寄稿

【広告】サイバーセキュリティトレーニングコースの受講者募集のお知らせ(更新)

更新日:

本記事は、株式会社ナノオプト・メディア様の提供でお送りします。
この度、日本ハッカー協会を通じて、株式会社ナノオプト・メディア様のサイバーセキュリティトレーニングコースの受講者募集を行うことになりました。

下記のトレーニング内容に興味を持たれた方は、ぜひ各コースの以下のボタンからお申し込みいただければと思います。

当協会から申し込んで頂きますと受講料の一部が、当協会の運営費用、および弁護士費用助成サービスの費用として還元されますので、ぜひ、よろしくお願い申し上げます。

講師 Scott Isaac Senior Security Consultant and Trainer ※当日は通訳が入ります

 

【経歴】

Scott Isaacは軍事的背景から、無線運用に焦点を当てたサイバーセキュリティ探求を始める。
無線伝搬、変調方式、エンコードおよび暗号化方法に関する知識を用いて、敵の通信から有益な情報を傍受し、アフガニスタンでの作戦の保護に成功。
その後、新しいインターネット運用機能を構築していた、キプロスの合同サービス信号ユニット(JSSU)に、諜報アナリストの指導役としてヘッドハンティングされる。
そこでは、多国籍の諜報機関と緊密な協力関係を築き、多くの情報セキュリティソリューションを開発。 彼の並外れた功績により、JSSUの指揮官から表彰される。
民間人としての最初の役割は、サイバーセキュリティのトレーニングを提供することであった。 QA 有限会社の製品配信の責任者として2年間携わり、
マルウェア分析、インフラストラクチャ攻撃、SOC操作、WiFi監査を容易にするシミュレーション環境を作成。

【NSS社における活躍】

Scottは、2019年にNotSoSecureに加入し、幅広いNotSoSecureクライアントと関わる。
モバイルアプリケーション、Webアプリケーション、およびネットワークへの侵入テスト、主にRed Team 演習を実施。
また、Black Hat Europe / Las Vegasなどの大規模なカンファレンスや、個人向けのトレーニング配信に携わっている。
新種の脅威に関する調査し、それらをNotSoSecureトレーニングコースに取り入れるプロジェクトにも参加。
Advanced Infrastructure Hackingコース、Hacking and Securing Cloud Infrastructureコースのトレーナー。
彼の研究はNotSoSecureブログで公開されている。

【この仕事の好きなところ】

ユビキタス情報システムに完全依存している昨今、明日の脅威と戦う者を訓練すること、彼らが自身で脆弱性を明らかにするのを手助けできること。
トレンドの脅威・脆弱性の根底にある複雑なメカニズムを簡潔化し、それらをどのように利用できるかを示すこと。
また、より理解を深めるために、かつての教授法「チョークアンドトーク」トレーニングと比較すらできないほどの、新しい仮想環境の開発に楽しさを感じている。

【In his own words】

“From a young age, I’ve had an interest in all kinds of problem solving, but cybersecurity peaked my interest due to its breadth, depth and constantly shifting nature. As we continue to embed information systems into ever more private areas of our lives, cybersecurity can only become more relevant. In a more narrow sense, I enjoy cybersecurity because there’s something really enjoyable about finding and leveraging the gap in a system, be that a padlock, wireless system or corporate infrastructure and making it work in an unintended way ... It’s like magic!”

