ラベル TryHackMe の投稿を表示しています。 すべての投稿を表示
ラベル TryHackMe の投稿を表示しています。 すべての投稿を表示

【THMウォークスルー】Careers in Cyber

 

Task 1  Introduction

サイバーセキュリティのキャリアは需要が高まっており、高い給与が提供されています。セキュリティ業界には、攻撃的なペンテスト(マシンをハッキングして脆弱性を報告する)から防御的なセキュリティ(サイバー攻撃からの防御と調査)まで、様々な仕事があります。

サイバーでキャリアを積む理由に以下があげられます。

・高給 - セキュリティの仕事は初任給が高い。

・刺激的 - システムを合法的にハッキングしたり、サイバー攻撃から守ったりする。

・需要 - 350万人以上の空席のサイバー職。

ここでは、様々なサイバーセキュリティの役割に関する情報を提供することで、サイバーセキュリティの世界に入る手助けをします。また、サイバースキルの構築を開始するために使用できる様々な学習経路にリンクしています。

■Question ※無し


Task 2  Security Analyst

セキュリティアナリストは、攻撃から会社を守るために、組織全体のセキュリティ対策を構築するのに不可欠な存在です。アナリストは、企業のネットワークを調査・評価し、実用的なデータを明らかにし、エンジニアが予防策を開発するための提案を行います。この仕事では、さまざまなステークホルダーと協力し、セキュリティ要件やセキュリティ状況を理解する必要があります。

担当業務

  • 様々なステークホルダーと協働し、会社全体のサイバーセキュリティを分析する
  • ネットワークの安全性に関する継続的な報告書の作成、セキュリティ上の問題点および対応策の文書化
  • 新しい攻撃ツールやトレンドの調査、データの安全性を維持するためにチーム全体で必要な対策を盛り込んだセキュリティプランの策定。

■Question ※無し


Task 3  Security Engineer

セキュリティエンジニアは、脅威や脆弱性データ(多くの場合、セキュリティ担当者から入手)を使用して、セキュリティソリューションを開発し、実装します。セキュリティエンジニアは、Webアプリケーション攻撃、ネットワーク脅威、進化するトレンドや戦術など、幅広い攻撃を回避することに取り組んでいます。最終的な目標は、攻撃やデータ損失のリスクを軽減するために、セキュリティ対策を維持・採用することです。

担当業務

  • ソフトウェア全体のセキュリティ対策のテストと審査
  • ネットワークやレポートを監視し、システムの更新や脆弱性の緩和を行う
  • 最適なセキュリティのために必要なシステムの特定と実装

■Question ※無し


Task 4  Incident Responder

インシデント対応担当者は、セキュリティ侵害に効率的に対応します。インシデント発生時やその後に組織が実施する計画、ポリシーの策定も担当します。インシデントレスポンス担当者は、攻撃が展開されている最中にリアルタイムで分析と対応が求められる、非常にプレッシャーのかかるポジションであることが多い。インシデントレスポンスの指標には、MTTD、MTTA、MTTR(攻撃の検知、認識、回復するまでの時間)が含まれます。その目的は、迅速かつ効果的な対応を実現し、財務状況を保護し、侵害による悪影響を回避することです。最終的には、インシデント対応担当者は、企業のデータ、評判、財務状況をサイバー攻撃から保護します。

担当業務

  • 実行可能なインシデント対応計画の策定と採用
  • セキュリティのベストプラクティス維持とインシデント対応策のサポート
  • インシデント発生後の報告、今後の攻撃への対策、インシデントから得られる知見と適応の検討

■Question ※無し


Task 5  Digital Forensics Examiner

探偵ごっこが好きな人には、ぴったりの仕事かもしれません。法執行機関の一員として働く場合、犯罪を解決するために証拠を収集・分析し、有罪を宣告し、無実の人を無罪にすることに専念することになります。一方、企業のネットワークを守る仕事であれば、ポリシー違反などのインシデントを分析するフォレンジック・スキルを身につけることになります。

