このコースの最初のセクションでは、システムとネットワークのハードニングを行うため、ネットワーク・アーキテクチャとレイヤーの全体像から説明を始めます。Richard Bejtlich氏のThe Tao of Network Security Monitoringから引用すると、防御可能なネットワークは「挫折するのではなく、デジタルの自己防衛を奨励する。」ということになります。

このセクションでは、まず従来のネットワークおよびセキュリティアーキテクチャの概要と、それらに共通する弱点について説明します。Defensible securityの考え方は、「正しいものを最初に作れ」です。すべてのネットワークは運用機能を効果的に実行する必要があり、セキュリティはこの目標を補完します。後からセキュリティを改良して組み込むよりも、最初から組み込む方がはるかに効率的なのです。

次に、ネットワークの下位レイヤーの概念について説明します。この中にはインフラストラクチャの強化を目的としてインストラクターが様々な事例を紹介しながら現代の攻撃をどう検知し防御するかを説明していきます。例えば、悪意のあるクライアント間のピボットを効果的に無効にするPVLANや、不正なデバイスを緩和する802.1 XおよびNACを使用します。スイッチを強化するために、特定のCisco IOS構文例も提供されています。

演習

• 外部分析:　攻撃者がどのようにデータを外部に漏らすか、外部からの侵入をどのように防御して検出するかを理解することに重点が置かれています。
• Ciscoパスワード:　デフォルト設定は、大きな侵害につながる可能性があります。この演習では、ネットワーク・インフラストラクチャのデフォルト設定を変更しない場合の影響について説明します。
• レイヤ2攻撃の特定:　ネットワークセキュリティは向上しましたが、現代の組織ではレイヤ2攻撃がまだ可能です。この演習では、レイヤ2攻撃の特定に重点を置いています。
• フロー分析:　このラボでは、さまざまな形式のフローデータを理解し、それらを適切に使用して許可されていないアクティビティや異常なアクティビティを特定する方法について説明します。

トピック

• 従来のセキュリティアーキテクチャの欠点
  • 境界/エクスプロイト
  • 真の境界の不足（クラウド、モバイル機器による境界の崩壊）
  • Internet of Things（IoT）
  • ネットワークの中心
• Defensible Security Architecture
  • 考え方
    • 侵害の推定
    • 境界の崩壊
    • ネットワークの中心
• モデル
  • ゼロトラストモデル
  • 侵入キルチェーン
  • ダイアモンドモデルを使った侵入分析
• ソフトウェア定義のネットワークと仮想ネットワーク
• マイクロセグメンテーション
• 脅威、脆弱性、データフロー分析
  • 脅威ベクター分析
    • 侵入マッピング
  • 外部流出データの分析
    • 流出マッピング
  • ドミナントデザインの検知
  • アタックサーフェスの分析
  • 可視化分析
• レイヤー1 ベストプラクティス
  • ネットワーククロゼット
  • ペネトレーションテスティングドロップボックス
  • USBキーボードアタック
• レイヤー2ベストプラクティス
  • VLAN
    • ハードニング
    • プライベートVLAN
  • レイヤー2 アタックと緩和策
• NetFlow
  • レイヤー2、3 NetFlow
  • NetFlow、Sflow、Jflow、VPC Flow、Suricata、Endpoint Flow

インフラストラクチャの強化について説明し、ルーティング機器、ファイアウォール、アプリケーションプロキシなどの概念に入っていきます。ルータのハードニングのために実用的な例を特定のCisco IOSコマンドとともに提供します。

次にインターネットトラフィックの約23％を占めるIPv6（Google調べ）について説明していきます。色々と誤解されているIPv6について正しい知識を持ち、プロトコルを安全に保つための実用的な解決策を取り入れていきます。ファイアーフォールやアプリケーションプロキシについても述べていきます。

演習

• ルータセキュリティの監査:　ルータのセキュリティ問題の特定と軽減に注力します。
• ルータのSNMPセキュリティ:　クラウドルータとやり取りし、SNMPに対する攻撃を実行して、ルータを理解し、最終的には脅威を排除します。
• IPv6:　IPv6としても知られる次世代インターネットプロトコルはしばしば無視され誤解されます。IPv4とIPv6の違いを理解します。
• プロキシの効果:　プロキシは、マルウェアやコマンドおよび制御チャネルに対処するための絶大な効果を持っています。プロキシを設定するさまざまな方法に基づいて家庭に電話をかけるマルウェアがどのように振舞うか説明します。
• ボーナス演習:　1日の終わりには、ルータの演習があります。受講者がBook 1とBook 2の複数のコンポーネントを組み合わせてルータの実働構成とチューニングを行います。