受講に必要なPC環境(共通)

これらのコースは管理者権限とルートアクセスがあるノートパソコンだけあれば参加できます。受講にあたって、英国のデータセンターでホストされている最新のハックラボへのVPNアクセスを提供します。ラボに接続すると、関連するすべてのツールやVMが見れるようになり、ハックラボの各参加者に専用のKali VMを提供しています。したがって、VMを持ち込む必要はありません。VPNクライアントをインストールして接続するため、管理者権限のあるPCを必ずご持参ください。
【当日の持ち物と留意点】
●管理者権限とルートアクセスがあるノートパソコンを持参してください。

●このクラスではネットワーク接続を利用します。ネットワークに接続できるご用意をお願いします。

●当日はオンライン開催となります。講師は海外からの参加となります。ご自宅や職場など、慣れた環境(場所や機材)でご受講頂けます。

●別途サブモニターのご用意がございますと、より快適にご受講いただけます。

※Microsoft Teamsを用いた、 NotSoSecure社のテクニカルサポートをご用意しております。(日本語でご質問頂けます。)

Penetration testing for Basic Infrastructure

日程: 2021年3月15日(月) - 2021年3月16日(火)
受講時間: 09:00-17:00
会場: オンライン
定員: 30名
受講料:¥275,000(税抜)→¥215,000(税抜)

オンラインでの受講となります。

※トレーニングにてメインで使うコミュニケーションツールはZOOMとなりますが、別途トレーニング中の技術的なサポートについてはMicosoft Teamsを用いる予定です。

練習で「使える」だけではなく、理解を深めリアルな脅威に「備える」ための人材を育てる。

Penetration testing for Basic Infrastructureはインフラセキュリティの入門レベルのコースです。
ネットワークハッキングの基礎をしっかり固めることができるため、アドバンスコース受講をご検討いただいている方も受講前にぜひ受講していただきたい内容となっています。すでにエシカルハッキングやペネトレーションテストの知識があり、さらに上を目指している方には最適のクラスです。
ハッキングを始めるにあたって、豊富なハッキングツールや技術がどれだけ重要になってくるのか、ハッキングの様々な段階で登場する多くのツールやテクニックについて1つ1つ解説しながら理解を深めます。
インフラハッキングに関する様々なコンポーネントをハッキングするツールや技術を「使える」だけではなく、これらのツールがどのように機能するかについての概念をしっかり理解し、リアルな世界での脅威に「備える」ための人材を育成します。

受講対象

・システム管理者
・SOCアナリスト
・初級~中級くらいのペネトレーションテスター
・ネットワークエンジニア
・セキュリティスペシャリスト
など、さらにスキルアップしたい方

受講のメリット

・ 受講後30日間はハックラボにいつでもアクセス可能。
このコースで学んだ内容を復習する最適な環境です。
・ コース受講中に、たくさんのスクリプトやツール、手引きが提供されます。
・ ロゴ付き修了証明書の授与

PROGRAM ※通訳付きコース

Day1

• Module 1: ポートスキャニングの技術
• Module 2: オンラインパスワード攻撃の技術
• Module 3: データベースをハッキングする技術
• Module 4: Metasploit基礎
• Module 5: パスワードクラッキング
• Module 6: Unixのハッキング

Day2

• Module 7: Unix上でのアプリケーションサーバーのハッキング
• Module 8: サードパーティーのCMS Softwareのハッキング
• Module 9: Windows Enumeration
• Module 10: クライアント側の攻撃
• Module 11: Windows上でのアプリケーションサーバーのハッキング
• Module 12: ポストエクスプロイテーション
• Module 13: Windowsドメインのハッキング

 

Advanced Infrastructure Hacking  PART Ⅰ

日程: 2021年10月18日(月)~19日(火)
受講時間: 09:00-17:00
会場: オンライン
定員: 30名
受講料:¥250,000(税抜)→¥170,000(税抜)※6/30までの早期割引価格 AIHPart2と同時申込みの場合は¥300,000(税別)!

