정보 보안 경력에 관심이 있다면 GIAC GCIA 인증 프로그램이 가장 중요한 과정이 될 것입니다. GCIA 인증 과정은 가장 어렵지만 가장 보람 있는 과정으로 간주됩니다.
네트워크에서 제로데이 활동이 공개되기 전에 이를 감지하기 위한 효과적인 위협 사냥을 수행하는 방법을 배우고 싶다면 이보다 더 나은 과정은 없습니다. 기본 제공 도구에서 생성된 네트워크 모니터링 경고를 이해하고자 하는 사람은 GCIA 인증을 받지 말아야 합니다.
그러나 GCIA 인증은 현재 네트워크에서 무슨 일이 일어나고 있는지에 대한 심층적인 통찰력을 원하고 도구에서 현재 보고하지 않는 심각한 문제가 있다고 의심하는 사람을 위한 것입니다.
GIAC 인증 침입 분석가(GCIA) 인증은 무엇입니까?
GIAC 인증 침입 분석가(GCIA) 인증은 침입 탐지 및 분석에 대한 실무자의 지식과 기술을 검증하도록 설계된 공급업체 중립 자격증입니다. GIAC GCIA 인증을 받으면 침입 탐지 시스템을 구성하고 모니터링하고, 네트워크 트래픽과 로그 파일을 읽고, 해석하고, 분석하고, 네트워크에서 무슨 일이 일어나고 있는지 이해할 수 있습니다.
GIAC GCIA 인증을 받으려면 네트워크 트래픽 분석, 서명 생성, 로그 분석, 인시던트 처리와 같은 다양한 시험 목표를 다루는 감독 시험에 합격해야 합니다. GIAC GCIA 시험에는 객관식 문제가 106개 있습니다. GCIA 인증 시험을 완료하는 데 4시간이 걸립니다. GCIA 시험에 합격하려면 최소 67%의 점수가 필요합니다.
GCIA 시험에서 다루는 분야는 다음과 같습니다.
- 트래픽 분석 및 애플리케이션 프로토콜의 기본
- 오픈소스 IDS: Snort 및 Zeek
- 네트워크 트래픽 포렌식 및 모니터링
누가 GCIA 인증을 받을 수 있나요?
- 침입 탐지를 담당하는 실무자
- 시스템 분석가
- 보안 분석가
- 네트워크 엔지니어
- 네트워크 관리자
- 실무 보안 관리자
다음 기술을 배우게 됩니다.
- 또 다른 헤드라인이 되지 않도록 사이트 트래픽 분석
- 어떤 네트워크 모니터링 도구도 식별하지 못한 제로데이 위협을 식별하는 방법
- 네트워크 모니터링: 배치, 사용자 지정 및 조정 방법
- 특히 인시던트 중에 네트워크 경고를 분류하는 방법
- 이벤트를 재구성하여 발생한 일, 발생 시점 및 실행자 식별
- 네트워크 포렌식, 탐지 및 분석에 대한 실무 경험
- TCP/IP 및 일반적인 애플리케이션 프로토콜을 사용하여 네트워크 트래픽에 대한 통찰력을 얻고 정상 트래픽과 비정상 트래픽을 구별할 수 있음
- 시그니처 기반 네트워크 모니터링: 장단점
- 기업 전체의 자동 상관 관계를 위한 행동 네트워크 모니터링 및 효과적으로 사용하는 방법
- 네트워크 활동에 대한 효과적인 위협 모델링 수행
- 위협 모델링을 제로데이 위협 탐지 기능으로 변환
- 기존, 하이브리드 및 클라우드 네트워크의 흐름 데이터를 분석하여 개선 탐지
다음을 수행할 수 있습니다.
- Snort 및 Suricata 구성 및 실행
- 효과적이고 효율적인 Snort, Suricata 및 FirePOWER 규칙을 만들고 작성합니다.
- 오픈 소스 Zeek를 구성하고 실행하여 하이브리드 트래픽 분석 프레임워크를 제공합니다.
