FORENSICS 578

Cyber Threat Intelligence
 

日程 2017年10月16日(月)~20日(金)(5日間) ※日程を変更いたしました
講義時間 9:30 ~ 17:30
会場 秋葉原UDX 6階 MAP
講師 Jess Garcia(SANSプリンシパルインストラクター)>> 講師プロフィール
定員 40名  英語教材・同時通訳
CPEポイント 30 point
受講料 通常価格:570,000円(税抜)
オプション OnDemand 73,000円(税抜)
NetWars Continuous 145,000円(税抜)
10月26日~27日開催 Core NetWars Experience 無料
開催終了

受講に必要なPC環境

演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。

FOR578 PC設定詳細

SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCが必須です。下記要件を確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。

注意:実習のためのツール類をインストールすることによって、一部のシステムの動作に支障をきたす可能性があります。また、ネットワークへの接続を伴う実習内容があり、故意過失を問わず、自分のノートコンピュータのデータに他の受講生からアクセスされる可能性もあります。いずれの場合もSANSではデータの破損や読み書きに関して責任をとることはできませんので、重要なデータが格納されているノートPCでの実習はお控えください。

利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。VMwareはWindows、Linux用に、ご利用になるノートPCの環境が64bitのゲストOSを動作させることができるかどうか確認するフリーツールを提供しています。また、こちらのページで、CPUとOSが64bitをサポートしているか確認する方法が説明されていますので参考にしてください。Macユーザーの方は、サポートページをご確認ください。

事前にVMware製品をダウンロードしてインストールしてください。VMwareWorkstation 11VMware Fusion 7VMware Player 7以降のバージョンを選択します。VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。VMware Playerは無償でライセンスも必要ありませんので、多くの受講者の方はVMware Playerをお使いのようです。

ノートパソコンのハードウェア要件
  • CPU:64bit Intel i5 x64 2.0+ GHzプロセッサ以上(64bit必須)
  • RAM:最低8GB以上(より多くを推奨)
  • HDD/SSD:80GB以上の空き容量
  • USB:3.0推奨
  • ネットワーク:802.11 b, g, n もしくはac 規格に対応した無線LAN
  • OS:フルパッチ済Windows 7以上、Mac OSX (10.10+)もしくは2014年以降にリリースされたLinux OSの最新版。VMware製品が正常に動くことを確認しておくこと。Linux OSの場合は、カーネルモジュールもしくはFUSEモジュールを使用し、ExFATパーティションにアクセスができること。Windows OS以外をホストOSとして使用する場合は、別途Windows Virtual System(Win7以降)を用意しておくことが必須要件
  • その他:USBメモリの読込ができること
  • その他:ホストOSのローカルアドミニストレーター権限
  • その他:ウィルス対策製品の停止、解除ができること
  • その他:ファイアウォールの停止、設定変更ができること
  • その他:BIOS設定が変更できること
ノートパソコンのソフトウェア要件(下記を事前にインストールしてください)

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。

 

コース概要

攻撃者から教わることは膨大です!

間違いなく、現在のコンピューターネットワーク防衛とインシデントレスポンスの重要な要素として、インテリジェンスとカウンターインテリジェンスが含まれます。アナリストは、自分たちのコンピューターとネットワークそして保有するデータを守るために、確実に理解し活用しなければなりません。

FOR578は、ネットワークディフェンダーとインシデントレスポンダーに次のスキルを養います。

  • APTを検知、対応、防御、打ち負かすためにスレットインテリジェンスを構築し開発する
  • 高度な攻撃者による成功または失敗した侵入行為に関して全分析をする
  • 侵入キャンペーン、スレットアクター、背後の国家組織をつなぎあわせる
  • APT攻撃者グループに関するインテリジェンスを管理、共有、受信する
  • 自分たちの所有するデータソースからインテリジェンスを生成し、内容に応じて共有する
  • APTによる侵入からインテリジェンスを特定、展開、活用する
  • 保有するインテリジェンスを拡張し、攻撃者グループのプロファイリングを構築する
  • インテリジェンスを活用し、将来の侵入に対応してより良い防御を行う