担当業務

  • 法的手続きを遵守し、デジタル証拠を収集する
  • デジタル証拠を分析し、ケースに関連する答えを見つける
  • 調査結果を文書化し、報告する

■Question ※無し


Task 6  Malware Analyst

マルウェア・アナリストの仕事には、疑わしいプログラムを分析し、その動作を発見し、発見した内容についてレポートを作成することが含まれます。マルウェア・アナリストは、コンパイルされたプログラムを機械語から読み取り可能なコード(通常は低レベル言語)に変換することを中核業務とするため、リバース・エンジニアと呼ばれることもあります。この作業には、マルウェア・アナリストに、特にアセンブリ言語やC言語などの低レベル言語における強力なプログラミングのバックグラウンドが要求されます。最終的な目標は、悪意のあるプログラムが実行するすべての活動について学び、それを検出し報告する方法を見つけることです。

担当業務

  • リバースエンジニアリングを含む、悪意のあるプログラムの静的解析
  • 制御された環境でマルウェアサンプルの活動を観察し、動的解析を行う。
  • 調査結果の文書化と報告

■Question ※無し


Task 7  Penetration Tester

侵入テストは、ペンテストや倫理的ハッキングと呼ばれているのを見かけるかもしれません。侵入テスト担当者の仕事は、企業内のシステムやソフトウェアのセキュリティをテストすることです。これは、システム化されたハッキングによって欠陥や脆弱性を発見しようとすることで達成されます。侵入テスト担当者は、これらの脆弱性を利用して、各事例におけるリスクを評価します。企業は、これらの洞察をもとに問題を修正し、現実のサイバー攻撃を防ぐことができます。

担当業務

  • コンピュータシステム、ネットワーク、Webアプリケーションのテスト実施
  • セキュリティ評価、監査、ポリシーの分析
  • インサイトを評価・報告し、攻撃防御のためのアクションを推奨する

■Question ※無し


Task 8  Red Teamer

レッド・チー マーは、ペネトレーション・テスターと似ていますが、より対象を絞った職務です。ペネトレーションテスターは、システム全体の多くの脆弱性を発見し、サイバー防御を良好な状態に保つことを目的としているのに対し、レッド・チーマーは、企業の検知・対応能力をテストするために実施されます。この職種では、サイバー犯罪者の行動を真似ること、悪意のある攻撃を模倣すること、アクセスを維持すること、そして検知を回避することが要求されます。レッドチームの評価は、通常、社外のチームによって最大1カ月間実施されます。成熟したセキュリティプログラムを導入している組織に適していることが多い。

担当業務

  • 悪用可能な脆弱性を発見し、アクセスを維持し、検知を回避するために、脅威行為者の役割を模倣します。
  • 組織のセキュリティ管理、脅威インテリジェンス、インシデント対応手順の評価
  • インサイトを評価・報告し、企業が実際の事例を回避するための実用的なデータを提供します。

■Question ※無し


Task 9  Quiz

サイバーセキュリティのさまざまなキャリアの一般的な概要を解説しました。オンライン・トレーニングを活用して、サイバー・セキュリティの分野で夢の仕事に就くことができることを忘れないでください。

■Question ※無し


Labels:

【THM】Intro to Defensive Security

 

Task 1  Introduction to Defensive Security

攻撃的なセキュリティは、システムに侵入することに重点を置いています。システムへの侵入は、バグを悪用したり、安全でない設定を悪用したり、強制されていないアクセス制御ポリシーを利用したりすることなどで達成されるかもしれません。レッドチームや侵入テスト担当者は、攻撃的なセキュリティに特化しています。

防御的なセキュリティは、攻撃的なセキュリティとやや正反対で、主に2つのタスクに関係しています。

  1. 侵入の発生を防ぐ
  2. 侵入を未然に防ぐ」「侵入を検知し、適切に対処する」。

ブルー・チームは、防御的なセキュリティの一翼を担っています。

防御的なセキュリティに関連するタスクには、以下のようなものがあります。

  • ユーザーのサイバーセキュリティに対する意識向上:ユーザーにサイバーセキュリティに関する教育を行うことで、システムを狙った様々な攻撃から身を守る。

  • 資産の文書化と管理:どのようなシステムやデバイスがあるのかを把握し、適切に管理・保護する。

  • システムのアップデートとパッチ適用:コンピューター、サーバー、ネットワーク機器などが正しく更新され、既知の脆弱性に対してパッチが適用されていることを確認する。