- Zeek에서 자동화된 위협 사냥 상관 관계 스크립트를 만듭니다.
- TCP/IP 구성 요소 계층을 이해하여 위협을 식별하기 위해 정상 및 비정상 트래픽을 식별합니다.
- 트래픽 분석 도구를 사용하여 손상 또는 활성 위협의 징후를 식별합니다.
- 네트워크 포렌식을 수행하여 트래픽을 조사하여 TTP를 식별하고 활성 위협을 찾습니다.
- 네트워크 트래픽에서 파일 및 기타 유형의 콘텐츠를 잘라내어 이벤트를 재구성합니다.
- BPF 필터를 만들어 특정 트래픽 특성을 선택적으로 대규모로 검사합니다.
- Scapy로 패킷을 만듭니다.
- NetFlow/IPFIX 도구를 사용하여 네트워크 동작 이상 및 잠재적 위협을 찾습니다.
- 네트워크 아키텍처 및 하드웨어에 대한 지식을 사용하여 네트워크 모니터링 센서의 배치를 사용자 지정하고 와이어에서 트래픽을 탐지합니다.
GCIA 인증 시험 교과과정
SEC503.1: 네트워크 모니터링 및 분석: 1부
이 섹션에서는 TCP/IP 프로토콜 스택에 대한 심층적인 내용을 제공하여 클라우드 또는 기존 인프라에서 위협을 더 잘 모니터링하고 감지할 수 있도록 준비시킵니다. 첫 번째 단계는 "패킷을 제2 언어로" 과정이라고 합니다. 위협을 식별하고 TTP를 식별하기 위해 학생들은 즉시 저수준 패킷 분석에 몰두하여 제로데이 공격 및 기타 공격에 사용된 패킷을 수집합니다. 이 섹션 전체에서 학생들은 TCP/IP 통신의 기본, 비트, 바이트, 2진수 및 16진수 이론, 각 필드의 의미 및 예상 동작을 학습합니다. 학생들은 Wireshark 및 Tcpdump와 같은 도구를 사용하여 트래픽을 분석하는 방법을 배웁니다.
TCP/IP 개념
- 패킷 헤더와 데이터를 이해해야 하는 이유는 무엇입니까?
- TCP/IP 통신 모델
- 데이터 캡슐화/캡슐화 해제
- 비트, 바이트, 바이너리 및 16진수
Wireshark 소개
- Wireshark 탐색
- Wireshark 프로필
- Wireshark 통계 옵션 검토
- 스트림 재조립
- 패킷에서 콘텐츠 찾기
네트워크 액세스/링크 계층: 2계층
- 링크 계층 소개
- 주소 확인 프로토콜
- 2계층 공격 및 방어
IP 계층: 3계층
- IPv4
- 이론 및 실제 분야의 검토
- 체크섬 및 그 중요성, 특히 네트워크 모니터링 및 회피
- 조각화: 조각화에 관련된 IP 헤더 필드, 조각의 구성, 최신 조각화 공격
UNIX 명령줄 처리
- 패킷을 효율적으로 처리
- 질문에 답하고 네트워크를 조사하기 위한 데이터 구문 분석 및 집계
- 더 빠른 분석을 위한 정규 표현식 사용
SEC503.2: 네트워크 모니터링 및 분석: 1부 II
이 섹션에서는 과정의 "패킷을 제2 언어로" 부분을 마무리하고 앞으로 더 심도 있는 논의를 위한 무대를 마련합니다. 학생들은 TCP/IP 모델에서 사용되는 기본 전송 계층 프로토콜과 최신 트렌드가 사용에 미치는 영향에 대해 깊이 이해하게 됩니다. 이 수업에서는 Wireshark와 TCPdump를 사용하여 자신의 트래픽을 분석하는 방법을 배웁니다. Wireshark 디스플레이 필터와 Berkeley Packet Filters를 활용하여 대규모 데이터를 관심 트래픽으로 필터링하여 기존 및 클라우드 기반 인프라에서 위협을 탐지하는 데 중점을 둡니다. 이 섹션에서는 모든 헤더 필드의 의미와 기능을 포함하여 최신 네트워크 모니터링에 매우 심각한 영향을 미치는 최신 혁신도 다룹니다.