従来型のネットワーク防御、たとえばIDSやウィルス対策製品は脆弱性リスクに対して注力しています。また古典的なインシデントレスポンス手法は、侵入されてから行われる前提になっています。しかし、コンピューターネットワーク侵入の手口は進化かつ洗練されてきており、近年のネットワーク化された組織が直面している脅威には不十分なアプローチであるといえるでしょう。現在の攻撃者たちは彼らの目標を達成するために高度なツールとテクニックを使用して、ほとんどの従来型コンピュータネットワーク防御の仕組みを回避しています。そのため、侵入が検知できず、かなり長い期間ネットワークに気づかれないまま侵入し続けることになっています。

攻撃者に関するナレッジを収集・分類・開発すること、一般にこれらをサイバースレットインテリジェンスといいますが、ネットワークディフェンダーにとっては、対策の優先度に関する情報を提供することになります。攻撃者が侵入を試みた情報を活用することで、攻撃が成功する可能性を減少させる知見を得ることができます。レスポンダーにおいては、最新かつ進化した攻撃を観測して正確かつタイムリーで詳細な情報を得る必要があるとともに、収集した情報を活用して防御体制の向上に結び付ける方法を理解する必要があります。スレットインテリジェンスは、増加傾向にある洗練されたAPT攻撃に対抗する上で、組織の対応能力と検知能力を飛躍的に向上させます。

標的型攻撃に際して、組織はインテリジェンスで武装した一流かつ先端的なインシデントレスポンスが必要になり、脅威に対抗するためには攻撃者がどのように侵入を試みるのかを理解する必要があります。FOR578では、あなたとそのチームを訓練し、侵入やデータ侵害といった攻撃を検知し被害範囲を特定して柔軟に対抗できるスキルを養成します。

本講座受講にあたっての前提

FOR578は初心者向けのコースではありません。受講生はインシデントレスポンスに関してよく理解している必要があり、高度な情報セキュリティ技術を身につけている必要があります。たとえば、FOR508/FOR572/FOR610/ICS515といったコースで培われるスキル、もしくはその実務経験が必須要件となります。FOR578は、4年以上の実務経験を持つSANS過去受講者にとって解析スキルを向上させるコースとして、パーフェクトなトレーニングでしょう。

また、追加の必須要件として、UnixとWindowsの両方のコマンドライン操作に慣れている必要があります。FOR578に参加する前に、少なくとも下記コースのうち1つを前もって受講していることを強くお勧めします。もしくは、SEC504/SEC503/SEC511レベルのインシデントレスポンスに関する知識・スキルを実務経験で補えることが必要です。もし、これらの前提条件を満たない場合は、おそらく本コースのペースに付いていけないでしょう。

  • SEC504 - Hacker Tools, Techniques, Exploits and Incident Handling
  • SEC503 - Intrusion Detection In-Depth
  • SEC511 - Continuous Monitoring and Security Operations
  • FOR508 - Advanced Incident Response
  • FOR572 - Advanced Network Forensics
  • FOR526 - Memory Forensics In-Depth
  • FOR610 - REM: Malware Analysis
  • ICS515 - ICS Active Defense and Incident Response

前提条件に関して質問や懸念がある方は、コース開発者に連絡してください(FOR578-Prereq@sans.org)。

受講対象者

  • インシデントレスポンスチームメンバー
  • デジタルフォレンジックアナリスト
  • 情報セキュリティプロフェッショナル
  • FOR408、FOR508、FOR572、FOR610を受講された方

講義内容の一例

  • スピアフィッシングメール分析とそこからのインテリジェンス抽出
  • 悪意あるPDF添付ファイルの分析とそこからのインテリジェンス抽出
  • Redlineによる侵害されたシステムの解析
  • C2ビーコンと横展開の特定
  • 基本的なOSINTピボットとインディケーターのマッピング
  • Excelでの集約方法とピボット
  • Maltegoによる知的な集約方法とピボット
  • 解析者のバイアス調和
  • ACH、国家関与の属性付け
  • KGB、マイコンピューター、そして自分
  • Recorded Futureによるオープンソースインテリジェンス
  • IOC作成
  • 重要なスレットインテリジェンスの分析報告書作成
  • アクティブサイバーディフェンスのサイクルの中で内部のスレットインテリジェンスを共有する
コース開発者より

