SECURITY 511 | ||||||||||||||||||||||||||||||||||||
Continuous Monitoring and Security Operations |
||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||
受講に必要なPC環境
演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。
SEC511 PC設定詳細
SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCを受講者自らご用意いただきます。下記要件をよく確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。
ノートパソコンのハードウェア要件、ソフトウェア要件
- CPU 64bit(必須)2.0GHz以上のプロセッサ
BIOSにおいて仮想化技術(VT-xやAMD-Vなど)の利用が有効になっていること - 8GB以上のRAM
- 50GB以上の空きディスク容量
- 無線 802.11 b/g/n/ac (会場に無線LAN環境をご用意しております)
- USB3.0ポート(強く推奨)
- VMware Workstation 11、VMware Player 7、VMware Fusion 7以上をインストール
- LinuxとWindows 10の仮想マシンを配布します
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。
コース概要
どうやら我々は、敵の粘り強さを過小評価してきたようです。
「持続的な監視」にパラダイムシフトする時がきました。
いままで多くの企業・組織が、多くの時間・お金・人材を投資して、サイバー上の脅威とサイバー攻撃に対して立ち向かってきました。このような多大な努力にも関わらず、いまだに侵入被害にあっています。実際、伝統的な境界防御や侵入防止に偏重したアプローチのセキュリティアーキテクチャでは、侵入を防げていません。かといって、ネットワーク無しではビジネスが立ちいかないのが現状でしょう。現実には、経営層やセキュリティプロフェッショナルたちは、このような侵害リスクを仕方なく受け入れています。侵入防止は確かに非常に重要です。これからもそれは変わらないでしょう。しかし、侵入防止をすり抜けて攻撃してくる敵に対抗するため、これから着目すべき新しいアプローチが現れてきています。
攻撃の被害にあっている組織にとって根本的な対抗策は、リアルタイムなインシデント検知を行うことです。統計によると、大半の企業が侵入被害にあってから平均して7ヶ月間のあいだ、気付いていない(侵入を許していた)といわれています。多くの組織では、攻撃の可視化や社内セキュリティ管理に欠点を抱えているので、攻撃者はたった1つの侵入口を見つけるだけで事足ります。これだけで、彼らの念入りに練られた計画の目的を成し遂げられてしまうのです。
セキュリティアーキテクチャ防衛戦略(アプローチ)として、ネットワークセキュリティ監視(Network Security Monitoring: NSM)、持続的な診断と緩和(Continuous Diagnostics and Mitigation: CDM)、持続的なセキュリティ監視(Continuous Security Monitoring: CSM)があります。これらの防衛戦略をこのコースで学ぶことにより、攻撃者の兆候に気付き、敵を検出し脅威を分析することが、あなたの組織やSOC(Security Operation Center)で自ら行えるようになります。このようなプロアクティブ(先駆的)なアプローチを行うことで侵入の早期検知を行うことが可能となり、攻撃者の計画を挫くことができるでしょう。米国立標準技術研究所(National Institute of Standards and Technology: NIST)は、NIST SP800-137で持続的監視(Continuous Monitoring: CM)についてガイドラインを公表しています。本コース5日目には、NISTの継続的監視に関するフレームワークを実装するについて解説し、理解を深め導入スキルを養成します。
SANSは、独自の要請にもとづきこのコースを開発しました。コース開発者は、GSE(GIAC Security Expert Certification)とよばれるSANS GIAC認定の中でもっとも最高位の称号(資格)を持った、13番目の認証者Eric Conradと28番目の認証者Seth Misenarです。両者とも経験豊富かつ現役の実践者であり、彼らの日々のノウハウやテクニックがこのコースに詰まっています。SEC511は、あなたにとって非常に実りある「研修旅行」となるでしょう。この旅は、伝統的なセキュリティアーキテクチャ探検から始まります。現在の状況を診断して、攻撃に対抗するやり方です。そしてトピックは、現在のセキュリティデザインに移ります。直感的で防御しやすいアーキテクチャを意識した新しい取り組みとしてのプロアクティブなアプローチを議論していきます。そして、NSM/CDM/CSMといった防衛戦略を通して、自動化されたネットワークセキュリティとエンドポイントセキュリティを構築する方法を見ていきます。リアルタイムな侵入検知を行うためには、ネットワークとシステムをプロアクティブかつ持続的に監視して、攻撃者の侵入成功をあらゆる変更からセキュリティ上の兆候を読み取らなければなりません。