トピック

• レイヤー3：ルータのベストプラクティス
  • CIDRとサブネット
• レイヤー3：攻撃と緩和策
  • IPソースルーティング
  • ICMP攻撃
  • 不許可なルーティング更新
  • ルーティングプロトコルのセキュア化
  • 不許可なトンネリング
• レイヤー2、3ベンチcマークと監査ツール
  • ベースライン
    • CISecurity
    • Ciscoのベストプラクティス
    • Cisco Autosecure
    • DISA　STIG
    • Npper-ng
• SNMPのセキュア化
  • SNMP Community String Guessing
  • SNMP経由でのCisco IOS設定のダウンロード
  • SNMPのハードニング
  • SNMPv3
• NTPのセキュア化
  • NTP認証
  • NTP増幅攻撃
• Bogonフィルタリング、Blackholes、Darknet
  • Bogonフィルタリング
  • Darknet通信の監視
  • IP Blackhole Packet Vacuum
• IPv6
  • デュアルスタックとHappy Eyeballs
  • IPv6拡張ヘッダ
  • IPv6アドレスとアドレス割当て
• IPv6のセキュア化
  • IPv6 ファイアウォールサポート
  • IPv6のスキャニング
  • IPv6トンネリング
  • IPv6 RA攻撃と緩和策
• VPN
  • パスMTU問題
  • VPNにより発生するフラグメント問題
• レイヤー3、4ステートフルファイアーウォール
  • ルータACL
  • LinuxとBSDファイアーウォール
  • pfSense
  • Stateful
• プロキシー
  • Webプロキシー
  • SMTPプロキシー
    • フィッシング防御と検知メカニズムの増強
  • ExplicitモードとTransparentモード
  • ForwardモードとReverseモード

組織は次世代のファイアウォールからWebプロキシやマルウェアサンドボックスに至るまで、多くのネットワークベースのセキュリティ技術を有するか、その技術へのアクセスが可能になっています。しかし、これらの技術の有効性は、それらの実装状況により影響を受けることになります。アプリケーション制御、ウイルス対策、侵入防止、データ損失防止、その他の自動的な不正検出や詳細なパケット検査エンジンなど、組み込み機能への依存度が高すぎると、防御と検出との間に大きなギャップが生じ、結果として防御に重点を置いた実装になります。

組織がすでに所有しているアプリケーション層のセキュリティソリューションを現代的な考え方で使用することに焦点を当てます。柔軟な考え方を持つ事で、スパム用アプライアンスのような比較的古いものでも類似ドメインを介したフィッシングや他のスプーフィング技術のような現代的な攻撃を検知することが可能になります。繰り返しになりますが、現代の攻撃に対する防御を設計することで、防御と検出の両方の能力が大幅に向上します。

演習

• ネットワークセキュリティモニタリング:　侵入検知アラートとネットワークメタデータは、自分自身を知り、不正なアクティビティを特定するための総合的なアプローチを提供します。この演習では、NSMを使用してネットワーク上で動作するマルウェアの検出に重点を置いています。
• NSMのアーキテクチャとエンジニアリング:　適切な可視性とアプリケーション/プロトコルの認識を実現するためにNSMテクノロジーの配置および実装方法について学習します。
• 暗号化に関する考慮事項:　ネットワーク暗号化は攻撃者と防御者の両方からデータを保護します。この演習ではプロキシ、NSM、NGFW、およびその他のソリューションの監査のために、防御側がTLS接続を介して可視性を取り戻す方法に焦点を当てます。

トピック

• NGFW
  • アプリケーションフィルタリング
  • 実装方法
• NIDS/NIPS
  • IDS/IPSルール作成
  • Snort
  • Suricata
  • Bro
• ネットワークセキュリティ監視
  • ネットワークメタデータの価値
  • 自ネットワークの把握
• サンドボックス
  • インラインのその先
  • エンドポイントでの実装
  • サンドボックスへの潜在的標本の投入
  • マルウェア発火装置
• 暗号
  • 「全てを暗号化する」という考え方
    • 内部と外部
• 無償SSL/TLS証明書プロバイダ
• SSL/SSHインスペクション
• SSL/SSH復号ダンプ
• SSL復号ミラーリング
• 証明書のピン留め（Pinning）
  • マルウェアピン
• HSTS
• 暗号スイートサポート
  • Qualys SSL Labs
• セキュアなリモートアクセス
  • 組織内へのアクセス
  • リモートアクセス向け二要素認証
    • Google Authenticator/TOTP: Open Authentication
  • SSH VPN
  • SSL/TLS VPN
  • Jump Box
• DDoS（Distriubuted Denial-of-Service）
  • Internet of Things (IoT)による影響
  • 攻撃の種類
  • 緩和策