このコースを教える理由は、私の仲間を作ることです。攻撃者の視点を活用することによりネットワークを防御する方法を理解しており、私が信頼できる人物を育成することを目的としています。このコースには、私自身の経験から新しい仲間として出会いたい人にベースラインとして知っておいて欲しい知識を詰め込んであります。
- Mike Cloppert

スレットインテリジェンスの価値を考え直したとき、ほとんどの人・組織は次の3つの質問に到るでしょう。スレットインテリジェンスとは何か、いつになったら使えるようになるのか、そしてそれはどう使えばいいのか。このコースはこの質問に的確に答えるものであり、さらに重要なこととしてコミュニティを広げるようスレットインテリジェンスを活用する方法を教えます。
- Robert M. Lee

  • Day 1
  • Day 2
  • Day 3
  • Day 4
  • Day 5
Day 1

サイバースレットインテリジェンス(侵入)

サイバースレットインテリジェンス(CTI)は急速に拡大している分野です。サイバースレットインテリジェンスについて、最初にもっとも基礎的な要素と考え方を定義し、専門用語について理解していきます。インテリジェンス用語、スパイ活動に関する技術、およびインパクトに関する重要なポイントを理解することは、サイバースレットインテリジェンスの理解と使用には不可欠です。このセクションでは、インテリジェンス、スパイ活動に関する技術、およびサイバースレットインテリジェンスのレベルの最も重要な概念、および組織に加えることができる価値について紹介します。すべてのセクション同様に、受講生には演習をして理解を深めてもらいます。

演習

  • インシデント対応においてIOC(Indicators of Compromise:脅威が存在することを示す痕跡)を使用する
  • OpenIOCでIOCを作成する
  • CRITSとThreat_NoteにIOCを格納する
  • 戦略的脅威モデリングとVERIS

トピック

Case-Study: Carbanak, "The Great Bank Robbery"

Understanding Intelligence
  • Intelligence Lexicon and Definitions
  • Traditional Intelligence Cycle
  • Sherman Kent and Intelligence Tradecraft
Understanding Cyber Threat Intelligence
  • Defining Threats
  • Understanding Risk
  • Cyber Threat Intelligence and Its Role
  • The Expectation of Organizations and Analysts
  • Indicators of Compromise
Tactical Threat Intelligence Introduction
  • The Role of a Tactical Threat Intelligence Analyst
  • Expected Skills and Tradecraft
  • The Kill Chain and Intrusion Analysis
  • The Indicator Lifecycle
Operational Threat Intelligence Introduction
  • The Role of an Operational Threat Intelligence Analyst
  • The Need for Information Sharing and Peers
  • Models and Methods for Managing Intelligence
  • The Diamond Model
  • Campaigns and Threat Actors
Strategic Threat Intelligence Introduction
  • The Role of a Strategic Threat Intelligence Analyst
  • Threat Modeling
  • Organizational Change and Security Posturing
  • Event Recording and Incident Sharing (VERIS)
Day 2

テクニカルスレットインテリジェンス:侵入解析のためのキルチェイン

戦術的なサイバースレットインテリジェンスでは、アナリストはインジケータと侵害を侵入解析から抽出し分類する必要があります。これらのアクションは、組織に関連する観察や事実に基づいて、他のすべてのレベルのスレットインテリジェンスを有効にします。敵の侵入を評価するために最も一般的に使用されるモデルの1つは、「キル・チェイン」です。このモデルは、敵対者が成功するために達成しなければならないステップを理解するためのフレームワークです。
このセクションでは、戦術的スレットインテリジェンスが、キルチェインをガイドとして成功するために必要なスキルを開発するのに役立ちます。受講生は、侵入について分析して理解を深めるために、オープンソースの情報収集技術でスパイ活動を抽出することになります。また、敵対活動の最初の通知からイベント分析の完了までの多段階の侵入を通して理解を深めます。このプロセスが敵対的キャンペーンを構造化し定義することの重要性についても強調しています。

