はじめに
GX-IAは、GCIAの上位資格とされています。
出題範囲は公式サイトにあるとおり、SEC503の範囲がメインですが、FOR572など別のトレーニングも範囲に含まれます。
試験時間は4時間で25問のCyberLive(ハンズオン)を解答します。
今回、奇跡的にGX-IAに合格できたので、後進の参考になる記事を書きたいと思います。当然ながら問題の内容については記載できませんが、事前準備において参考になる点があると思います。
事前調査
GX-IAは模擬試験がなく、デモ試験のみ提供されています。まずはこのデモ試験で問題の難易度を把握しました。
デモ試験は3問出題されます。
実はこのデモ試験の問題、以下のページに書いてあります。
問題文だけ引用します。
- The file named top-secret.png was uploaded to the site http://tinypic.com and the traffic was captured in the PCAP file GSE-HTTP-topsecret.pcap. The web server changed only the name of the file when returning the file to the host during the data transmission. What is the new name of the file provided in the URL download link returned by the web server after the file was uploaded to the web site?
- Which packet number in /home/giac/artifacts/elves.pcap is evidence that the attempted shellshock exploit was successful?
- Navigate to ~/artifacts/ and use the .log file to decrypt TLS in encryptedStuff.pcapng. How many streams (tcp.stream udp.stream) were decrypted using the provided keys?
- Using the file, /home/giac/monterey/email.silk, which is the daily byte count on 10/11/2018 for email activity on the 192.168.2.0/24 network?
- Using the files located in the /home/giac/springdale/zeeklogs and /home/giac/springdale/zeeklogs/extract_files directories, what data is being displayed in the mindclone.php upload?
いずれもCyberLive用の仮想マシン内にデータがあり、それを使って回答を導くというものです。
デモ試験でも本番の試験でも同じなのですが、解法は複数あることが多いようです。問題の多くはパケットキャプチャを解析するというものですが、解析の手法は問題文で指定されていない場合もあります。そのため、WireShark、tcpdump、tsharkいずれも使えますし、ZeekやSilkを使っても解けるかもしれません。
デモ問題を参考に、複数の手法を練習しておくと良いと思います。
ちなみにこのデモ試験、全問正解しても星3つになるようです。1問正解で星1つのようですね。
もう1点重要な情報が以下にあります。
A candidate of GX-IA will perform work on a variety of hosts, such as Xubuntu, Ubuntu Server, and Windows 10, as well as versions of the SIFT, Slingshot, and SOF-ELK *distributions.
ここに記載されているとおり、解答に使う環境は様々です。WireShark等のツールだけでなく、SOF-ELKも使えるように練習しておいた方が良いでしょう。
勉強方法
正直勉強といえるレベルの勉強はしてないです。というか、事実上対策不可だろうと思ったので、SANSが公開しているチートシートを印刷したのと、WireShark、tcpdump、Silk、Zeek、SOF-ELKの使い方だけざっと復習してチートシートにまとめました。
結果としてチートシートはそこそこ参考になりましたが、不足しているところも多く、manコマンドと格闘しながらの解答になりました。
試験本番
やることは他のGIACと同じです。身分証2点と持ち込むチートシート、英和辞典を持ち、PCの前に座ったら10秒瞑想してから開始しました。
時間配分ですが、1問は捨てて、24問を4時間で解くという目標にしました。こうすることで、10分で1問というわかりやすい目安になると思ったからです。
実際にはすぐに解ける問題もそれなりにあり、時間的には余裕がありました。
結果として20~30分考えた問題もありましたし、諦めた問題も多かったので、正直落ちたかなと思ったのですが、合格できてほっとしました。
合格点は不明なのですが、参考までに結果のレポートを貼っておきます。正確に数えていませんが、体感的には25問中確実に回答できたのは15問程度で、5問は自信なし、5問は解けなかったので適当に解答しました。
感覚値ですが、推定合格ラインは60%ではないかと思います。多くのGIAC試験は70%が合格ラインですが、明らかにそれより低いと感じたためです。
次の目標
とりあえず休んでから考えます。
おまけ
どうやらGX-IA(他のGXシリーズも同じだと思います)は、CPEによる更新ができるようです。さすがにもう一度試験を受けるのはしんどいので助かります。