SECURITY 530

Defensible Security Architecture and Engineering
 

日程 2019年11月25日(月)~30日(土)(6日間)
講義時間 9:30 ~ 17:30
会場 秋葉原UDX 6階 MAP
講師 Ismael Valenzuela(SANS認定インストラクター)>> 講師プロフィール
定員 40名  英語教材・同時通訳
CPEポイント 36 point
受講料 早割価格:720,000円(税抜) 2019年10月11日まで
通常価格:760,000円(税抜)
申込締切日 2019年11月18日(月)
オプション GIAC試験 95,000円(税抜) ※11月より価格改定しました。
OnDemand 95,000円(税抜)
NetWars Continuous 157,000円(税抜)

受講に必要なPC環境

演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。

SEC530 PC設定詳細

SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCが必須です。下記要件を確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。

注意:実習のためのツール類をインストールすることによって、一部のシステムの動作に支障をきたす可能性があります。また、ネットワークへの接続を伴う実習内容があり、故意過失を問わず、自分のノートコンピュータのデータに他の受講生からアクセスされる可能性もあります。いずれの場合もSANSではデータの破損や読み書きに関して責任をとることはできませんので、重要なデータが格納されているノートPCでの実習はお控えください。

ノートパソコンのハードウェア要件
  • CPU:64bit 2Ghz以上のプロセッサ(64bitシステムは必須です)
  • BIOS/UEFI:VT-x、AMD-Vまたはこれと同等のもの
  • RAM:8GB以上。8GB以上のメモリ(最低でも8GB以上が必要で、それ以上の実装メモリを推奨します)
  • NW:802.11(B/G/N/AC)無線LAN、Ethernet NIC(優先)
  • USB:3.0を推奨
  • HDD/SSD:40GB以上の空きスペース
  • その他:OSの管理権限が活用できること(ファイアウォールの停止、設定変更ができること
  • その他:VMware Workstation 11、Workstation Player 7 or Fusion 7以上
  • その他:Linux仮想環境は講義開始とともに配布されます
  • FAQ
  • 年間スケジュール
  • お問い合わせ
受講者インタビュー

SANS Tokyo November 2019

11月25日(月)~11月30日(土)

 

コース概要

注意:「アーキテクチャー」という用語は、世界のさまざまな組織や地域によって異なる解釈がなされています。本コースでは、戦略的および技術的なアプリケーションと使用例に重点を置き、さまざまなインフラストラクチャ・コンポーネントとサイバー防衛技術の微調整と実装を行います。このコースでは、戦略的なソリューションの配置と使用例のみに焦点を当てたいと考えている受講者の方々には適していません。

SEC530:Defensible Security Architecture and Engineeringは、セキュリティに対する総合的で階層化されたアプローチの確立と維持を支援するように設計されています。効果的なセキュリティには、検出、防御、および対応能力におけるバランスが必要ですが、このようなバランスでは、制御をネットワーク上、エンドポイント上、およびクラウド環境内に直接実装する必要があります。1つのソリューションの長所と短所は、戦略的な配置、実装、および微調整によって別のソリューションを補完します。

これらの問題に対処するため、このコースではインフラストラクチャとツールの配置に関する戦略的な概念を組み合わせ、その技術的な用途についても学習します。使用可能なソリューションとその適用方法について説明し、特定します。最も重要な点は、さまざまなソリューションの長所と短所を評価し、多層防御を実現するためにそれらをどのように階層化して配置すればよいかを検討します。

変化する脅威の展望には多くのデバイスの転用だけでなく、考え方を変えることも必要です。これによりファイアウォールなどの従来の境界デバイスはどこに残るのでしょうか。「すべてを暗号化する」といった考え方をすることはネットワーク侵入検知システムなどの機器にとってどんな影響があるのでしょうか。

このコースでは、最新のDefensible Security Architectureの基礎と、その設計方法について学習します。スイッチ、ルータ、ファイアウォールなど、現在のインフラストラクチャ(および投資)の活用に重点が置かれます。受講生は、今日の動的な脅威に直面している組織の予防能力を大幅に向上させるために、これらのデバイスを再構成する方法を習得します。また最新のテクノロジーとその機能、長所、および短所についても詳しく説明します。堅牢なセキュリティインフラストラクチャの構築に役立つ推奨事項とアドバイスを受けることになります。

