることもあります。外部のインテリジェンスは攻撃者の最新の傾向と戦術を日々更新しつづけています。仮に(かろうじてまだ)あなたの組織が標的になっていなかったとしてもです。
演習
- Recorded Futureによるオープンソースインテリジェンス
- IOC作成
- 重要なスレットインテリジェンスの分析報告書作成
- アクティブサイバーディフェンスのサイクルの中で内部のスレットインテリジェンスを共有する
トピック
スレットインテリジェンスの戦略的拡張方法
- 侵害の指標(IOC:Indicators of Compromise)フォーマット
オープンソースインテリジェンス収集(OSINT)
- スレットインテルコラボレーション
- プラットフォームの共有
- CTIフィード
- ISACとフュージョンセンター
商用、オープンソースCTIソリューション
インテリジェンスナレッジの管理
- 戦略と運用、スレットインテリジェンスの戦術
- NDA、機密分類、その他の制限事項
- テクノロジー
- スタンダード
内部のインテリジェンスを知的に共有する方法
- ネットワークセキュリティ監視のためのスレットインテリジェンス活用
- インシデントレスポンスのためのスレットインテリジェンス活用
- 脅威と環境変化によるスレットインテリジェンス活用
他組織との連携
- アプローチについて
- リスク
- 利点
- 適切なグループ、フォーラムの選択