  • 予防的なセキュリティ機器の設定:ファイアウォールと侵入防止システム(IPS)は、予防的なセキュリティの重要な構成要素です。ファイアウォールは、どのようなネットワークトラフィックが内部に入り、何がシステムまたはネットワークから出ることができるかを制御します。IPSは、現在のルールと攻撃シグネチャに一致するネットワーク・トラフィックをすべてブロックします。

  • ロギングおよび監視デバイスのセットアップ:ネットワークの適切なログと監視がなければ、悪意のある活動や侵入を検出することはできません。

防御的なセキュリティにはまだまだ多くのことがあり、上記のリストは一般的なトピックをいくつか取り上げたに過ぎません。

このルームでは、以下を取り上げます。

  • セキュリティ・オペレーション・センター(SOC)
  • スレットインテリジェンス
  • デジタルフォレンジックとインシデントレスポンス(DFIR)
  • マルウェア解析

※Question:防御的なセキュリティに重点を置くチームは?


Task 2  Areas of Defensive Security

このタスクでは、防御的なセキュリティに関連する2つの主要なトピックを取り上げます。

  • スレット・インテリジェンスを行うセキュリティ・オペレーション・センター(SOC)。
  • マルウェア解析を行うデジタルフォレンジックとインシデントレスポンス(DFIR)

Security Operations Center (SOC)

セキュリティ・オペレーション・センター(SOC)は、サイバーセキュリティの専門家からなるチームで、ネットワークとそのシステムを監視し、サイバーセキュリティ上の悪質な事象を検出します。SOCが関心を持つ主な分野は以下の通りです。

  • 脆弱性管理:システムの弱点が発見された場合、適切な更新プログラムやパッチを導入して修正することが不可欠である。修正パッチがない場合は、攻撃者に悪用されないようにするために必要な措置を講じる必要がある。SOCにとって脆弱性対策は重要な課題であるが、必ずしも担当する必要はない。
  • ポリシー違反:セキュリティ・ポリシーとは、ネットワークやシステムを保護するために必要な一連のルールと考えることができる。例えば、ユーザーが会社の機密データをオンラインストレージにアップロードし始めたら、ポリシー違反となる可能性がある。
  • 不正な活動:ユーザーのログイン名とパスワードが盗まれ、それを使ってネットワークにログインされた場合を考えてみよう。SOCは、このような事象を検知し、被害が拡大する前に早急にブロックする必要がある。
  • ネットワークへの侵入:セキュリティが万全であっても、侵入される可能性は常にあります。侵入は、ユーザーが悪意のあるリンクをクリックした場合、または攻撃者が公開サーバーを悪用した場合に起こります。いずれにせよ、侵入が発生したら、できるだけ早く検知し、被害の拡大を防ぐ必要があります。

セキュリティオペレーションには、身を守るためのさまざまなタスクがありますが、そのひとつに脅威のインテリジェンスがあります。

脅威インテリジェンス

ここでいうインテリジェンスとは、実際、又は潜在的な敵について収集した情報のことです。脅威とは、システムを混乱させたり、悪影響を及ぼす可能性のあるあらゆる行動のことです。脅威インテリジェンスの目的は、潜在的な敵対者に対して企業がより良い準備をするための情報を収集することです。その目的は、脅威を考慮した防御を実現することでしょう。企業によって、敵対者は異なります。携帯電話会社の顧客データを盗み出そうとする敵もいれば、石油精製所の生産停止に関心を持つ敵もいます。政治的な理由で活動する国民国家のサイバー軍や、金銭的な目的で活動するランサムウェアグループなどが、敵対者の例として挙げられます。企業(ターゲット)に応じて、敵対者を想定することができます。