旅の終着駅である6日目は、キャプチャ―ザフラグ(capture-the-flag: CTF)で締めくくられます。いままで学んできた先進的なセキュリティアーキテクチャの防御手法、検知手法を駆使してチャレンジに挑んでもらいます。このCTFは、コースで学んだことを包括的に組み合わせて活用することができ、かつ挑戦しがいのあるように考え抜かれて作られました。もちろん、CTF自体を楽しんでいただける作りになっているので、あなたにとってすばらしい体験になると確信しています。
この研修旅行を終えたとき、あなたのスキルは研ぎ澄まされ強力なものになっています。SANSトレーニングで学んだスキルとノウハウは、すぐに職場に持ち帰り適用できるものばかりです。
あなたは、次のことができるようになります(一例)。
- セキュリティアーキテクチャを分析し、不備を指摘することができる
- 攻撃に対抗しうるセキュリティアーキテクチャをデザインして、コースで学んだセキュリティ原則を適用することができる
- 検知指向のセキュリティアーキテクチャとSOCの重要性を理解できる
- ネットワークセキュリティ監視(NSM)、持続的な診断と緩和(CDM)、持続的なセキュリティ監視(CSM)の主要項目を把握できる
- 企業規模に応じた適切なセキュリティ監視を判断できる
- 堅牢なネットワークセキュリティ監視(NSM)、持続的なセキュリティ監視(CSM)を導入できる
- SOC環境に必要な監視機能を判断できる
- クリティカルセキュリティコントロール(Critical Security Controls: CSC)の管理策としてサポートする必要のある、持続的な監視機能を判断できる
- NIST SP800-137で記載されている持続的な監視(CM)の導入をサポートするツール群を活用できる
上記はこのコースで身につくスキル・知識のほんの一例です。コースで行う豊富なハンズオン演習を通して、講義で教えた主要な概念と原則の理解を深めていただきます。また、スクリプティングツール(たとえば、PythonやPowershell)を使って、持続的な監視を自動化する方法も学んでいきます。ぜひ、この先駆的なアプローチをSEC511で体験してください!
注意:本コースはテクニカルなコースであり、PCハンズオン演習を行っていただくものです。また、SOC立ち上げや構築に関するトピックはコースの範囲外ですので、ご注意ください。
本講座受講にあたっての前提
ネットワークプロトコルとネットワーク機器に関する基本的な理解を持つことを前提としています。また、コマンドラインでLinuxおよびWindowsに関する操作を行ったことがある、または行えることも必要です。
受講対象者
- セキュリティアーキテクト
- シニアセキュリティエンジニア
- テクニカルセキュリティマネージャー
- SOCアナリスト
- SOCエンジニア
- SOCマネージャー
- CND(Computer Network Defense)アナリスト
- ネットワークセキュリティ監視(NSM)、持続的な診断と緩和(CDM)、持続的なセキュリティ監視(CSM)といったセキュリティ戦略の導入を行う方
「多くの企業・組織は攻撃者から侵害される可能性があり、その可能性と向き合い始めたばかりです。境界防御に焦点を当てた予防的セキュリティ管理だけでは防ぐことはできません。攻撃者は、単に組織内の抜け穴を見つけるに過ぎず、内部セキュリティ管理の欠如は、攻撃者が目標を達成するために時間を費やすことを可能にしてしまいます。このコースでは、”セキュリティアーキテクチャと持続的監視の現状”を評価して、容易に理解しながら擁護できるセキュリティアーキテクチャに対する新しいアプローチについて学びます。私たちがこのコースで最も気に入っているのは、受講生がこれから取り組む上で、敵を断念させる最も効果的な形で組織化するためのアクション項目リストがあることです。受講生は、自組織のセキュリティアーキテクチャの不備を評価し、期待される警戒値からの偏りを継続的に監視できるような意味ある変化をもたらすことでしょう。
- Eric Conrad and Seth Misenar
現状調査、SOC、セキュリティアーキテクチャ
侵入防止に偏重したセキュリティモデルは失敗に終わっています。現実の侵害被害の頻度と規模を考えれば、別に驚くべきことではないでしょう。企業のシステムとネットワークが敵の支配下に陥ることを防ぐには、問題の根本に対処するために現在のアーキテクチャとセキュリティデザインのギャップを理解しなければなりません。では、何を改善する必要があるのでしょうか。そして、敵に打ち勝つことができるのでしょうか。何を行えば、勝てるのでしょうか。本質的なセキュリティ体制を改善するのであれば、これらの問いに答えなければなりません。
このコースでは、このような問い・目標に達するために必要なコア技術、セキュリティの原則を示していきます。近年の効率的なSOCやセキュリティアーキテクチャは、迅速な侵入検知と封込および対処能力を前提としています。目的を達成するためには、持続的な監視の実現と関連する膨大な知識が必要です。
演習
- 従来の攻撃手法の検出
- 最新の攻撃手法の検出
- ELSAによる出力分析
- NetWars(1日目):短期集中サイバーチャレンジ
トピック
Current State Assessment, SOCs, and Security Architecture
