Industrial Control Systems 515 | ||||||||||||||||||||||||||||||||
ICS Active Defense and Incident Response |
||||||||||||||||||||||||||||||||
![]() |
||||||||||||||||||||||||||||||||
受講に必要なPC環境
演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。
ICS515 PC設定詳細
注意:OSに対する管理者権限アクセスと、全てのセキュリティパッチなどを適用した環境をご用意ください。ファイアウォールやホストベースで動作するセキュリティツールなどは、演習に際して設定を変更していただく場合がありますので、忘れないようにしてください。
ノートパソコンのハードウェア要件、ソフトウェア要件
- 64ビット環境のシステムであること
- ノートPCで、ホストまたは仮想化によりWindows10がインストール済みであること
- 最低でも2つのUSBポートがあること
- VMware Player(バージョン7以降)、VMware Workstation(バージョン11以降)、あるいはVMware Fusionがインストールされていること。
- ファイアウォールやウイルス対策ソフトを含む全てのセキュリティソフトウエアの機能を無効化できること。
- 最低でも100GB以上のストレージ空き領域があること
- 最低でも6GB以上(8GBを推奨)のメモリを搭載していること
- ホストOSに対するローカル管理者権限や、BIOS設定の変更可能な権限を有していること
- 無線ネットワーク接続ができること(802.11 B/G/N/ACのいずれか)
※ノートパソコンの設定については、米国SANSサイトの該当ページにも掲載されています。
ノートパソコンの設定要件は、OSやVMwareのリリースやバージョンアップの状況に応じて随時更新されますので、本ページと米国SANSページの設定要件が異なる場合は、「米国ページ」の方を優先してください。(リンク先ページの”Laptop Required”タブよりご確認ください。)!
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。
コース概要
「ICS515:ICS アクティブディフェンスとインシデントレスポンス」は、ICSのサイバー攻撃をひもといて、アクティブディフェンスという考え方を採用することで、あなたのICSに対する脅威を特定し、対応を支援できるようになることを目指しています。また、インシデントレスポンスの手順により、安全で信頼性の高い運用が可能になるでしょう。
本コースでは、ネットワーク化された産業制御システム(ICS)環境の理解から、システムに対する脅威の監視、特定された脅威へのインシデントレスポンス、および攻撃者と対峙可能なネットワークセキュリティの強化につなげていくようになっています。また、ネットワークの監視プロセスや対応、脅威からの学習こそがアクティブディフェンスであり、これはStuxnet、HavexやBlackEnergy2などに代表される高度な攻撃から、皆様のICSが標的となった場合、防御するために必要なアプローチとなるでしょう。受講生がこのコースを終了すると、現実的なマルウェアによるICSへの攻撃についてハンズオンを通じた体験から、ICSに対する標的型攻撃を識別する能力を習得し、攻撃者に対応することが可能になります。脅威情報の確認やネットワークセキュリティ監視、マルウェア分析、インシデントレスポンスといったアクティブディフェンスコンセプトを用いて、実践的かつ技術的な理解をすることで、安全で信頼性の高いICSの運用が可能になるでしょう。本コースで紹介する戦略とテクニカルスキルは、ICS組織において実行可能な防御の基礎となるものです。
主な内容:
- セキュリティ運用に注力したインシデントレスポンスを実施し、運用の安全性と信頼性を優先させる方法。
- 環境を維持するために必要な、脅威情報の生成プロセス、コミュニティからの入手方法や活用方法。ICS脅威情報の詳細な分析と適用を定期的に行うスキル。
- 資産とそのネットワークトポロジを特定する方法、および注目すべきICSでの異常や脅威を監視する方法。ICSネットワークセキュリティ監視などの方法論と制御システムの脅威環境を低減するための方法。
- 素早く環境の特定をするために必要な、重視すべき情報と脅威の根本原因の理解につながるマルウェアの分析方法
- 攻撃を受ける中で、運用チームや意思決定者に対して、稼動停止をするか否かの指示を行うために必要な情報の取得方法。
- アクティブディフェンスと防護を目的とした、複数のセキュリティ施策の相互連携方法。テクニカルコンセプトとハンズオンの二つで補強します。
本講座受講にあたっての前提
- ITまたはICSの経験がある方のほか、SANSのICS410、SEC401またはそれらと同等のサイバーセキュリティに関する経験をお持ちの方。ICSに関する経験は必須ではありませんが、SCADA、DCS、PLC、RTUなどのICS用語やOT環境におけるリスク分解と緩和アプローチに関する理解があることをお勧めします。
- 以下のコースの受講経験者
・ICS410
・SEC401 - コース前提として、ICS410、SEC401、あるいは同等のスキルを持っていること。
本コースを受講後にお勧めのコース:FOR578、FOR572、FOR508、FOR610、SEC511
受講対象者
