Threat Hunting KSAs Tier-1

# Threat Hunting KSAs Tier-1 スレットハンターに求められる Knowledge, Skill, Ability をまとめたものです。発祥はNICEフレームワークとしてリリースされたもので、そこからJNSAでSecBokに再編されたものを更に私の観測範囲の業務に合わせて修正しています。 IPA基本情報程度の前提知識があればこのスキルセットを6ヵ月で習得可能で、その後6ヵ月の実務OJTを経験すれば、合計1年でセキュリティアナリストとして一通りの事が出来るようになります。 # 一般知識最初に着手すべき項目です。3か月でこれらを網羅する事を想定しています。 - [ ] Amazon、Google、Microsoftなどが提供する主なオンラインサービスの概要を知っている - [ ] wordpress、joomlaなどで作成されたWebサイトの概要を知っている - [ ] javascriptやpowershellなどのクライアントサイドスクリプトで実現できる事を知っている - [ ] サーバサイドスクリプトで実現できる事を知っている - [ ] TCP/IPにおいてデータリンクからアプリケーションまでの通信確立の流れを知っている - [ ] SMTPにおいてクライアントからMTAまでの通信確立の流れを知っている - [ ] Base64やPunycodeなどのエンコード方式を知っている - [ ] DNSにおいてコンテンツサーバからキャッシュサーバまで情報が伝搬する流れを知っている - [ ] Webプロキシサーバにおいて代理アクセスが成立するまでの流れを知っている - [ ] WindowsネットワークにおいてSMBプロトコルが担う役割を知っている - [ ] HTTPSにおいてサーバ証明書から読み取れる情報を知っている - [ ] HTTPにおいてヘッダから読み取れる情報を知っている - [ ] DNSにおいて各レコードタイプの意味と具体的なレコードの記述例を知っている - [ ] HTTPにおいてレスポンスコードが示す意味を知っている # セキュリティ知識最初に着手すべき項目です。3か月でこれらを網羅する事を想定しています。 - [ ] Mitre ATT&CK に定義されたサイバー攻撃のライフサイクルを知っている - [ ] Mitre AtTT&CKに定義されたサイバー攻撃の主な手法を知っている - [ ] Mitre AtTT&CKに定義されたサイバー攻撃の主な検知・防御方法を知っている - [ ] 国内で数週間以内に発生した主なサイバー攻撃の影響と検知方法を知っている - [ ] 過去に流行した主なサイバー攻撃の影響、検知方法、防御方法を知っている # 脅威の判定一般知識とセキュリティ知識の下地が出来たら着手すべき項目です。最初の6ヵ月で全体を網羅できると理想的ですが、その後のOJTでも更に知識を深めることを想定しています。 - [ ] マルウェアの通信を判定できる - [ ] 不正なサイトへの通信を判定できる - [ ] スパムメールを判定できる - [ ] 外部へのデータアップロードを判定できる - [ ] 調査対象ネットワークに存在する、サーバとクライアントを通信内容から識別できる - [ ] 調査対象ネットワークに存在する、脅威に対して脆弱なサービスを識別できる - [ ] 「完璧に安全なもの以外は不審」の原則に沿って、未知の脅威に向き合う事ができる - [ ] 設定ミスや休眠ドメインのような潜在的な脅威を識別できる # 原因の追究一般知識とセキュリティ知識の下地が出来たら着手すべき項目です。最初の6ヵ月で全体を網羅できると理想的ですが、その後のOJTでも更に知識を深めることを想定しています。 - [ ] 時系列データを活用して不審な挙動のきっかけとなった通信を特定できる - [ ] referer、user-agent、ip.src等の任意のメタデータを活用して不正な挙動の経緯を特定できる - [ ] 一つの不審な挙動に対して、IPアドレス、プロトコル、DNSクエリ等の異なる側面から全容を把握できる - [ ] 任意のOSINTを活用して、不審な挙動が発生した背景を特定できる # 影響範囲の特定一般知識とセキュリティ知識の下地が出来たら着手すべき項目です。最初の6ヵ月で全体を網羅できると理想的ですが、その後のOJTでも更に知識を深めることを想定しています。 - [ ] 時系列データを活用して、不審な挙動を取るクライアントのその後の動きを追跡できる - [ ] レピュテーション情報を読み解き、想定される影響範囲を把握できる - [ ] サイバー攻撃のライフサイクルに基づき、脅威がどの段階にあるのか特定できる # 対策の提案一般知識とセキュリティ知識の下地が出来たら着手すべき項目です。最初の6ヵ月で全体を網羅できると理想的ですが、その後のOJTでも更に知識を深めることを想定しています。 - [ ] インシデントレスポンスの原則に基づき、脅威に応じた対策を提案出来る - [ ] 既知のセキュリティアドバイザリに基づいた対策を提案できる - [ ] プロフェッショナルとして、エビデンスに基づく説得力ある対策を提案できる - [ ] お客様に応じた、実現可能で効果的な対策を提案できる # 基本オペレーション分析ツールの使い方に関する項目です。4か月目以降に着手することを想定しています。 - [ ] 分析ツールを使って目的のログやパケットにリーチできる - [ ] 分析ツールを使ってログやパケットを深掘り調査出来る - [ ] 分析ツールを使って一つの事象を示すログやパケットから別の情報へピボット出来る - [ ] 分析ツールを使ってログやパケットを証拠として抽出できる - [ ] ログやパケットから不審なファイルを再構築して取り出したりハッシュ値を確認できる - [ ] ログやパケットからメールやWebサイトを再構築してアクセス当時の事象を分析できる - [ ] 分析ツールを使って分析対象組織で発生している事象を概観することが出来る - [ ] Wiresharkを使ってパケットを解析できる - [ ] バイナリエディタを使ってファイルの種別や不審なデータの有無を確認できる - [ ] 不審なサイトやファイルのレピュテーション情報を収集できる # チューニング分析ツールの使い方に関する項目です。4か月目以降に着手することを想定しています。 - [ ] 分析ツールを使って任意の分析結果をレポート出力できる - [ ] 最新の脅威情報に応じて実装すべき分析ルールを検討できる - [ ] 分析ツールの性能を考慮して現実的な実行時間で結果が得られる分析ルールを検討できる # コミュニケーション OJTの中でお客様と対話しながら習得すべき項目です。 - [ ] 必要に応じて、お客様から追加の調査情報を引き出せる - [ ] 発見した脅威について、お客様に口頭で分かりやすく説明できる - [ ] 独力では判定出来ない脅威について、要点をまとめて同僚と議論が出来る - [ ] 専門知識を持たないお客様にも分かりやすい論理的なレポートを執筆できる # 検証環境での演習（BootCamp）の参考例えば次のような環境を構築して攻撃の際に生じるログやパケットを観察するのは良い方法です。その上で、どうしたらその攻撃を検知し防ぐことが出来るか検討するのも後の助けになります。 https://ox0xo.github.io/security/dns_cache_poizoning https://ox0xo.github.io/security/wordpress https://ox0xo.github.io/security/covert_channel_dns https://ox0xo.github.io/security/cve201811776