演習

  • ログとネットワークトラフィックからの指標の収集
  • IOCと新たな情報の特定によってホストを抽出する
  • 組織全体の脅威を理解する
  • Diamondとキルチェインマッピング
  • Maltegoオープンソースインテリジェンス

トピック

Kill Chain Courses of Action
  • Passively Discovering Activity in Historical Data and Logs
  • Detecting Future Threat Actions and Capabilities
  • Denying Access to Threats
  • Delaying and Degrading Adversary Tactics and Malware
Tactical Threat Intelligence Requirements
  • Preparing Your Organization for Threat Intelligence
  • The Role of Logs, Packet Capture, and Other Data Sources
  • Keys to Success with Technology and Security Products
Kill Chain Deep Dive
  • Scenario Introduction
  • Notification of Malicious Activity
  • Pivoting Off of a Single Indicator to Discover Adversary Activity
  • Identifying and Categorizing Malicious Actions
  • Using Network and Host-Based Data
  • Interacting with Incident Response Teams
  • Interacting with Malware Reverse Engineers
  • Effectively Leveraging Requests for Information
Handling Multiple Kill Chains
  • Identifying Different Simultaneous Intrusions
  • Managing and Constructing Multiple Kill Chains
  • Linking Related Intrusions
Pivoting to Open-Source Intelligence
  • Data Pivoting
  • Most Pivotable Indicators
  • Maltego and Data Transforms
  • Enriching Internal Data
Day 3

オペレーショナルスレットインテリジェンス:キャンペーン、オープンソースインテリジェンス

敵対的キャンペーンやスパイ活動の技術への理解を深めるには、個々の侵入とデータポイントをつなぎ合わせる必要があります。どのような規模の組織であれ、オープンソースのインテリジェンス(OSINT)による内部分析から、既知の情報を補完して情報を充実させ、検証する必要があります。これにより、セキュリティ担当者は専属的な敵からより完全に、そして一貫してその環境を守ることの理解へとつながります。
このセクションでは、キャンペーンの内容、重要な理由、定義方法について学習します。このベースラインインテリジェンスから、現在の状況とのギャップや収集した情報を元に、オープンソースのリソースと方法を通じて目的達成のために特定されます。オープンソースデータリポジトリの一般的なタイプと実装、およびそれらの使用については、クラスルームでの議論と演習を通じて詳細に調査します。これらのリソースは、キャンペーンやアクターをさらに明らかにする、曖昧なパターンを含む侵入の可能性に関して、膨大な量のインテリジェンスを生成する可能性があります。高次分析を通じてこれらのパターンをデータ内に公開するためのツールとテクニックは、ストーリーと動作の形で実証されます。結果としてインテリジェンスの適用は、相関、行動のコース、キャンペーンの組み立てなどのために明確にされます。

演習

  • DomainToolsでのOSINTおよびドメイン抽出
  • Maltegoのインテリジェンス集約と抽出
  • Excelでのデータの可視化と抽出
  • キャンペーンヒートマップの作成

トピック

Case Study: Axiom

OSINT Pivoting, Link Analysis, and Domains
  • Utilizing Temporal Analysis to Validate OSINT
  • Adversary Infrastructure Identification
OSINT From Malware
  • VirusTotal Uses and Limitations
  • Malware Configuration Data Analysis

Case Study: GlassRAT

Intelligence Aggregation and Data Visualization
  • Common Cyber Threat Intelligence Analytical Mistakes
  • Maltego and Casefile Data Visualization
Defining Campaigns
  • Key Indicators and Campaign Identification
  • Behavioral Tactics, Techniques, and Procedures
  • Campaign Naming and Identification
Communicating About Campaigns
  • Incident One-Sliders and Metrics
  • Developing Campaign Heatmaps
  • Communicating to Executives about Cyber Threat Intelligence
Day 4