- ICSインシデントレスポンスチームのリーダーまたはメンバーで、ICSを安全に運用するために必要な、高度な脅威に対応する方法に学びたいと考えている方。
- ICSや運用、およびセキュリティプロフェッショナルで、ICSアクティブディフェンスを活用し、ネットワークセキュリティ監視や脅威情報の取組みについて学びたい方
- ITセキュリティプロフェッショナルで、ICSプロトコル、脅威、優先順位など、ICS分野の知識を伸ばしたい方
- SOCチームやアナリストで、ICS SOCやデュアルIT/OT SOCにおいて、OTネットワークやICS資産を関する方法を学びたい方
- ICSレッドチームとペネトレーションテスターの方で、最新の防御戦略のなかで、 最大限のパフォーマンスを発揮し、ICSネットワークの改善ポイントを見出したい方
- アクティブディフェンスを担当する方で、自ら高度な標的型攻撃を特定し、対応する方法を学びたい方
講義内容の一例
- ネットワークにおける高度な脅威を特定するうえで、必要なネットワークの基本情報を得ることを目的としたICSネットワークの検査、資産情報やそのデータフローを特定します。
- アクティブディフェンスのコンセプトを活用し、脅威情報の使いかたやネットワークセキュリティ監視、マルウェア分析など、ICS防御に焦点を定めたインシデントレスポンスの進め方を理解します。
- CYBATIworksキットなどを使用した独自PLCの作成をします。
- Havex、BlackEnergy2、Stuxnetなどを含むハンズオン経験をもとに、脅威を理解する分析について理解します。
- Shodan、Security Onion、TCPDump、Netowork-Miner、Foremost、Wireshark、Snort、Bro、SGUIL、ELSA、Volatility、Redline、FTK Imager、PDFアナライザ、マルウェアサンドボックスなどもハンズオンで使用します。
- OpenIOCとYARAを使用したIOCの作成を行うと共に、STIXやTAXIIなどの共有情報を理解します。
- Sliding Scale of Cybersecurity、Active Cyber Defense Cycle、ICS Cyber Kill Chainを活用した、脅威情報からの情報抽出とICSネットワークセキュリティに対して長期的な成功を収めるための推奨事項を理解します。
ハンズオン
- CYBATIworksキットを用いたPLCの構築。
- Shodanを用いた資産情報の確認。
- 競合仮説分析
- ラボネットワークにおけるATPの影響を受けたHMIへの対応方法の支援を通じた新規スキルの確認。
- ATPマルウェアの影響を受けたシステムの特定と、分析可能な脅威サンプルの組立て。
- アクティブディフェンスを完遂するために、特定されたAPTマルウェアに対して実施するマルウェア
- 分析や情報の抽出、およびYARAルールの開発。
- 2種類のシナリオに基づくハンズオンの実施。
1.SANS Cyber Cityへの侵入から得られたデータの分析
2.マルウェア感染したDCSから得られたデータ分析
本コースは、米国の情報機関や制御システム関連のコミュニティが、産業制御システムを部隊として高度な攻撃者と対峙する時の一助になるように、私の実体験を元に発展させたものです。この講習は、攻撃者と敵と対峙しなければならなかった当時に、自分が受講したいと思える作りになっています。そのため、本講習のコンテンツはあなた方が判別済みの脅威と直面した際に、セキュリティレベルと信頼性のある運用を維持するために必要な事柄から構成されています。ICS515は実行可能な防御方法としてあなた方の強力な後押しになるはずです!
- Robert M. Lee
Threat Intelligence
ICSのセキュリティプロフェッショナルは、内部・外部の脅威情報を活用して批判的に脅威分析を行い、IOC(侵入インジケーター)を作成して環境内に潜む脅威を特定するため、セキュリティチームをけん引しなければなりません。業務内容や役割に関係なく、脅威情報がどのように生成されるか、どのように批判的分析を行いレポートするか、そして日々の運用に役立つスキルをお伝えします。初日は以下の4つのラボを通じて、翌日以降のラボで実践できるような知識を習得していただきます。
- プログラマブルロジックコントローラ (PLC:Programmable Logic Controller) の構築
- Shodan通じた資産に関する情報特定
- 競合仮説分析
- 脅威情報報告の収集
演習
- CYBATIworksを用いたPLC構築
- Shodanを用いたICS Information Attack Surface のマッピング
- ICS ハニーポットと競合仮説分析
- ICS脅威情報の活用
ケーススタディ:Havex
- ICS アクティブディフェンスとインシデントレスポンス
- インテリジェンスのライフサイクルと脅威情報
- ICS Information Attack Surface
- 外部ICS脅威情報
- 内部ICS脅威情報
- ICS脅威情報の共有と活用
Asset Identification and Network Security Monitoring
自分が知らない・認識できていないようなことを、何かから防御するのは非常に困難が伴います。だからこそ、ネットワーク環境を理解することは、自身のネットワークを守るために必要不可欠なことなのです。2日目は、Wireshark、TCPDump、SUIL、ELSA、CyberLens、Bro、NetworkMiner、Snortといった多数のツールを用いて、インシデントレスポンスの手順を進めていくのに必要な、ICSネットワークでのデータ収集、脅威検知、脅威分析をお伝えします。受講生は、ラボネットワークとそこに存在するAPTについても紹介されることになるでしょう。習得した防御スキルを用いて、そこに存在する脅威を検知・特定した上で、分析により影響を受けたマンマシンインターフェース(HMI:Human Machine Interface)に対するインシデントレスポンスをリードしていきます。