オンラインでの受講となります。

※トレーニングにてメインで使うコミュニケーションツールはZOOMとなりますが、別途トレーニング中の技術的なサポートについてはMicosoft Teamsを用いる予定です。

最新の手口から変わり種まで多種多様のハッキングテクニックを紹介。インフラハッキングの最高峰。

Advanced Infrastructure Hacking はインフラハッキングの知識をより深めたい方向けのクラスです。
ペネトレーションテストやレッドチーム演習のためだけでなく、脆弱性管理について理解を深めるためにも、高度なハッキングテクニックを理解することが不可欠です。
ドメインコントローラーのハッキングからローカルルート、VLANホッピング、VoIPハッキング、クラウドアカウントキーの侵害まで全てカバーしているこのクラスを受講することで、 最新のオペレーティングシステム、ネットワークデバイス、クラウド環境を危殆化させる、多種多様で高度なペネトレーションテストのテクニックを習得できます。

≪Advanced Infrastructure Hacking受講で習得できること≫

・組織のネットワークデバイスやオンライン・プレゼンスまたは人々の弱点を挙げ、調べ、狙いを定め、エクスプロイトできる。
・【Webサービス、データベース、Windows、Active Directory、* nix、コンテナベースのVPN、VLAN、VoIP、クラウド環境】でアクセスを取得し、バイパスの制限・権限昇格・データ流出を実行し、長期持続させるための複雑な脆弱性と連鎖しているエクスプロイトプロセスを理解できる。
・侵入済みのデバイスを使用して、他のプライベートネットワークにピボットしたり、ホワイトリストで保護されたり、ループバックインターフェイスからのみアクセスできるサービスにアクセスすることができる。

受講対象

・システム管理者、SOCアナリスト、ペネトレーションテスター、
・ネットワークエンジニア、セキュリティ専門家、スキルアップしたい方。
【歓迎】
・ペンテスト経験者、LinuxとWindowsの両方のコマンドライン構文の知識に精通している方、Nmap、NetCat、Metasploitなど、ハッカーに一般的に使用されているツールの使用経験者、CREST CCT(ICE)、CHECK(CTL)、TIGER SSTなどの業界認定資格保有者

受講のメリット

・受講後30日間、ハックラボへアクセス可能
このコースで学んだ内容を復習する最適な環境です。
・コース受講中にたくさんのスクリプトやツール、手引きが提供されます。
・ロゴ付き修了証明書の授与

PROGRAM ※通訳付きコース

IPV4/IPV6 SCANNING, OSINT
• Advanced topics in network scanning
• Understanding & exploiting IPv6 Targets
• Advanced OSINT Data gathering

WEB TECHNOLOGIES
• Exploiting DVCS (git)
• Owning Continuous Integration (CI) servers
• Deserialization Attacks
(Java, Python, Node, PHP)
• Dishonerable Mentions
(SSL/TLS, Shellshock)

HACKING DATABASE SERVERS
• Mysql
• Postgres
• Oracle
• MongoDB

WINDOWS EXPLOITATION
• Windows Enumeration and Configuration Issues
• Windows Desktop ‘Breakout’ and AppLocker Bypass Techniques (Win 10)
• Local Privilege Escalation
• A/V & AMSI Bypass techniques
• Offensive PowerShell Tools and Techniques
• GPO based exploit
• Constrained and Unconstrained delegation attack
• Post Exploitation Tips, Tools and Methodology

AD EXPLOITATION
• Active Directory Delegation Reviews and Pwnage (Win 2012 server)
• Pass the Hash/Ticket Pivoting and WinRM Certificates
• Pivoting, Port Forwarding and Lateral Movement Techniques
• Persistence and backdooring techniques(Golden Ticket, DCSync, LOLBAS)

Advanced Infrastructure Hacking  PART Ⅱ

日程: 2021年10月21日(木)~22日(金)
受講時間: 09:00-17:00
会場: オンライン
定員: 30名
受講料:¥250,000(税抜)→¥170,000(税抜)※6/30までの早期割引価格 AIHPart1と同時申込みの場合は¥300,000(税別)!