オペレーショナルスレットインテリジェンス:インテリジェンスの共有

多くの組織はインテリジェンスを共有しようとしますが、共有情報の価値、その限界、各オーディエンスに適したフォーマットを理解することはしばしば敬遠されます。このセクションでは、受講生に利用可能なオープンソースツールとプロフェッショナルツールの両方を認識し、内部と外部のサイバースレットインテリジェンスの各レベルの標準を共有することに焦点を当てます。次にYARAについて学び、YARAルールを生成して、インシデント対応者、セキュリティ運用担当者、マルウェアアナリストを支援する方法を学びます。そしてSTIXの実践的な経験を得るとともに、組織間で情報を共有するためのCybOXとTAXIIのフレームワークを理解します。最後に、組織が永続的な脅威に対処するために必要な変更を行い、ビジネスオペレーションの保護を支援するために、レポート、ブリーフィング、分析評価の形で、戦略レベルでインテリジェンスを共有することに焦点を当てます。

演習

  • RecordedFutureのOSINTの大規模インデックス作成と分析
  • ThreatConnectでのインテリジェンスの保存と共有
  • YARAルールの開発
  • STIXフレームワークを用いたIOCの抽出と開発
  • スレットインテリジェンスレポートの重要な分析

トピック

Storing Threat Intelligence
  • Storing Platform Considerations
  • Best Practices for Managing Intelligence
  • Malware Information Sharing Platform
  • Professional Tools and ThreatConnect
Sharing: Tactical
  • Understanding the Audience and Consumer
  • Threat Data Feeds and Their Limitations
  • YARA
  • Advanced YARA Concepts and Examples

Case Study: Sony Attack

Sharing: Operational
  • Partners and Collaboration
  • Government Intelligence Sharing
  • Traffic Light Protocol Standard
  • Information Sharing and Analysis Centers
  • CybOX, STIX, and TAXII
  • STIX Elements and Projects
  • TAXII Implementations
Sharing: Strategic
  • Making the Business Case for Security
  • Expectations of Executives and Decision-makers
  • Threat Intelligence Reports
  • Estimative Language
  • Confidence Assessments
  • Tips on Effective Report Writing
  • Critical Evaluating Intelligence Reports
Day 5

ストラテジックスレットインテリジェンス:高次分析

どのようなレベルでのインテリジェンス分析であっても、そのコアコンポーネントは、バイアスに影響されることなく、情報を分析する能力です。サイバースレットインテリジェンスの戦略的レベルでは、批判的に考える必要のあるスキルは非常に重要で、組織全体または国レベルに影響を及ぼす可能性があります。このセクションでは、論理的な誤謬や認知的な偏見、そしてそれらに影響されないための方法について学習します。それらは、国家の特性について、それに意味があるケース、それが単なる錯乱のケースなどについても学びます。受講生は、以前に特定されたキャンペーンから国レベルでの特性について学び、サイバースレットインテリジェンス業界のこれまでの全体像を払拭します。クラスの最後には、組織に大きな変更を加えるために、スレットインテリジェンスを消費し、実行可能な対応策の整理を行うことについての議論で終わります。

演習

  • メディアレポーティングにおける認知バイアスの特定
  • 競合する仮説分析 - HAVEX
  • 競合する仮説分析 - ウクライナのサイバー攻撃
  • インテリジェンスの収集と分析 - ウクライナのサイバー攻撃

トピック

Logical Fallacies and Cognitive Biases
  • Identifying and Defeating Bias
  • Logical Fallacies and Examples
  • Common Cyber Threat Intelligence Informal Fallacies
  • Cognitive Biases and Examples
Analysis of Competing Hypotheses
  • Analysis of Competing Hypotheses Steps
  • Evoltin Threat Scenario Walkthrough

Case Study: Stuxnet

Human Elements of Attribution
  • Attribution Uses and Limitations
  • When to Seek or Avoid Attribution
  • Intrusion to Campaign Attribution
Nation-State Attribution
  • Geopolitical Motivations to Cyber Attacks
  • Espionage and Sabotage
  • Attributing Campaigns to National Actors

Case Study: Sofacy

A Look Backward
  • Campaigns Attributed to Nation-States
  • Lessons Learned from National-level Attribution

Case Study: Cyber Attack on the Ukrainian Power Grid

Active Defense
  • Intelligence Generation vs. Intelligence Consumption
  • Consuming Intelligence in Security Operations

本サイトに記載されている、各会社名、各製品名は、各社の商標または登録商標です。