これは監視コースではありませんが、継続的なセキュリティ監視とうまく連携し、セキュリティアーキテクチャが防御機能を支援するだけでなく、SOCで運用するイベント管理(SIEM)システムに投入可能な重要なログの出力も支援します。

連日実施する複数の実践的なラボにより、コースの重要なポイントが強調され、実践的なスキルを提供することで受講者は通常業務に戻った際、すぐにこの知識を活用することになるでしょう。

本講座受講にあたっての前提

  • ネットワークプロトコルと機器に関する基本的な理解
  • Linuxコマンドラインに関する基本的な業務知識があること

受講対象者

  • セキュリティアーキテクト
  • ネットワークエンジニア
  • ネットワークアーキテクト
  • セキュリティアナリスト
  • シニアセキュリティエンジニア
  • システム管理者
  • テクニカルセキュリティマネージャー
  • CNDアナリスト
  • セキュリティ管理スペシャリスト
  • セキュリティ監視スペシャリスト
  • サイバースレット調査官
※SEC530は、GIAC(GDSA)認定試験対象コースです。

演習

SEC530コースは、多層防御のための複数ソリューションの実装に重点を置いています。これを実現するために、受講者は実践的な演習でセキュリティソリューションを実装し、スキルを強化し、そのソリューションを採用する理由、方法、タイミングについて理解を深めます。講義では以下のような幅広い演習があります。

  • ルータハードニングとその設定の演習
  • エンドポイントとネットワークログとその分析演習
  • WebプロキシーとWAFに関する演習
  • コンテナと仮想化に関する演習
  • スクリプティングの演習

SEC530のWorkbookは、実践的な手法を学習し、適用するための手順を追ったガイドを提供していますが、ガイドに頼らずどこまで達成できるかを確認したいと考える方のために、「挑戦する」アプローチも提供しています。これにより、異なる業務経験を持つ受講者がご自身が取組みたい難易度を選ぶことができるため、無理なく学習を進めていくことが可能です。

優れた学習環境を実現するために、初日から5日目まではSEC530用にカスタマイズされたNetWarsエクスペリエンスが含まれています。このゲームエンジンは、スキルを強化し、コンセプトを学習するための、やりがいのあるFUNを提供します。

  • Day 1
  • Day 2
  • Day 3
  • Day 4
  • Day 5
  • Day 6
Day 1

Defensible Security Architecture and Engineering

このコースの最初のセクションでは、システムとネットワークのハードニングを行うため、ネットワーク・アーキテクチャとレイヤーの全体像から説明を始めます。Richard Bejtlich氏のThe Tao of Network Security Monitoringから引用すると、防御可能なネットワークは「挫折するのではなく、デジタルの自己防衛を奨励する。」ということになります。

このセクションでは、まず従来のネットワークおよびセキュリティアーキテクチャの概要と、それらに共通する弱点について説明します。Defensible securityの考え方は、「正しいものを最初に作れ」です。すべてのネットワークは運用機能を効果的に実行する必要があり、セキュリティはこの目標を補完します。後からセキュリティを改良して組み込むよりも、最初から組み込む方がはるかに効率的なのです。

次に、ネットワークの下位レイヤーの概念について説明します。この中にはインフラストラクチャの強化を目的としてインストラクターが様々な事例を紹介しながら現代の攻撃をどう検知し防御するかを説明していきます。例えば、悪意のあるクライアント間のピボットを効果的に無効にするPVLANや、不正なデバイスを緩和する802.1 XおよびNACを使用します。スイッチを強化するために、特定のCisco IOS構文例も提供されています。

演習

  • 外部分析: 攻撃者がどのようにデータを外部に漏らすか、外部からの侵入をどのように防御して検出するかを理解することに重点が置かれています。
  • Ciscoパスワード: デフォルト設定は、大きな侵害につながる可能性があります。この演習では、ネットワーク・インフラストラクチャのデフォルト設定を変更しない場合の影響について説明します。
  • レイヤ2攻撃の特定: ネットワークセキュリティは向上しましたが、現代の組織ではレイヤ2攻撃がまだ可能です。この演習では、レイヤ2攻撃の特定に重点を置いています。
  • フロー分析: このラボでは、さまざまな形式のフローデータを理解し、それらを適切に使用して許可されていないアクティビティや異常なアクティビティを特定する方法について説明します。

