ラック・セキュリティごった煮ブログ

セキュリティエンジニアがエンジニアの方に向けて、 セキュリティやIT技術に関する情報を発信していくアカウントです。

【お知らせ】2021年5月10日~リニューアルオープン!今後はこちらで新しい記事を公開します。

株式会社ラックのセキュリティエンジニアが、 エンジニアの方向けにセキュリティやIT技術に関する情報を発信するブログです。(編集:株式会社ラック・デジタルペンテスト部)
当ウェブサイトをご利用の際には、こちらの「サイトのご利用条件」をご確認ください。

デジタルペンテスト部提供サービス:ペネトレーションテスト

高得点合格者が教える! 脅威インテリジェンスに関するSANSトレーニング受講のコツ

Diogenes

※こちらの記事は2021年1月15日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です

はじめに

「本物女性とデートできると期待したのに、ICカードAndroidだ」

SANS トレーニング Forensics 578 Cyber Threat Intelligence(以下、CTI) に繰り返し登場する、ロッキードマーティン社のサイバーキルチェーンの覚え方です。講師のヒントをもとに考案しました。(「Real Woman Date とかなんとか、と私の友達はこれを記憶している」と講義中にさわりだけ紹介していただいたものに、私が後半をくっつけたのです。)

どういうことかというと、Real Woman Date-Expectation, (but) IC card-driven Android の頭文字、 R/W/D/E/I/A が、
・偵察(Reconnaissance)
・武器化(Weaponization)
・投入(Delivery)
・エクスプロイト(Exploit)
・インストール(Install)
・C2通信(C2)
・目的遂行活動(Action on Objectives)
という、ロッキード・マーティン社が提唱した、Cyber Kill Chain の頭文字と一致しているのですね。

SANS FOR 578 CTI 概要

こんにちは、今更ですがディオゲネスです。
今回は、私が2020年12月にオンラインで受けたトレーニングコース、SANS FOR 578 CTI について、冒頭のしょうもない語呂合わせよりも役に立つ、受講のコツについて紹介し、今後受ける方の参考になるものにしたいと考えています。

2021年1月に試験を受け、結果は96%の正答率で合格、成績優秀を理由に Sans GIAC Advisory Board グループへの招待を頂くという望外の結果でしたから、的外れなアドバイスにはならないと自負しております。

さて、サイバー脅威のインテリジェンスというと、ともすればセキュリティベンダ等が公表するような、マルウェアが利用する C2 サーバの IP情報、ドメイン情報ばかりを思い浮かべます。しかしそれは、働き方改革を単に残業削減と考えてしまうのと同じようなもので、間違いではないものの本来の意味や趣旨のごく1表面しか表していません。
SANS 578 CTI では、本来のサイバー脅威インテリジェンスが何で、どう活用されるべきか、について、様々なフレームワークを提示して具体的に説明されます。
その最も有名な例が、冒頭に述べた Cyber Kill Chain フレームワークであり、実際に検出した攻撃の兆候や痕跡が、攻撃者のどの活動フェーズに対応するものかを理解するのに役立ちます。これはつまり、「何がわかっていないのか」を分かるということと同じです。

SANS 578 CTI コースの構成を大まかに述べれば、前半がそうした様々なフレームワークの理解、中盤がそうしたフレームワークに沿ったインテリジェンス利用(消費)方法の実践、後半がインテリジェンス情報の生成や発信に関する内容であったように思います。
中身を詳しく紹介することはできませんが、受講者へのアドバイスとして、受講のコツを述べていきたいと思います。

受講のコツ

さて、私が受けた2020年のFOR578 CTI コースは、オンライン開催で、SANSコース恒例通の5日ではなく、4時間 x 10日という変則日程でした。
下記は、それにあわせて編み出された受講術も含まれると思いますが、参考になれば幸いです。

・言語
私は、英語は得意な方だと自負していますが、聴講は日本語で行いました。英語に相当自身がある人でも、プロ通訳の方にかなうレベルではないこと、現実問題として、仕事の連絡や思考が頭の中に入り込んできて、上の空になることもあること、理由はその二点です。
いくら上の空でも、日本語であればなんとなくでも耳からの記憶が残っているものですが、英語では全集中でないと右から左に抜けてしまいます。
英語が得意な方も、変なプライドは捨てて、日本語通訳サービスを使うことを、受講術その1としておすすめします。