- Traditional Security Architecture
- Perimeter Focused
- Addressed Layer 3/4
- Centralized Information Systems
- Prevention-Oriented
- Device-driven
- Traditional Attack Techniques
Modern Security Architecture Principles
- Detection-oriented
- Post-Exploitation focused
- Decentralized information systems/data
- Risk-informed
- Layer 7 Aware
- Security Operations Centers
- Network Security Monitoring
- Continuous Security Monitoring
- Modern Attack Techniques
- Adversarial Dominance
Frameworks and Enterprise Security Architecture
- Enterprise Security Architecture
- Security Frameworks
Security Architecture - Key Techniques/Practices
- Threat Vector Analysis
- Data Exfiltration Analysis
- Detection Dominant Design
- Zero Trust Model (Kindervag)
- Intrusion Kill Chain
- Visibility Analysis
- Data Visualization
- Lateral Movement Analysis
- Data Ingress/Egress Mapping
- Internal Segmentation
- Network Security Monitoring
- Continuous Security Monitoring
Security Operations Center (SOC)
- Purpose of a SOC
- Key SOC roles
- Relationship to Defensible Security Architecture
ネットワークセキュリティアーキテクチャ
現在の環境について課題を理解し、理想とはほど遠いことについて気付きましょう。現状と理想のギャップを埋めるため、詳細なロードマップが必要です。2日目は、ネットワークセキュリティアーキテクチャとSOCの防衛を考えるにあたり、構成するインフラのコンポーネントを詳細に解説していきます。我々は長い間、境界を守るファイアウォールと随所に導入したアンチウィルスでセキュリティ対策は充分だ、と考えてきました。しかし今日では多数のセキュリティコンポーネントがあり、現代のセキュリティアーキテクチャはそれらを組み合わせて構築されています。
また、次世代ファイアウォール、UTM機器、マルウェアデトネーションデバイス、SIM、DLP、ハニーポットといったまだ企業に取り入れられることが少ないテクノロジーに関しても解説していきます。そして、3/4レイヤーのファイアウォール、ルーター、スイッチ、NIDSといった古くからあるネットワーク機器をどう再利用していくかも合わせて解説します。このコースで数多くの機器やセキュリティ対策を紹介し解説しますが、何もこれらを次年度の予算に加えるべきといったことではなく、あなたの企業における現状のサイバーセキュリティアーキテクチャの機能を最大化するためには、どの新しいテクノロジーがもっとも適切で費用対効果(ROI)があるかを判断できるようにするためです。
演習
- ModSecurity
- Snort OpenAppId
- リーク検出のためのハニートークン
- NetWars(2日目):短期集中サイバーチャレンジ
トピック
SOCs and Defensible Network Security Architecture
SOCs/Security Architecture - Key Infrastructure Devices
- Traditional and Next Generation Firewalls, and NIPS
- Web Application Firewall
- Malware Detonation Devices
- HTTP Proxies, Web Content Filtering, and SSL Decryption
- SIMs, NIDS, Packet Captures, and DLP
- Honeypots/Honeynets
- Network Infrastructure - Routers, Switches, DHCP, DNS
- Mobile Devices and Wireless Access Points
- Threat Intelligence
Segmented Internal Networks
- Routers
- Internal SI Firewalls
- VLANs
- Detecting the Pivot
Defensible Network Security Architecture Principles Applied