トピック

  • 従来のセキュリティアーキテクチャの欠点
    • 境界/エクスプロイト
    • 真の境界の不足(クラウド、モバイル機器による境界の崩壊)
    • Internet of Things(IoT)
    • ネットワークの中心
  • Defensible Security Architecture
    • 考え方
      • 侵害の推定
      • 境界の崩壊
      • ネットワークの中心
  • モデル
    • ゼロトラストモデル
    • 侵入キルチェーン
    • ダイアモンドモデルを使った侵入分析
  • ソフトウェア定義のネットワークと仮想ネットワーク
  • マイクロセグメンテーション
  • 脅威、脆弱性、データフロー分析
    • 脅威ベクター分析
      • 侵入マッピング
    • 外部流出データの分析
      • 流出マッピング
    • ドミナントデザインの検知
    • アタックサーフェスの分析
    • 可視化分析
  • レイヤー1 ベストプラクティス
    • ネットワーククロゼット
    • ペネトレーションテスティングドロップボックス
    • USBキーボードアタック
  • レイヤー2ベストプラクティス
    • VLAN
      • ハードニング
      • プライベートVLAN
    • レイヤー2 アタックと緩和策
  • NetFlow
    • レイヤー2、3 NetFlow
    • NetFlow、Sflow、Jflow、VPC Flow、Suricata、Endpoint Flow
Day 2

Network Security Architecture and Engineering

インフラストラクチャの強化について説明し、ルーティング機器、ファイアウォール、アプリケーションプロキシなどの概念に入っていきます。ルータのハードニングのために実用的な例を特定のCisco IOSコマンドとともに提供します。

次にインターネットトラフィックの約23%を占めるIPv6(Google調べ)について説明していきます。色々と誤解されているIPv6について正しい知識を持ち、プロトコルを安全に保つための実用的な解決策を取り入れていきます。ファイアーフォールやアプリケーションプロキシについても述べていきます。

演習

  • ルータセキュリティの監査: ルータのセキュリティ問題の特定と軽減に注力します。
  • ルータのSNMPセキュリティ: クラウドルータとやり取りし、SNMPに対する攻撃を実行して、ルータを理解し、最終的には脅威を排除します。
  • IPv6: IPv6としても知られる次世代インターネットプロトコルはしばしば無視され誤解されます。IPv4とIPv6の違いを理解します。
  • プロキシの効果: プロキシは、マルウェアやコマンドおよび制御チャネルに対処するための絶大な効果を持っています。プロキシを設定するさまざまな方法に基づいて家庭に電話をかけるマルウェアがどのように振舞うか説明します。
  • ボーナス演習: 1日の終わりには、ルータの演習があります。受講者がBook 1とBook 2の複数のコンポーネントを組み合わせてルータの実働構成とチューニングを行います。

トピック

  • レイヤー3:ルータのベストプラクティス
    • CIDRとサブネット
  • レイヤー3:攻撃と緩和策
    • IPソースルーティング
    • ICMP攻撃
    • 不許可なルーティング更新
    • ルーティングプロトコルのセキュア化
    • 不許可なトンネリング
  • レイヤー2、3ベンチcマークと監査ツール
    • ベースライン
      • CISecurity
      • Ciscoのベストプラクティス
      • Cisco Autosecure
      • DISA STIG
      • Npper-ng
  • SNMPのセキュア化
    • SNMP Community String Guessing
    • SNMP経由でのCisco IOS設定のダウンロード
    • SNMPのハードニング
    • SNMPv3
  • NTPのセキュア化
    • NTP認証
    • NTP増幅攻撃
  • Bogonフィルタリング、Blackholes、Darknet
    • Bogonフィルタリング
    • Darknet通信の監視
    • IP Blackhole Packet Vacuum
  • IPv6
    • デュアルスタックとHappy Eyeballs
    • IPv6拡張ヘッダ
    • IPv6アドレスとアドレス割当て
  • IPv6のセキュア化
    • IPv6 ファイアウォールサポート
    • IPv6のスキャニング
    • IPv6トンネリング
    • IPv6 RA攻撃と緩和策
  • VPN
    • パスMTU問題
    • VPNにより発生するフラグメント問題
  • レイヤー3、4ステートフルファイアーウォール
    • ルータACL
    • LinuxとBSDファイアーウォール
    • pfSense
    • Stateful
  • プロキシー
    • Webプロキシー
    • SMTPプロキシー
      • フィッシング防御と検知メカニズムの増強
    • ExplicitモードとTransparentモード
    • ForwardモードとReverseモード
Day 3