インテリジェンスにはデータが必要です。データは収集され、処理され、分析されなければなりません。データの収集は、ネットワークログなどのローカルなソースや、フォーラムなどのパブリックなソースから行われます。データの処理では、分析に適した形式にデータを整理することを目的としています。分析段階では、攻撃者とその動機に関する詳細な情報を見つけ、さらに、推奨事項と実行可能な手順のリストを作成することを目的としています。

敵について知ることで、彼らの戦術、技術、手順を知ることができます。脅威インテリジェンスの結果、脅威の主体(敵対者)を特定し、その活動を予測し、その結果、攻撃を緩和し、対応策を準備することができるようになるのです。

デジタルフォレンジックとインシデントレスポンス (DFIR)

このセクションでは、デジタルフォレンジックとインシデントレスポンス(DFIR)について、説明します。

  • デジタル・フォレンジック
  • インシデントレスポンス
  • マルウェア解析

デジタルフォレンジック

フォレンジックとは、犯罪を調査し、事実を確定するために科学を応用することです。パソコンやスマートフォンなどのデジタルシステムの普及に伴い、関連する犯罪を捜査するために、コンピューターフォレンジックという新しい分野が生まれ、後にデジタルフォレンジックへと発展しました。

防御的セキュリティにおいては、デジタルフォレンジックの焦点は、知的財産の盗難、サイバースパイ、不正コンテンツの所持など、攻撃やその犯人に関する証拠の分析に移行します。その結果、デジタルフォレンジックは、以下のようなさまざまな分野に焦点を当てることになります。

  • ファイルシステム:システムストレージのデジタルフォレンジックイメージを分析すると、インストールされているプログラム、作成されたファイル、部分的に上書きされたファイル、削除されたファイルなど、多くの情報が判明します。
  • システムメモリ:攻撃者が悪意のあるプログラムをディスクに保存せずにメモリ上で実行している場合、システムメモリのフォレンジックイメージを取得することは、その内容を分析し、攻撃について知るための最良の方法です。
  • システム・ログ:クライアントとサーバーのコンピュータはそれぞれ、何が起きているのかについて異なるログファイルを保持しています。ログファイルからは、システムで何が起こったかについて多くの情報が得られます。攻撃者がその痕跡を消去しようとしても、いくつかの痕跡は残ります。
  • ネットワークログ:ネットワークを通過したネットワーク・パケットのログは、攻撃が発生しているかどうか、またその内容について、より多くの質問に答えるのに役立ちます。

インシデントレスポンス

インシデントとは、通常、データ漏洩やサイバー攻撃を指します。しかし、場合によっては、設定ミス、侵入の試み、ポリシー違反など、それほど重大ではないものも含まれる可能性があります。サイバー攻撃の例としては、攻撃者が標的のネットワークやシステムにアクセスできなくする、公開Webサイトを改ざんする、データ侵害(標的のデータを盗む)などが挙げられます。サイバー攻撃を受けたらどう対応するか?インシデントレスポンスは、このようなケースに対処するための方法論を規定したものです。被害を最小限に抑え、最短時間で復旧させることが目的です。インシデントレスポンスに備えた計画を策定しておくことが理想的です。

インシデントレスポンスのプロセスは、大きく4つのフェーズに分けられます。

  • 準備:これには、インシデントに対処するための訓練を受け、準備が整ったチームが必要です。インシデントの発生を未然に防ぐためのさまざまな対策が施されていることが理想的です。
  • 検知と分析:インシデントを検知するために必要なリソースを確保し、さらに検知したインシデントの重大性を分析することが重要です。
  • 封じ込め、根絶、復旧:インシデントを検知したら、他のシステムに影響を与えないようにし、インシデントを排除し、影響を受けたシステムを回復させることが重要です。例えば、あるシステムがコンピューターウイルスに感染していることに気づいたら、他のシステムへのウイルスの感染を食い止め(封じ込め)、ウイルスを駆除し、適切なシステム復旧を行うことが望まれます。
  • 事故後の活動:復旧後、報告書を作成し、教訓を共有することで、今後の再発防止に努めます。

マルウェアの解析

マルウェアとは、悪意のあるソフトウェアのことです。ソフトウェアとは、ディスクに保存したり、ネットワーク経由で送信したりできるプログラム、文書、ファイルなどのことである。マルウェアには、以下のような多くの種類があります。