演習
- 資産の発見とネットワークの可視化
- ICS資産の正しいデータ収集
- 侵入検知システム(IDS)
- ICSネットワーク分析
ケーススタディ:BlackEnergy2
- ICS資産とネットワーク可視化
- 脅威環境の特定と削減
- ICS ネットワーク監視 – 収集
- ICS ネットワーク監視 – 検知
- ICS ネットワーク監視 – 分析
Incident Response
ICSレスポンスを適切に準備し、実践可能な能力を備えるのは、安全かつ信頼できる制御システムを運営するうえで必要不可欠です。ICSインシデントレスポンスは、ICSのアクティブディフェンスを実践するうえでコアとなるコンセプトであり、アナリストは環境における運用上の脅威と影響を勘案しつつ、安全にデジタルエビデンスを取得する必要があります。ICSインシデントレスポンスは、まだまだ未成熟な分野ですが、効果的な戦略とツールを使用して、フォレンジックに必要なデータを収集かつ保全する術を学習します。受講生は、これらの収集したデータを利用して適宜フォレンジック分析を実施し、IOCを作成していきます。前章のラボでは、ネットワークにAPTマルウェアが検出されましたが、本章でのラボは、どのシステムが影響を受けたかを特定し、分析可能な脅威サンプルを収集することに注力していただきます。
演習
- 運用環境の獲得
- 検証とイベントの分析
- インシデントレスポンスと初動トリアージ
- 活動中の侵入指標
ケーススタディ:Stuxnet
- インシデントレスポンスとデジタルフォレンジックの概要
- ICSインシデントレスポンスチームの準備
- 証拠取得
- ICSネットワーク上でのフォレンジックデータの情報ソース
- 時限制約分析
- 運用の保守とレストア
Threat and Environment Manipulation
脅威に対する理解は、ICSに影響を及ぼす能力や、可能性を探索するうえで最も重要な要素です。例えば、マルウェア分析などのプロセスから導き出される情報は、環境に対する脅威を低減させる目的でシステムに対して変更を行う際、たいへん重要な判断材料となります。従って、積極的なICS防御を行っていくためには、内部データの収集が脅威情報の作成と共有には必要不可欠になるのです。本セクションでは、例としてスピア型シッシングメール攻撃の初期攻撃ベクターの分析方法、タイムリーなマルウェア分析テクニック、メモリイメージの分析、そしてYARAを用いたIndicators of Compromise(IOC=攻撃の痕跡)情報の作成について学習します。前章のラボでは、影響をうけたHMIの特定を行い、APTマルウェアのサンプル収集に成功しました。本章では、クラスで紹介されたアクティブディフェンスモデルと運用メンテを完全なものにするため、マルウェア分析や情報の抽出、そしてYARAルールの作成を通じてアクティブディフェンスモデルを完全なものにし、運用を維持することを考えていただきます。
演習
- 初期攻撃ベクターの分析とスピア型シッシングメール攻撃
- 揮発性メモリフォレンジック
- マルウェア分析とサンドボックス
- YARA開発
トピック
- ケーススタディ:German Steelworks
- ICS脅威に対する環境操作のゴールと考慮事項
- 安全なワーク環境の構築
- 取得した証拠の分析
- メモリフォレンジック
- マルウェアフォレンジック分析の方法論
- ケーススタディ:BlackEnergy2 自動分析
- 脅威の痕跡
- 環境操作
Active Defense and Incident Response Challenge
この章では、これまでの4章で紹介した戦略、方法論、スキルセット、ツールに関して、さらに理解を深めていただくため、2つのシナリオに基づいたハンズオンに終日取り組んでいただきます。ひとつ目のシナリオは、SANS Cyber Cityに対する侵入で収集したデータについて。二つ目のシナリオは、Distributed Control System (DCS=分散制御システム) がマルウェアに感染したケースです。この章ではICSアクティブディフェンスとインシデントレスポンススキルを最大限活用し、自分自身に対してチャレンジしてみてください。
演習
シナリオ1
SANS Cyber Cityへの侵入で得たパケットキャプチャとシステムイメージを提供します。アクティブディフェンスを活用して、侵入を許した原因などの特定と対応を行ってください。
- ICSネットワークの資産特定とシステムマップの作成
- 異常検知のためのICSネットワークセキュリティ監視の実施
- SANS Cyber Cityのデータファイルに対するインシデントレスポンス手順の実行
- 攻撃実行能力の分析と、内部または外部脅威の有無を特定
シナリオ2
DCS環境への侵入で得たパケットキャプチャとシステムイメージを提供します。アクティブディフェンスを活用して、侵入を許した原因などの特定と対応を行うと同時に、現実のマルウェアとその被害が環境に及ぼす影響を理解してください。
- DCSにおけるソフトウェアの特定と現状把握
- ICSアクティブディフェンスを活用したマルウェア特定
- 運用に対する影響度合いの把握と緩和策の決定