Wireshark 디스플레이 필터
- Wireshark가 디스플레이 필터를 만드는 데 도움이 되는 여러 방법 중 일부 검토
- 디스플레이 필터 구성
BPF 필터 작성
- BPF의 편재성과 필터의 유용성
- BPF 필터의 형식
- 비트 마스킹 사용
TCP
- 이론과 실제에서 필드 검토
- 패킷 분석
- 체크섬
- 정상 및 비정상 TCP 자극 및 응답
- IDS/IPS에 대한 TCP 재조립의 중요성
UDP
- 이론과 실제에서 필드 검토
- UDP 자극 및 응답
ICMP
- 이론과 실제에서 필드 검토
- ICMP 메시지를 보내면 안 되는 경우
- 매핑 및 정찰에서 사용
- 정상 ICMP
- 악성 ICMP
IP6
- 기본 사항
- IP6에 대한 개선 사항
- 멀티캐스트 프로토콜과 IP6에서 활용하는 방법
- IP6 위협
실제 적용: 연구 네트워크
- 가장 많이 말하는 사람은 누구입니까?
- 사람들은 무엇에 연결하고 있습니까?
- 네트워크에서 어떤 서비스를 실행하고 있습니까?
- 어떤 종류의 동서 트래픽이 있습니까?
SEC503.3: 시그니처 기반 위협 탐지 및 대응
과정의 세 번째 섹션은 애플리케이션 계층 프로토콜을 살펴보는 첫 번째 두 섹션을 기반으로 합니다. 이러한 지식을 활용하여 클라우드, 엔드포인트, 하이브리드 네트워크 및 기존 인프라에서 위협을 발견하는 방법을 배우게 됩니다. 학생들은 또한 패킷을 조작, 생성, 읽기 및 쓸 수 있는 강력한 Python 기반 패킷 제작 도구인 Scapy에 대해서도 배우게 됩니다. Scapy를 사용하여 패킷을 제작하여 모니터링 도구나 방화벽의 탐지 기능을 테스트할 수 있습니다. 특히, 사용자가 만든 네트워크 모니터링 규칙에 새로 발표된 취약성이 추가될 때 이는 중요합니다.
Scapy
- Scapy를 사용한 패킷 제작 및 분석
- 네트워크 또는 Pcap 파일에 패킷 쓰기
- 네트워크 또는 Pcap 파일에서 패킷 읽기
- 네트워크 분석 및 네트워크 방어자를 위한 실용적인 Scapy 사용
고급 Wireshark
- 웹 및 기타 지원되는 객체 내보내기
- 임의의 애플리케이션 콘텐츠 추출
- Wireshark로 사건 조사
- SMB 프로토콜 활동 분석에 사용되는 실용적인 Wireshark
- Tshark
Snort/Suricata 소개
- 도구 및 기본 로깅 구성
- 간단한 규칙 작성
- 일반적인 옵션 사용
효과적인 Snort/Suricata
- 매우 큰 네트워크를 위한 진정으로 효율적인 규칙을 작성하는 방법에 대한 고급 콘텐츠
- 쉽게 우회하거나 회피할 수 없는 유연한 규칙을 작성하는 방법 이해
- 모든 실습 활동에 대한 Snort/Suricata "Choose Your Own Adventure" 접근 방식
- 진화하는 익스플로잇의 점진적 검토, 모든 형태의 공격을 탐지하기 위해 규칙을 점진적으로 개선
- Snort/Suricata를 애플리케이션 계층 프로토콜에 적용
DNS
- DNS 아키텍처 및 기능
- DNSSEC
- EDNS(확장 DNS)와 같은 DNS의 최신 발전
- 캐시 포이즈닝을 포함한 악성 DNS
- DNS 위협 활동을 식별하기 위한 규칙 생성
Microsoft 프로토콜
