前回に引き続き Cyber Threat Intelligence を受講してみました。
ATT&CK Cyber Threat Intelligence
The ATT&CK Cyber Threat Intelligence (CTI) Certification is for practitioners interested in certifying a mastery in the application of ATT&CK to improve existing threat intelligence practices. The training and experiential assessments validate a learner’s ability to map to ATT&CK from both finished reporting and raw data, perform CTI analysis using ATT&CK-mapped data, make defensive recommendations based on research, and more.
Module 1(68min): Mapping to ATT&CK from Narrative Reports
Lesson 1.1 - Introduction : Challenges, Advantages and the ATT&CK Mapping Process
本モジュールの目的。Narrative Reports の情報を変換して ATT&CK にマップする意義。
Lesson 1.2 - Finding and Researching Behaviors
攻撃者の行動に関する情報の調査の仕方と Pivoting の話。
Lesson 1.3 - Translating Behaviors into Tactics
14 の Tactics(CKC的なやつね^^)の説明と攻撃者の行動情報と Tactics の紐づけ方。
Lesson 1.4 - Identifying Techniques and Sub-Techniques
攻撃者の行動情報と Techniques との紐づけ方(Lesson 1.3 の後工程)。
Lesson 1.5 - Mapping to a Narrative Reports
Cobalt Kitty に関するレポートを使ってこれまでの学習内容を演習。
Lesson 1.6 - Hedging Tour Biases
Mapping において発生しやすいバイアスとバイアスの避け方。
全体を通じて Narrative レポートから利用価値のある情報(infomartion)をどのように生成するのかの話。また、情報の生成にはバイアスがつきものなので、その紹介と避け方について触れている。ちなみに、MAD に限らず Intelligence 関連ではバイアスの話が一番好きです(感想)。
Module 2(24min): Mapping to ATT&CK from Raw Data
Lesson 2.1 - The Process of Mapping from Raw Data
本モジュールの目的。Raw Data と Narrative Reports のマッピングの差異。
Lesson 2.2 - Identify and Research Behaviors
Raw data から攻撃者の行動を判別する方法と注意点。
Lesson 2.3 - Translate Behaviors to Tactics, Techniques & Sub-techniques
攻撃者の行動と Tactics や Techniques の紐づけ方。
Lesson 2.4 - Raw Data to Narrative Reporting
Mapping の演習とレポート化する際の注意事項。
前モジュールの Raw data 版。レポート化するときの注意点は Narrative Report というか Information Report のような印象を受けた。というか、よしなに混ぜたレポートをつくりましょうね、かな。なお、このモジュールの話者は流暢で、英語強者ではない私にはつらかった(感想)。
補足:たまに出てくる Resource Section は左上の「三」からアクセスできます(探したぞ...)
Module 3(14min): Storing and Analyzing ATT&CK-Mapped Data
Lesson 3.1 - Storing and Displaying ATT&CK-mapped Data
情報を誰(何)が扱うのかを踏まえて保存方法を考えようねという話。
Lesson 3.2 - Expressing ATT&CK-mapped Data
情報の表現方法の紹介(事例の洪水...)。
Lesson 3.3 - Analyzing ATT&CK-mapped Data
Navigator の使い方(分析というか使い方の詳細編といったところ)。
Lesson 3.4 - Compare Layers in ATT&CK Navigator
Navigator の演習。APT 32 と 39 について重複する Techniques を調査。
Module が 14 分と短く、説明したいけど分類をしきれなかったアイテムを詰め込んだ感じを受けたが、実際はどうなのか。あと、やっぱりこのモジュールの話者は流暢で...(感想)。
Module 4(36min): Making Defensive Recommendations from ATT&CK-Mapped Data
Lesson 4.1 - The Defensive Recommendation Process
で、実行性のある(で、実効性のある)防御をどのように進めるか、という話。
Lesson 4.2 - Research how Techniques and Sub-Techniques are being used and Defensive Options
Step1. 攻撃者の Techniques を把握する。Step2. その上で、対策(のオプション)にたどり着く方法。
Lesson 4.3 - Researching Organizational Capabilities and Constraints & Determine Trade-offs
Step3. できできないを整理して防御策を検討する。Step4. 諦めることも整理して実装する。
Lesson 4.4 - Make Defensive Recommendations
Step5. 執りうる対策から何を優先するのかを考える。からの、練習問題。
これまでの総まとめ。基本的に実学なので Actionable がキーワードかな、と。Actionable は CTI 全般に通じる大切な話。
CTI Badges
CTI の Badges は Module 毎に 4 つに分かれているので学習からの Badge 取得がしやすいな、と、思ったら落とし穴が。単元毎になったことで問題数が減っていますので、1 問のミスが 10% 弱のポイントダウンとなり命取りになるのでご注意を。身をもって体験した...。
1. ATT&CK CTI from Narrative Reports
Tactics, Technique や Group など ATT&CK の各アイテムについての設問が多かったので、さっと調べて解答できるようにしてくのが吉です。Narrative Report から ATT&CK への変換の訓練といった感じかな、と。
なお、初回は予告通り 1 問足りずゲフンゲフン。一度、ミスると 24 時間は受けられない、という学びを提供。ちなみに、fail しても間違った問題の振り返りなどはできない仕様でした(2021/09/21 時点)。
2. ATT&CK CTI from Raw Data
え?!そんなコマンドの話あったけ?というか、いきなりそれ聞くのという問題も(というか、結構な割合で)。とはいえ、その場で調べて解答するという意味では、実践的な設問です(前向きにとらえよう)。
3. ATT&CK CTI from Storing and Analyzing
ひたすら ATT&CK Navigator を使うので使い方は慣れておくのが吉。そういえば、どんなに調べても選択肢に解がない設問があったのだが、窮した結果として解答した選択肢は正解だったのか不正解だったのか。
4. ATT&CK CTI from Defensive Recommendations
全体的に素直な問題が多かった。ただ問題が少なく、それ故に時間も短いので、間違えられぬ!という緊張感との闘い。