  • ウイルス:プログラムに付着するコードの一部(プログラムの一部)。コンピュータから別のコンピュータに感染するように設計されており、さらに、コンピュータに感染すると、ファイルを変更、上書き、削除することによって動作します。その結果、コンピューターの動作が遅くなったり、使用不能になったりします。
  • トロイの木馬:ある望ましい機能を見せながら、悪意のある機能を隠しているプログラムです。例えば、被害者が怪しいウェブサイトからビデオプレーヤーをダウンロードすると、攻撃者がそのシステムを完全に制御できるようになることがあります。
  • ランサムウェア:ユーザーのファイルを暗号化する悪意のあるプログラムです。暗号化により、パスワードを知らない限り、ファイルは読めなくなります。攻撃者は、ユーザーが "身代金 "を支払ことで、暗号に必要なパスワードを提供します。

マルウェア解析は、このような悪意のあるプログラムを様々な手段で知ることを目的としています。

  1. 静的解析:悪意のあるプログラムを実行することなく検査することによって機能する。通常、アセンブリ言語(プロセッサの命令セット、コンピュータの基本的な命令)の確かな知識が必要です。
  2. 動的解析:制御された環境でマルウェアを実行し、その活動を監視することによって行われます。これにより、マルウェアが実行されたときにどのような動作をするかを観察することができます。

■Question

1.What would you call a team of cyber security professionals that monitors a network and its systems for malicious events?

 ⇒security operation center

2.What does DFIR stand for?

 ⇒Digital forensic and Incident response

3.Which kind of malware requires the user to pay money to regain access to their files?

 ⇒ransomware


Task 3  Practical Example of Defensive Security

セキュリティアナリストとして行う典型的な業務とはどのようなものでしょうか。

あなたは、ある銀行の保護を担当するセキュリティオペレーションセンター(SOC)に所属しています。この銀行のSOCは、セキュリティ情報およびイベント管理システム(SIEM)を使用しています。SIEMは、さまざまなソースからセキュリティ関連の情報やイベントを収集し、1つのシステムを通じてそれらを提示します。例えば、ログインの失敗や予期せぬ地域からのログイン試行があった場合に通知されるのです。さらに、機械学習の登場により、SIEMは、通常は勤務時間中にしかログインしないユーザーが午前3時にログインするなど、通常とは異なる行動を検出することができるかもしれません。

この演習では、SIEMを操作して、ネットワークとシステム上のさまざまなイベントをリアルタイムで監視します。イベントの中には、典型的で無害なものもあれば、さらなる介入を必要とするものもあります。赤色で表示されているイベントを見つけ、それを記録し、さらに調べるためにそれをクリックします。

次に、疑わしいアクティビティやイベントについての詳細を確認します。疑わしいイベントは、ローカルユーザー、ローカルコンピューター、またはリモートIPアドレスなどのイベントによって引き起こされたかもしれません。郵便物を送受信するには、物理的な住所が必要です。同様に、インターネット上でデータを送受信するには、IPアドレスが必要です。IPアドレスは、インターネット上での通信を可能にする論理的なアドレスです。トリガーとなった事象が本当に悪意のあるものなのかを確認するために、その原因を調べます。悪意のあるものであれば、SOCの誰かに報告したり、IPアドレスをブロックしたりと、しかるべき対処が必要です。

■Question

What is the flag that you obtained by following along?

 ⇒THM{THREAT-BLOCKED}

Labels:

【THM】Intro to Offensive Security

 

Task 1  Hacking your first machine

サイバーセキュリティのキャリアやオフェンシブセキュリティとは何かという話に入る前に、ハッキングをしてみましょう(ちなみにこれは犯罪ではありません。すべての演習は専用空間によるシミュレーションです)。

大まかな流れとして、「Start Machine」ボタンをクリックし、仮想マシンを起動します。

このマシンは、FakeBank という偽の銀行アプリケーションをハックするために使用します。次に「GoBuster」というコマンドラインアプリケーションを使って、FakeBankのウェブサイトをブルートフォースし、隠されたディレクトリやページを探します。GoBusterは、ページ名やディレクトリ名の候補をリストアップし、それぞれを持つWebサイトにアクセスしてみます。