Network-Centric Security

組織は次世代のファイアウォールからWebプロキシやマルウェアサンドボックスに至るまで、多くのネットワークベースのセキュリティ技術を有するか、その技術へのアクセスが可能になっています。しかし、これらの技術の有効性は、それらの実装状況により影響を受けることになります。アプリケーション制御、ウイルス対策、侵入防止、データ損失防止、その他の自動的な不正検出や詳細なパケット検査エンジンなど、組み込み機能への依存度が高すぎると、防御と検出との間に大きなギャップが生じ、結果として防御に重点を置いた実装になります。

組織がすでに所有しているアプリケーション層のセキュリティソリューションを現代的な考え方で使用することに焦点を当てます。柔軟な考え方を持つ事で、スパム用アプライアンスのような比較的古いものでも類似ドメインを介したフィッシングや他のスプーフィング技術のような現代的な攻撃を検知することが可能になります。繰り返しになりますが、現代の攻撃に対する防御を設計することで、防御と検出の両方の能力が大幅に向上します。

演習

  • ネットワークセキュリティモニタリング: 侵入検知アラートとネットワークメタデータは、自分自身を知り、不正なアクティビティを特定するための総合的なアプローチを提供します。この演習では、NSMを使用してネットワーク上で動作するマルウェアの検出に重点を置いています。
  • NSMのアーキテクチャとエンジニアリング: 適切な可視性とアプリケーション/プロトコルの認識を実現するためにNSMテクノロジーの配置および実装方法について学習します。
  • 暗号化に関する考慮事項: ネットワーク暗号化は攻撃者と防御者の両方からデータを保護します。この演習ではプロキシ、NSM、NGFW、およびその他のソリューションの監査のために、防御側がTLS接続を介して可視性を取り戻す方法に焦点を当てます。

トピック

  • NGFW
    • アプリケーションフィルタリング
    • 実装方法
  • NIDS/NIPS
    • IDS/IPSルール作成
    • Snort
    • Suricata
    • Bro
  • ネットワークセキュリティ監視
    • ネットワークメタデータの価値
    • 自ネットワークの把握
  • サンドボックス
    • インラインのその先
    • エンドポイントでの実装
    • サンドボックスへの潜在的標本の投入
    • マルウェア発火装置
  • 暗号
    • 「全てを暗号化する」という考え方
      • 内部と外部
  • 無償SSL/TLS証明書プロバイダ
  • SSL/SSHインスペクション
  • SSL/SSH復号ダンプ
  • SSL復号ミラーリング
  • 証明書のピン留め(Pinning)
    • マルウェアピン
  • HSTS
  • 暗号スイートサポート
    • Qualys SSL Labs
  • セキュアなリモートアクセス
    • 組織内へのアクセス
    • リモートアクセス向け二要素認証
      • Google Authenticator/TOTP: Open Authentication
    • SSH VPN
    • SSL/TLS VPN
    • Jump Box
  • DDoS(Distriubuted Denial-of-Service)
    • Internet of Things (IoT)による影響
    • 攻撃の種類
    • 緩和策
Day 4

Data-Centrice Security

組織は、自身がその存在を把握していないものを保護することはできません。悩ましいのは、重要で機密性の高いデータが至る所に存在することです。そしてこれをさらに複雑にしているのは、これらのデータがオンプレミスやクラウドでホストされた複数のフルアプリケーションスタックによって制御されているからに他なりません。