オンラインでの受講となります。

※トレーニングにてメインで使うコミュニケーションツールはZOOMとなりますが、別途トレーニング中の技術的なサポートについてはMicosoft Teamsを用いる予定です。

最新の手口から変わり種まで多種多様のハッキングテクニックを紹介。インフラハッキングの最高峰。

Advanced Infrastructure Hacking PartⅡは、 Advanced Infrastructure Hacking PartⅠの続きのコースとなり、ハイレベルなコースです。
ペネトレーションテストやレッドチーム演習のためだけでなく、脆弱性管理について理解を深めるためにも、高度なハッキングテクニックを理解することが不可欠です。
ドメインコントローラーのハッキングからローカルルート、VLANホッピング、VoIPハッキング、クラウドアカウントキーの侵害まで全てカバーしているこのクラスを受講することで、 最新のオペレーティングシステム、ネットワークデバイス、クラウド環境を危殆化させる、多種多様で高度なペネトレーションテストのテクニックを習得できます。

≪Advanced Infrastructure Hacking受講で習得できること≫

・組織のネットワークデバイスやオンライン・プレゼンスまたは人々の弱点を挙げ、調べ、狙いを定め、エクスプロイトできる。
・【Webサービス、データベース、Windows、Active Directory、* nix、コンテナベースのVPN、VLAN、VoIP、クラウド環境】でアクセスを取得し、バイパスの制限・権限昇格・データ流出を実行し、長期持続させるための複雑な脆弱性と連鎖しているエクスプロイトプロセスを理解できる。
・侵入済みのデバイスを使用して、他のプライベートネットワークにピボットしたり、ホワイトリストで保護されたり、ループバックインターフェイスからのみアクセスできるサービスにアクセスすることができる。

受講対象

・システム管理者、SOCアナリスト、ペネトレーションテスター、ネットワークエンジニア、セキュリティ専門家、スキルアップしたい方。
【歓迎】
・ペンテスト経験者、LinuxとWindowsの両方のコマンドライン構文の知識に精通している方、Nmap、NetCat、Metasploitなど、ハッカーに一般的に使用されているツールの使用経験者、CREST CCT(ICE)、CHECK(CTL)、TIGER SSTなどの業界認定資格保有者

受講のメリット

・受講後30日間、ハックラボへアクセス可能
このコースで学んだ内容を復習する最適な環境です。
・コース受講中にたくさんのスクリプトやツール、手引きが提供されます。
・ロゴ付き修了証明書の授与

PROGRAM ※通訳付きコース

LINUX EXPLOITATION
• Linux Vulnerabilities and Configuration Issues
• Treasure hunting via enumeration
• File Share/SSH Hacks
• X11 Vulnerabilities
• Restricted Shells Breakouts
• Breaking Hardened Web Servers
• Local Privilege Escalation
• MongoDB exploitation
• TTY hacks, Pivoting
• Gaining root via misconfigurations
• Kernel Exploitation
• Post Exploitation and credentials harvesting

CONTAINER BREAKOUT
• Breaking and Abusing Docker
• Kubernetes Vulnerabilities

VPN EXPLOITATION
• Exploiting Insecure VPN Configuration

VOIP ATTACK
• VOIP Enumeration
• VOIP Exploitation

VLAN ATTACKS
• VLAN Concepts
• VLAN Hopping Attacks

CLOUD HACKING
• AWS/Azure/GCP specific attacks
• Storage Misconfigurations
• Credentials, API’s and token Abuse
• IaaS, PaaS, SaaS,CaaS and Serverless exploitation
• Azure AD attack

 

Cloud Hacking

日程: 2021年10月14日(木)~15日(金)
受講時間: 09:00-17:00
会場: オンライン
定員: 30名
受講料:¥250,000(税抜)→¥170,000(税抜)※6/30までの早期割引価格