組織は、自身がその存在を把握していないものを保護することはできません。悩ましいのは、重要で機密性の高いデータが至る所に存在することです。そしてこれをさらに複雑にしているのは、これらのデータがオンプレミスやクラウドでホストされた複数のフルアプリケーションスタックによって制御されているからに他なりません。

このセクションでは、重要なデータの保存場所と保護方法を特定することに重点を置いています。保護には、データガバナンスソリューションと、Webアプリケーションファイアウォールやデータベースアクティビティ監視などの完全なアプリケーションスタックセキュリティ対策の使用、およびオンプレミスのハイパーバイザ、クラウドコンピューティングプラットフォーム、Dockerなどのコンテナサービスなどのコアサービスをホストするシステムの保護に重点を置くことが含まれます。

Data-centric securityアプローチでは、組織の中核となるものに焦点を当て、その周りのセキュリティ管理の優先順位を設定します。コントロールを最適化し、重要なものを保護することに集中できる状態にあるにも関わらず、すべてのデータを保護するために多大な時間とコストを費やす理由は何ですか？現実社会では、いくつかのシステムは他のシステムよりもクリティカルで重要なのです。

演習

Webアプリケーションの保護:　Webアプリケーションファイアウォールが提供する防御、検出機能を確認するとともにどこで防御が回避されるかを学習します。そのうえで、それらの回避テクニックを検出しブロックする変更を適用します。

機密データの検出:　機密データの格納場所の特定は困難ですが必要なことです。データの在り処が分からなければそれらを守ることもできません。この演習では、ファイル・システムをクロールして機密データを検索するためのPowerShellスクリプトを作成する手順について学習します。

安全な仮想化:　攻撃者がハイパーバイザまたはコンテナシステムへのホストアクセスを取得することの意味を理解します。また、実行可能なさまざまなハードニング手順やインシデント対応手順についても理解します。

トピック

• アプリケーション（リバース）プロキシー
• フルスタックセキュリティデザイン
  • Webサーバ
  • アプリケーションサーバ
  • DBサーバ
• Webアプリケーションファイアウォール（WAF）
  • ホワイトリストとブラックリスト
  • WAFの回避
  • ノーマライゼーション
  • 動的コンテンツルーティング
• データベースファイアウォール/データベースアクティビティ監視
  • データマスキング
  • 高度なアクセスコントロール
  • 外部流出監視
• ファイルの分類
  • データディスカバリー
    • スクリプトとソフトウェアソリューション
    • データベース、ファイル、フォルダでの機微情報の探索
    • 高度なディスカバリーテクニック（光学文字認識による画像、スキャンファイルの光学文字認識）
  • 分類手法
  • 動的アクセスコントロール
• Data Loss Prevention (DLP)
  • ネットワークベース
  • エンドポイントベース
  • クラウドアプリケーションの実装
• データガバナンス
  • ポリシー実装と適用
  • アクセスコントロールとアプリケーション適用および暗号化
  • 監査と制限
• モバイル機器管理（MDM）とモバイルアプリケーション管理（MAM）
  • セキュリティポリシー
  • 適用手法
  • エンドユーザへの影響
• プライベートクラウドセキュリティ
  • ンプレミスハイパーバイザーのセキュア化（vSphere, Xen、Hyper-V）
  • ネットワークセグメンテーション（論理と物理）
  • VM Escape
  • 可視化の有効性
• パブリッククラウドセキュリティ
  • SaaS、PaaS、IaaS
  • 責任共有モデルの影響
  • クラウドの強みと弱み
  • データの残留とネットワーク可視化の不足
• コンテナセキュリティ
  • オンプレミスまたはクラウド環境におけるコンテナの影響
  • セキュリティの懸念点
  • コンテナエスケープへの対処