このセクションでは、重要なデータの保存場所と保護方法を特定することに重点を置いています。保護には、データガバナンスソリューションと、Webアプリケーションファイアウォールやデータベースアクティビティ監視などの完全なアプリケーションスタックセキュリティ対策の使用、およびオンプレミスのハイパーバイザ、クラウドコンピューティングプラットフォーム、Dockerなどのコンテナサービスなどのコアサービスをホストするシステムの保護に重点を置くことが含まれます。

Data-centric securityアプローチでは、組織の中核となるものに焦点を当て、その周りのセキュリティ管理の優先順位を設定します。コントロールを最適化し、重要なものを保護することに集中できる状態にあるにも関わらず、すべてのデータを保護するために多大な時間とコストを費やす理由は何ですか?現実社会では、いくつかのシステムは他のシステムよりもクリティカルで重要なのです。

演習

Webアプリケーションの保護: Webアプリケーションファイアウォールが提供する防御、検出機能を確認するとともにどこで防御が回避されるかを学習します。そのうえで、それらの回避テクニックを検出しブロックする変更を適用します。

機密データの検出: 機密データの格納場所の特定は困難ですが必要なことです。データの在り処が分からなければそれらを守ることもできません。この演習では、ファイル・システムをクロールして機密データを検索するためのPowerShellスクリプトを作成する手順について学習します。

安全な仮想化: 攻撃者がハイパーバイザまたはコンテナシステムへのホストアクセスを取得することの意味を理解します。また、実行可能なさまざまなハードニング手順やインシデント対応手順についても理解します。

トピック

  • アプリケーション(リバース)プロキシー
  • フルスタックセキュリティデザイン
    • Webサーバ
    • アプリケーションサーバ
    • DBサーバ
  • Webアプリケーションファイアウォール(WAF)
    • ホワイトリストとブラックリスト
    • WAFの回避
    • ノーマライゼーション
    • 動的コンテンツルーティング
  • データベースファイアウォール/データベースアクティビティ監視
    • データマスキング
    • 高度なアクセスコントロール
    • 外部流出監視
  • ファイルの分類
    • データディスカバリー
      • スクリプトとソフトウェアソリューション
      • データベース、ファイル、フォルダでの機微情報の探索
      • 高度なディスカバリーテクニック(光学文字認識による画像、スキャンファイルの光学文字認識)
    • 分類手法
    • 動的アクセスコントロール
  • Data Loss Prevention (DLP)
    • ネットワークベース
    • エンドポイントベース
    • クラウドアプリケーションの実装
  • データガバナンス
    • ポリシー実装と適用
    • アクセスコントロールとアプリケーション適用および暗号化
    • 監査と制限
  • モバイル機器管理(MDM)とモバイルアプリケーション管理(MAM)
    • セキュリティポリシー
    • 適用手法
    • エンドユーザへの影響
  • プライベートクラウドセキュリティ
    • ンプレミスハイパーバイザーのセキュア化(vSphere, Xen、Hyper-V)
    • ネットワークセグメンテーション(論理と物理)
    • VM Escape
    • 可視化の有効性
  • パブリッククラウドセキュリティ
    • SaaS、PaaS、IaaS
    • 責任共有モデルの影響
    • クラウドの強みと弱み
    • データの残留とネットワーク可視化の不足
  • コンテナセキュリティ
    • オンプレミスまたはクラウド環境におけるコンテナの影響
    • セキュリティの懸念点
    • コンテナエスケープへの対処
Day 5

ゼロトラストアーキテクチャー
(既に自ネットワークに侵入者がいることを想定した動き)

今日、一般的なセキュリティスローガンは「信頼するが検証もする」ですが、これはもはや時代遅れです。コンピュータはその場で信頼を計算できるので、組織は「信頼するが検証もする」という観点で考えるのではなく、「確認してから信頼する」を組織内に落し込む必要があります。そうすることで、アクセスがよりスムーズになると同時に適切なレベルで制限することができます。