- Internal Segmentation
- Threat Vector Analysis
- Data Exfiltration Analysis
- Detection Dominant Design
- Zero Trust Model (Kindervag)
- Intrusion Kill Chain
- Visibility Analysis
- Data Visualization
- Lateral Movement Analysis
- Data Ingress/Egress Mapping
ネットワークセキュリティ監視(Network Security Monitoring: NSM)
多くの組織にとって、SOCとセキュリティアーキテクチャのデザインに関してパラダイムシフトが起きています。可視化と探知機能の強化です。しかし、デザインは始まりに過ぎません。もっとも重要なことは、侵入を検知することです。3日間かけて可視化と探知機能の強化をデザインに盛り込む方法について、議論してきました。4日目は、侵害により残される痕跡や変更を持続的に監視して、いかに見つけていくかを見ていきます。
それにはまず、監視のアプローチと目的を理解し、適切な分析手法を選択できるようにならなければなりません。ネットワークセキュリティ監視(NSM)、持続的な診断と緩和(CDM)、持続的なセキュリティ監視(CSM)といった用語(概念)は、誤解されがちですので、これらを正しく理解し組織のベストプラクティスとして導入できるよう解説していきます。持続的監視(continuous monitoring)の必要性は、クリティカルセキュリティコントロール(CSC)で強く推奨されている事項でもあります。
次に、堅牢なモデルであるネットワークセキュリティ監視(NSM)を採用して、持続的な監視を行う方法を解説していきます。NSMは、データを分析して侵入や不正行為の可能性を早期検出と対処を実現します。
演習
- BroとのPcap Carving
- Sguilのサービス側を分析する
- ファイナルエクササイズ
- NetWars(3日目):短期集中サイバーチャレンジ
トピック
Network Security Monitoring
Continuous Monitoring Overview
- Defined
- Network Security Monitoring (NSM)
- Continuous Security Monitoring (CSM)
- Continuous Monitoring and the 20 Critical Security Controls
Network Security Monitoring (NSM)
- Evolution of NSM
- The NSM Toolbox
- NIDS Design
- Analysis Methodology
- Understanding Data Sources
- Full Packet Capture
- Extracted Data
- String Data
- Flow Data
- Transaction Data
- Statistical Data
- Alert Data
- Tagged Data
- Correlated Data
- Practical NSM Issues
- Cornerstone NSM
- Service-side and Client-side Exploits
- Identifying High-entropy Strings
- Tracking EXE Transfers
- Identifying Command and Control (C2) Traffic
- Tracking User Agents
- C2 via HTTPS
- Tracking Encryption Certificates
エンドポイントセキュリティアーキテクチャ
近年の攻撃の顕著な特徴として、クライアントサイドのエクスプロイトに重点が置かれていることがあります。一旦クライアントに侵入されてしまうと、そこから社内ネットワークにあるパッチがあたっていない無数のメールサーバー、ウェブサーバー、DNSサーバーに横展開されてしまいます。このような背景から、クライアント侵害のリスクを低減することは、必須事項といえるでしょう。4日目は、エンドポイントシステムに焦点をあてて解説していきます。攻撃に対して柔軟性を持ち、侵害調査を行う上で必要な機能を強化するさまざまな対策を紹介していきます。
演習
- Sysmon
- 自動実行
- 自続性とピボット
- ピボットとPass-the-Hashの揮発性解析
- NetWars(4日目):短期集中サイバーチャレンジ
トピック
SOCs and Defensible Endpoint Security Architecture
Security Architecture - Endpoint Protection
- Antimalware
- Host-based Firewall, Host-based IDS/IPS
- Application Whitelisting, Application Virtualization
- Privileged Accounts, Authentication, Monitoring, and UAC
- Whole Disk Encryption