今日、一般的なセキュリティスローガンは「信頼するが検証もする」ですが、これはもはや時代遅れです。コンピュータはその場で信頼を計算できるので、組織は「信頼するが検証もする」という観点で考えるのではなく、「確認してから信頼する」を組織内に落し込む必要があります。そうすることで、アクセスがよりスムーズになると同時に適切なレベルで制限することができます。

トラスト（信頼）がもはや暗黙的ではなく証明されなければならないゼロトラストアーキテクチャの実装に焦点を当てます。これにより、可変信頼モデルを使用してアクセス・レベルを動的に変更できます。これにより、ユーザーとデバイスの信頼性が長期にわたって維持されている場合には、必要に応じてセキュリティ制御の強弱をつけて実装することが可能になります。ここでは、既存のセキュリティ・テクノロジーを使用してゼロトラストアーキテクチャを実装し、組織のセキュリティ体制に対する価値とインパクトを最大化することに重点を置いています。

このセクションでは、外部ネットワークか内部ネットワークかにかかわらず、暗号化と認証を使用して強化されたネットワークを作成します。また、高度な防御技術が実装されることで、許可された資産やサービスはその機能を完全に維持しつつ最新のツールからの攻撃を阻止します。

演習

ネットワークの隔離と相互認証:　攻撃者は見ることも対話することもできないものを攻撃することはできません。この演習では、認可されたアセットのみが接続できるようにSPAまたは相互TLSを実装する方法について説明します。

SIEM分析と戦術的検出:　適切なデータとそれらのデータを表示する効果的な機能がなければログ記録と検査は困難です。このラボでは、SIEMシステムを使用して10種類以上の方法で攻撃者を検出する方法を示します。検出機能は重要ですが、その背後にあるロジックも、企業全体で可変信頼条件付きアクセスを実装するために重要です。

先進防衛戦略:　攻撃者がフェアであることがない以上防御者もそうすべきではありません。この演習では、受講者は攻撃を特定するためのシステム設定を施します。言ってみれば内部システムは正常動作し続ける反面攻撃ツールは機能しなくなるよう仕組みを学習します。また、特別な検知ハニートークンを実装することで、攻撃者が公開サイトを複製し、それを攻撃の武器としてあなたのスタッフや外部クライアントに対して使用することから守ります。

トピック

• ゼロトラストアーキテクチャー
  • 境界防御が不適切なわけ
  • ゼロトラストアーキテクチャーとは何か
  • 「信頼するが検証もする」と「確認してから信頼する」の違い
  • 可変アクセスの実装
  • ロギングと検証
  • ネットワークエージェントをベースとしたアイデンティティ管理
• 証明書のローテーション
  • 証明書
  • パスワードとローテーションの危険性
  • エンドポイント
• 侵入を受けた内部資産
  • 攻撃者のピボッティング
  • 内部脅威
• ネットワークのセキュア化
  • 認証とエンドポイントトラフィックの暗号化
  • ドメイン隔離（不正利用者に対するエンドポイントの隠蔽）
  • 相互TLS
  • シングルパケット認証
• TripwireとRed Herring Defenses
  • ハニーネット、ハニーポット、ハニートークン
  • シングルアクセス検知テクニック
  • 攻撃ツールの挙動を変えるプロアクティブ防御
  • 強固な検知機能を施しつつ防御機能を向上させる
• パッチ
  • スクリプトによる自動化
• 堅牢化されたセキュリティセンサーによるエンドポイントの代用
  • エンドユーザ権限の低減
  • アプリケーションのホワイトリスト化
  • ホストハードニング
    • EMET
  • ホストベースIDS/IPS
    • Tripwire
  • エンドポイントファイアウォール
    • ピボット検知
• エンドポイントログの収集、保管、分析量の測定
  • 関連するログの有効化
  • ログ分析の設計（ログ収集）

このコースは、チーム・ベースの 「Design-and-Secure-the-Flag」 コンテストで締めくくります。NetWarsの力を借りて、6日目は、1週間を通して学習した原則を実践で試す1日となります。 皆さんのチームは、このコースを通じて推進される最新のサイバー防衛技術の習得を確実にするために設計された複数のレベルとミッションを通じて前進します。チームは、OSIモデルの7つのレイヤーすべてを活用して、さまざまなコンピュータシステムとデバイスを評価、設計、およびセキュリティ保護します。

トピック

• Capstone　デザイン/検知/防御
  • Defensible Security Architecture
  • 提供されたアーキテクチャーの監査および弱点の特定
  • ツール/スクリプトを使用した初期状態の監査
  • クイック/フルモードでの差分