・何種類かの付箋を用意しよう
SANS のテキストは膨大です。コースを終えてからやみくもに復習しようとしても、砂漠でビー玉を探すような気持になります。講義をちゃんと聞いていれば、「このチャート、この概念、この用語の区別、ポイントっぽいな」ということはわかります。そのような時、すかさず付箋メモを添付し、とっかかりのポイントを作りましょう。
私は目立つ蛍光色の付箋、ある程度のメモが書ける正方形の付箋、あとで調べる単語のメモ、など文房具を何種類か用意しました。

・鉄は熱いうちに打て
4時間x10日という変則日程だからできたことですが、その日の内に、たとえ10分でも復習の時間を持つようにしました。おすすめは、ノートにキーコンセプト、キーチャート等を手書きで書き写すことです。
たとえば、ロッキードマーティン社の提唱する冒頭のサイバーキルチェーンを書いておけば、頭に入るばかりでなく、試験時の持ち込みノート(SANS試験は、テキストやノートなどの紙資料は持ち込み許可されています)として活用できます。


・IT環境の準備
講義中は、実に様々な Window を開きます。VMWare のイメージも立ち上げるし、Windows上の調査ツールも、VM Linux の中のツールも、講義テキストPDFも、DomainToolsなどのWeb画面も、そして辞書ツールも、講義メモも、という具合です。それに加えて、オンライン開催では Zoom と Slack、私は1台のPCで済ませましたが、2台あってもよかったのかもしれません。 また、大きなディスプレイが必須です。

・積極参加
オンライン開催だった今年は、Slackによるコミュニケーション方法が用意されていました。人間は不思議なもので、些細な事でも発言すれば、「参加」による意識レベル向上、注意力向上がもたらされるように思います。「これが役に立つと思いますか?」などの質問に対し、 Yes でも No でも Great でも I don’t know でも、なんでも答えてみることが重要だと思います。 私達日本人がオンライン Mtg に英語で発言しようと思うと、正直敷居が高い面がありますが、Slack ならそうでもありません。

・コインを狙え
最終日には、自由課題に基づく、グループワーク型のサイバーインテリジェンス情報の調査、アトリビューション(犯人グループ特定)の成果発表プレゼンによる、優秀賞(SANS 配布コイン)争奪戦がありました。これも今回の変則日程ならではだと思いますが、課題は5日目には発表され、一週間の時間が与えられました。
私のチームも真剣そのもの、全員の時間を揃う夜遅い時間にMtg の時間をもうけて意見交換するなどしてコインを狙いましたが、一歩及びませんでした。優勝チームは非常に細かい情報をきちんと整頓していて、その結果は素晴らしいものでした。そのチームは、LACの公表レポートを大いに活用いただいたとのことで、執筆に全く関与していなくても、やはりこういう時にはうれしく思います。
当社の技術レポートは歯ごたえ満点の筈ですが、こうした課題に、資料を丹念に読み込みつつ、本当の仕事だと思って真剣に取り組む、これが最大のコツといえるのかもしれません。

終わりに

宮沢賢治の「銀河鉄道の夜」を読んだことがおありでしょうか。主人公ジョバンニの仕事は文字拾い、つまり、文字を活版で印刷するために、逆さまに刻まれた文字ハンコ(活字)を、一つ一つ印刷したい文章のとおりに拾い集めて並べ、「刷る」ための下準備をすることです。
組み上げた印刷用の文字セットは、一行ごとに行間空白をつくる棒で隔てる必要がありました。
この活版印刷術における「行と行を隔てる棒」を、英語では intel と呼びます。 intelligence とは、書いてあることだけを情報と捉えず、その真偽や狙い、背景といった「情報の行間も読めること」というニュアンスのある概念だと、私は理解しています。

サイバーセキュリティの分野でも、正しい情報を共有するための仕組みを整え、また情報の行間も正確に読む力を身に着け、サイバー攻撃者に頭脳戦で勝利しなければならない、そんな思いを強くした10日間でした。