コース詳細

2019年に始まったこの新コースは、AWS、Azure、G-Cloudをはじめとするあらゆるクラウドサービスの根底にある脆弱性を解き明かします。
上記のようなポピュラーなクラウドサービスを例に、従来のネットワークインフラストラクチャのハッキングやセキュリティ対策と比較しつつ、それらとの相違点・共通点について詳しく説明します。
ドメインコントローラのハッキングからローカルルート、VLANホッピング、VoIPハッキング、クラウドアカウントキーの不正アクセスまで、すべてカバーしているこのコースを受講することで、正統派、最新、珍しいものなど多様な攻撃パターンの習得に加え、オペレーティングシステムやネットワークデバイス、クライド環境への不正アクセスなどにも対応できるハイレベルなペネトレーションテストの技術をマスターできます。
アーキテクト、開発者、ペンテスター、セキュリティ・DevOpsエンジニアなど、クラウド環境の管理者は、クラウドに関連するハッキング技術と貴社のクラウド環境を外敵から守る方法を理解することがとても重要です。理論だけでなく、クラウドサービスとインフラの不正アクセスに使われているリアルな最新の手口も紹介します。

受講対象

クラウド管理者、開発者、ソリューションアーキテクト、DevOpsエンジニア
SOCアナリスト、ペンテスター、ネットワークエンジニア、セキュリティ専門家
さらにスキルアップしたい方。
ペンテストの経験の有無は問いませんが、クラウドサービスの知識と一般的なコマンドラインの理解ができることを前提にしています。

受講のメリット

・受講後30日間、ハックラボへアクセス可能
このコースで学んだ内容を復習する最適な環境です。
・Docker Image・手引きが提供されます。
・ロゴ付き修了証明書の授与

PROGRAM ※通訳付きコース

INTRODUCTION TO CLOUD COMPUTING
• Introduction to cloud and why cloud security matters
• Comparison with conventional security models
• Shared responsibility model
• Legalities around Cloud Pentesting

ENUMERATION OF CLOUD ENVIRONMENTS
• DNS based enumeration
• OSINT techniques for cloud-based asset

GAINING ENTRY IN CLOUD ENVIRONMENT
• Serverless based attacks
(AWS Lambda / Azure & Google functions)
• Web application Attacks
• Exposed Service ports

ATTACKING SPECIFIC CLOUD SERVICES
• Storage Attacks
• Azure AD Attacks
• Containers and Kubernetes Clusters
• IAM Misconfiguration Attacks
• Roles and permissions-based attacks
• Attacking Cognito misconfigurations

POST - EXPLOITATION
• Persistence in Cloud
• Post exploit enumeration
• Snapshot access
• Backdooring the account

AUDITING AND BENCHMARKING OF CLOUD
• Preparing for the audit
• Automated auditing via tools
• Golden Image / Docker image audits
• Relevant Benchmarks for cloud

DEFENSE: IDENTIFICATION OF CLOUD ASSETS
• Inventory Extraction for AWS, Azure and GCP
• Continuous inventory management

DEFENSE: PROTECTION OF CLOUD ASSETS
• Principle of least privilege
• Control Plane and Data Plane Protection
• Financial Protections
• Metadata API Protection
• Cloud specific Protections
• Windows / Linux IaaS auditing

DEFENSE: DETECTION OF SECURITY ISSUES
• Setting up Monitoring and logging of the environment
• Identifying attack patterns from logs
• Monitoring in multi-cloud environment

DEFENSE: RESPONSE TO ATTACKS
• Automated Defense techniques
• Cloud Defense Utilities
• Validation of Setup

受講に必要なPC環境 / 当日の持ち物

【当日の持ち物】
・NotSoSecureが提供するDocker Imageを起動できる、管理者権限があるノートパソコンを持参してください。 ※PCのご用意が難しい場合はご相談ください。有料で貸し出し致します。本コースのためのカスタムツール、スクリプト、VPNスクリプトが入ったKali Linux(ova形式)を全受講者に提供します。そのため、RAM:4GB以上、空き容量:20GB以上が必要です。
・このクラスではネットワーク接続を利用します。ネットワークに接続できるご用意をお願いします。(無線LAN接続になります)

 

-寄稿

Copyright© 一般社団法人日本ハッカー協会 , 2021 All Rights Reserved.