ステップ1)ターミナルを開く

ターミナルは、コマンドラインとも呼ばれ、グラフィカルユーザーインターフェースを使用せずにコンピュータと対話することができます。マシン上で、ターミナルを開いてください。

ステップ2) 隠されたWebサイトのページを探す

ほとんどの企業では、管理者用のポータルサイトが用意されており、従業員は日々の業務に必要な基本的な管理操作にアクセスすることができます。例えば、銀行の場合、従業員は顧客の口座にお金を振り込んだり、口座からお金を引き出したりする必要があるかもしれません。多くの場合、これらのページは非公開になっており、攻撃者は、管理者コントロールや機密データを表示したり、アクセスを許可したりする隠されたページを見つけることができます。

GoBuster(コマンドラインのセキュリティアプリケーション)を使用して、FakeBankのWebサイトで潜在的に隠されたページを見つけるためのコマンドを実行します。


上記のコマンドでは、-uはスキャンするウェブサイトを示すために使用され、-wは隠されたページを見つけるために反復する単語のリストを指定します。

GoBusterがリスト内の各単語でウェブサイトをスキャンし、サイト上に存在するページを見つけることがわかります。GoBusterは見つけたページをページ/ディレクトリ名のリストで教えてくれているはずです(Status: 200で示されます)。


ステップ3)FakeBankをハッキングする

ステップ2で見つけた、/bank-transferにアクセスします。

このページでは、攻撃者が任意の銀行口座からお金を盗むことができ、銀行にとって重大なリスクとなります。倫理的なハッカーとして、あなたは(許可を得て)そのアプリケーションの脆弱性を見つけ、ハッカーに悪用される前に修正するように銀行に報告するでしょう。

送金してみます。口座番号2276から2000ドルをあなたの口座(口座番号8881)に振り込んでみます。


送金完了後、FakeBankのトップに戻ると、Questionの回答が現れる。


Task 2  What is Offensive Security?

攻撃的なセキュリティとは、コンピュータシステムに侵入し、ソフトウェアのバグを利用し、アプリケーションの抜け道を見つけて不正アクセスを行うことです。

ハッカーに勝つためには、サイバー犯罪者よりも先に脆弱性を見つけてパッチを勧めるなど、ハッカーのように振る舞う必要があるのです。

一方、防御的なセキュリティもあります。これは、潜在的なデジタル脅威を分析し、保護することによって、組織のネットワークとコンピュータシステムを保護するプロセスです。

防御的なサイバー対策では、感染したコンピューターやデバイスを調査してハッキングされた方法を理解したり、サイバー犯罪者を追跡したり、悪意のあるアクティビティがないかインフラを監視したりすることができます。

※Question無し

Task 3  Careers in cyber security

どのように学習を始めればよいのでしょうか?

よく、他の人はどうやってハッカー(セキュリティコンサルタント)やディフェンダー(サイバー犯罪と戦うセキュリティアナリスト)になるのだろうと不思議がられますが、その答えは簡単です。サイバーセキュリティの興味のある分野を学び、定期的に実践的な練習をすることです。TryHackMeで毎日少しずつ学習する習慣をつければ、この業界で初めて仕事をするための知識を身につけることができます。

建設作業員からセキュリティエンジニアになったポールの話

音楽教師からセキュリティの専門家になったカサンドラの話


どんなキャリアがあるの?

ここでは、いくつかの攻撃的なセキュリティの役割について簡単に説明します。

・ペネトレーション・テスター:セキュリティの脆弱性を発見するためにテクノロジー製品をテストする役割を担います。

・レッド・チーム:敵対者の役割を演じ、組織を攻撃し、敵の視点からフィードバックを提供する。

セキュリティエンジニア:セキュリティコントロール、ネットワーク、システムの設計、監視、保守を行い、サイバー攻撃の防止に貢献する。

※Question無し

Labels:
登録: 投稿 (Atom)