トラスト(信頼)がもはや暗黙的ではなく証明されなければならないゼロトラストアーキテクチャの実装に焦点を当てます。これにより、可変信頼モデルを使用してアクセス・レベルを動的に変更できます。これにより、ユーザーとデバイスの信頼性が長期にわたって維持されている場合には、必要に応じてセキュリティ制御の強弱をつけて実装することが可能になります。ここでは、既存のセキュリティ・テクノロジーを使用してゼロトラストアーキテクチャを実装し、組織のセキュリティ体制に対する価値とインパクトを最大化することに重点を置いています。

このセクションでは、外部ネットワークか内部ネットワークかにかかわらず、暗号化と認証を使用して強化されたネットワークを作成します。また、高度な防御技術が実装されることで、許可された資産やサービスはその機能を完全に維持しつつ最新のツールからの攻撃を阻止します。

演習

ネットワークの隔離と相互認証: 攻撃者は見ることも対話することもできないものを攻撃することはできません。この演習では、認可されたアセットのみが接続できるようにSPAまたは相互TLSを実装する方法について説明します。

SIEM分析と戦術的検出: 適切なデータとそれらのデータを表示する効果的な機能がなければログ記録と検査は困難です。このラボでは、SIEMシステムを使用して10種類以上の方法で攻撃者を検出する方法を示します。検出機能は重要ですが、その背後にあるロジックも、企業全体で可変信頼条件付きアクセスを実装するために重要です。

先進防衛戦略: 攻撃者がフェアであることがない以上防御者もそうすべきではありません。この演習では、受講者は攻撃を特定するためのシステム設定を施します。言ってみれば内部システムは正常動作し続ける反面攻撃ツールは機能しなくなるよう仕組みを学習します。また、特別な検知ハニートークンを実装することで、攻撃者が公開サイトを複製し、それを攻撃の武器としてあなたのスタッフや外部クライアントに対して使用することから守ります。

トピック

  • ゼロトラストアーキテクチャー
    • 境界防御が不適切なわけ
    • ゼロトラストアーキテクチャーとは何か
    • 「信頼するが検証もする」と「確認してから信頼する」の違い
    • 可変アクセスの実装
    • ロギングと検証
    • ネットワークエージェントをベースとしたアイデンティティ管理
  • 証明書のローテーション
    • 証明書
    • パスワードとローテーションの危険性
    • エンドポイント
  • 侵入を受けた内部資産
    • 攻撃者のピボッティング
    • 内部脅威
  • ネットワークのセキュア化
    • 認証とエンドポイントトラフィックの暗号化
    • ドメイン隔離(不正利用者に対するエンドポイントの隠蔽)
    • 相互TLS
    • シングルパケット認証
  • TripwireとRed Herring Defenses
    • ハニーネット、ハニーポット、ハニートークン
    • シングルアクセス検知テクニック
    • 攻撃ツールの挙動を変えるプロアクティブ防御
    • 強固な検知機能を施しつつ防御機能を向上させる
  • パッチ
    • スクリプトによる自動化
  • 堅牢化されたセキュリティセンサーによるエンドポイントの代用
    • エンドユーザ権限の低減
    • アプリケーションのホワイトリスト化
    • ホストハードニング
      • EMET
    • ホストベースIDS/IPS
      • Tripwire
    • エンドポイントファイアウォール
      • ピボット検知
  • エンドポイントログの収集、保管、分析量の測定
    • 関連するログの有効化
    • ログ分析の設計(ログ収集)
Day 6

Hands-On Secure-the-Flagチャレンジ

このコースは、チーム・ベースの 「Design-and-Secure-the-Flag」 コンテストで締めくくります。NetWarsの力を借りて、6日目は、1週間を通して学習した原則を実践で試す1日となります。 皆さんのチームは、このコースを通じて推進される最新のサイバー防衛技術の習得を確実にするために設計された複数のレベルとミッションを通じて前進します。チームは、OSIモデルの7つのレイヤーすべてを活用して、さまざまなコンピュータシステムとデバイスを評価、設計、およびセキュリティ保護します。

トピック

  • Capstone デザイン/検知/防御
    • Defensible Security Architecture
    • 提供されたアーキテクチャーの監査および弱点の特定
    • ツール/スクリプトを使用した初期状態の監査
    • クイック/フルモードでの差分

本サイトに記載されている、各会社名、各製品名は、各社の商標または登録商標です。