サイバー攻撃による情報漏えいやランサムウェアといった脅威が急増しているため、多くの組織では、オンラインでの安全対策について従業員をトレーニングする必要性を認識しています。しかし現実問題として、必要なトレーニングやツールを社内で開発することは困難です。また、トレーニングのためにアナリストを地方拠点へ派遣すれば経費や人件費がかさむだけでなく、本来の勤務地での対策が手薄になる危険性まであります。
ベンダーが提供するトレーニングは自社のテクノロジーに偏重する傾向があり、組織としての対応能力を無視するケースも多くあります。
Cisco Talos Incident Response(CTIR)ではこれらの問題に対処すべく、インシデント対応に焦点を当てたインタラクティブな「Cyber Range」の提供を開始します。CTIR の Cyber Range は没入型のプログラムで、インシデント対応の専門家によって熟考、提供されます。インシデント対応スキルを伸ばす必要のある社内のセキュリティ専門家が対象です。
プログラムの長さは 3 日間で、徐々にステップアップを重ねながら包括的な内容をカバーします。まず各種のツールやテクニックについて知り、実際のシナリオで応用することから始めます。必要なスキルを得たら、次の段階ではガイド付きシナリオに挑戦します。
最終日には実世界の攻撃シナリオに対処します。そこでは根本原因を特定しつつ、主要な利害関係者や上司に定期的に報告することも求められます。こうしたタスクすべてはチーム内で協力しながら進めます。
CTIR の Cyber Range には、インシデント対応力を育むための特色がいくつかあります。まず、オンサイトで導入できる、自己完結型のトレーニング環境(ネットワークインフラ)として開発されていることです。外部インフラに接続することなくトレーニングを実施できるため、同様のトレーニングで発生しがちな遅延や中断といった問題が解消されます。
別の重要な特色は、実際の攻撃で使われ戦術、手法、手順(TTP)が含まれていることです。これらは CTIR が実際に目にしてきたものです。トレーニングでは実際と同じネットワークを使用し、実稼働 OS が狙われたとの想定で学習を進めます。最新の攻撃 TTP を取りあげるため現実味が高いことも特徴です。トレーニング環境が完全に分離されているため、社内ネットワークを誤って感染させるリスクのない安全な環境で、実際に検出されたマルウェアや攻撃手口を検証できます。
商用のサイバーレンジで多く見受けられる問題点は、社内で実際には使用していないツールへのトレーニングも含まれることです。しかし CTIR の Cyber Range ではインシデント対応調査の手法に主眼を置いているため、必要な調査機能を備えたオープンソースツールを活用します。つまり「ツール」ではなく「手法と概念」に重点を置いており、新たに取得したスキルを実際に使うツールで応用できるよう配慮されています。
どのようなセキュリティ業務であれ、チームワークは重要な要素です。そのため CTIR の Cyber Range でも、技術的スキルとソフトスキルの両面に焦点を当てています。ソフトスキルの面では、インシデントに関する CEO からの問い合わせへの応答、タスクの委任、利害関係者への報告や最終報告などに挑みます。複雑なインシデントにもチーム全体でエビデンスに基づいて作業し、チームの結束力を高めるスキルが身につけられます。
Cyber Range の最後の特色は没入型の学習体験です。学習の各ステージでは CTIR のインストラクターがサポートを提供します。実際の業務で日常的に触れているインシデント対応の専門家として、コースの各所で必要に応じてガイダンスを提供するほか、受講者からの質問にも答えます。クラスは少人数のため、各受講者にはきめ細かなサポートが提供されます。各日の終わりには、当日の学習内容をふりかえる演習に挑みます。
CTIR の Cyber Range は、インシデント対応専門家の高度なスキル、実際に起きた攻撃、最新の TTP、そしてチームワークを組み合わせた、Talos 独自のプログラムです。プログラムを通してインシデントへの対応能力を得られるほか、影響を軽減するスキルとプロセスを確立することもできます。CTIR の Cyber Range について、詳しくは CTIR リテーナーにお問い合わせください。
本稿は 2019年11月18日に Talos Group のブログに投稿された「How the new Talos IR Cyber Range can prepare your employees for a cyber attack」の抄訳です。