- Virtual Desktop Infrastructure
- Browser Security
- EMET
Dangerous Endpoint Applications
- Java
- Adobe Reader
- Flash
- Microsoft Office
- Browsers
Patching
- Process
- To Test or Not to Test
- Microsoft
- 3rd Party
自動化と持続的なセキュリティ監視(CSM)
ネットワークセキュリティ監視(NSM)を始めることで、侵入や不正行為が起きていることを検知することができるようになりました。しかし、我々のシステム、ネットワーク、アプリケーションに対して、いつ侵害が増加傾向にあるのかを知りたくなるはずです。これを実現する戦略として、持続的なセキュリティ監視(CSM)、持続的な診断と緩和(CDM)があります。どんな対策が必要かを判断するために、半期または年1回に脆弱性テストを行って診断結果を待つのに比べて、持続的な監視(CM)は、プロアクティブかつ継続的に診断を繰り返し、現在のセキュリティ状態から対処すべき脆弱性について即座に把握することができます。
しかし、それには大量なデータを解析する必要があります。実現するためには、スクリプティングと自動化が不可欠です。当然、ベンダー製品や既存ツールにはこの課題を解決するよう作られているものがありますが、手動でカバーしなければならない範囲や機能や監視項目があり、自動化には不完全です。5日目は、シンプルなツールとスクリプトを使って持続的な監視を行う方法を解説していきます。
スクリプトによる自動化の方法を知ったとしても、何のデータを継続的に監視して分析する必要があるか知らなければ意味がありません。そのため、クリティカルセキュリティコントロール(CSC)について再び振り返り、優先的に企業環境で持続的に監視する価値があるものについて議論していきます。
演習
- インベントリ
- パッシブフィンガープリンティング
- Windowsイベントログ
- PowerShellスクリプト
- NetWars(5日目):短期集中サイバーチャレンジ
トピック
自動化とContinuous Security Monitorin
Overview
- Continuous Security Monitoring (CSM) vs. Continuous Diagnostics and Mitigation (CDM) vs. Information Security Continuous Monitoring (ISCM)
- Cyberscope and SCAP
Industry Best Practices
- Continuous Monitoring and the 20 Critical Security Controls
- Australian Signals Directorate (ASD) Strategies to Mitigate Targeted Cyber Intrusions
Winning CSM Techniques
Maintaining Situational Awareness
Host, Port and Service Discovery
Vulnerability Scanning
Monitoring Patching
Monitoring Applications
Monitoring Service Logs
- Detecting Malware via DNS logs
Monitoring Change to Devices and Appliances
Leveraging Proxy and Firewall Data
Configuring Centralized Windows Event Log Collection
Monitoring Critical Windows Events
- Hands on: Detecting Malware via Windows Event Logs
Scripting and Automation
- Importance of Automation
- PowerShell
- Hands-on: Detecting Malicious Registry Run Keys with PowerShell
キャップストーン:デザイン、検知、防御
最終日である6日目は、1週間を通じて学んできたセキュリティ原則を活用して、チーム戦のキャップストーンをしてもらいます。
それぞれのチームは、1週間で学んだ現代のサイバー防衛技術の習得を確実にするために、複数のレベルで構成されたミッションを進めていきます。セキュリティアーキテクチャ、ネットワークセキュリティの監視、エンドポイントのセキュリティ、継続的な監視からなるこの挑戦的なエクササイズは、楽しく実践的なチームベースの課題を通じ、重要な原則を身のあるものとします。
トピック
Capstone - Design/Detect/Defend
- Security Architecture
- Assess provided architecture
- Continuous Security Monitoring
- Using tools/scripts assess the initial state
- Quickly/Thoroughly find all changes made