- SMB/CIFS
- 탐지 과제
- 실용적인 Wireshark 애플리케이션
최신 HTTP
- 프로토콜 형식
- 이 프로토콜이 진화하는 이유와 방법
- 탐지 과제
- HTTP2 및 HTTP3의 변경 사항
프로토콜을 조사하는 방법
- 사례 연구로 QUIC 사용
- GQUIC와 IETF QUIC 비교
실제 애플리케이션: 관심 트래픽 식별
- 대규모 패킷 저장소에서 비정상적인 애플리케이션 데이터 찾기
- 관련 레코드 추출
- 애플리케이션 연구 및 분석
SEC503.4: 제로데이 위협 탐지 시스템 구축
4절에서는 최신 및 미래의 침입 탐지 시스템을 심층적으로 살펴봅니다. 처음 세 섹션에서 얻은 것입니다. 지금까지 학생들이 배운 모든 것을 결합함으로써, 학생들은 이제 Zeek(또는 Corelight)를 통한 고급 행동 탐지를 통해 Snort/FirePower/Suricata 및 차세대 방화벽보다 훨씬 뛰어난 위협 탐지 기능을 설계할 수 있습니다.
네트워크 아키텍처
- 트래픽 수집을 위한 네트워크 계측
- 네트워크 모니터링 및 위협 탐지 배포 전략
- 트래픽을 캡처하는 하드웨어
대규모 네트워크 모니터링 소개
- 네트워크 모니터링 도구의 기능
- 탐지에서 분석가의 역할
- 분석 흐름 프로세스
Zeek
- Zeek 소개
- Zeek 운영 모드
- Zeek 출력 로그 및 사용 방법
- 실용적인 위협 분석 및 위협 모델링
- Zeek 스크립팅
- Zeek를 사용하여 관련 동작을 모니터링하고 상관관계를 파악
IDS/IPS 회피 이론
- 다양한 프로토콜 계층에서의 회피 이론 및 의미
- 회피 샘플링
- 대상 기반 탐지의 필요성
- 제로데이 모니터링 회피
SEC503.5: 대규모 위협 탐지, 포렌식 및 분석
이 섹션에서는 공식적인 지침보다는 실습 연습에 중점을 둡니다. 이 섹션에서는 NetFlow와 IPFIX를 사용한 데이터 중심의 대규모 분석 및 수집부터 시작하여 세 가지 주요 영역을 다룹니다. 과정의 첫 번째 섹션에서 얻은 프로토콜 배경을 바탕으로 NetFlow를 사용하여 클라우드와 기존 인프라에서 위협 사냥을 수행할 수 있습니다. 기본 사항을 다룬 후 학생들은 사용자 지정 NetFlow 쿼리를 사용하고 구축하는 고급 분석 및 위협 탐지로 넘어갑니다. 두 번째 영역에서는 트래픽 분석을 소개하여 대규모 분석이라는 주제를 계속합니다. 제로데이 위협 사냥을 위한 다양한 도구와 기술을 소개한 후 학생들은 이를 실제로 적용할 기회를 갖습니다. 이 과정에서는 또한 이상을 탐지하기 위한 인공 지능 및 머신 러닝의 최첨단 응용 프로그램을 다룹니다. 이 섹션의 마지막 영역에는 네트워크 포렌식 및 재구성된 사고가 포함됩니다. 각 학생은 과정 전반에 걸쳐 배운 도구와 기술을 사용하여 세 가지 자세한 실습 사고를 진행합니다.
네트워크 흐름 레코드 사용
- NetFlow 및 IPFIX 메타데이터 분석
- SiLK를 사용하여 관심 이벤트 찾기
- NetFlow 데이터를 통한 측면 이동 식별
- 사용자 지정 NetFlow 쿼리 작성
위협 사냥 및 시각화
- 네트워크에서 엔터프라이즈 규모로 네트워크 위협 사냥을 수행하는 다양한 접근 방식
- 이상을 식별하기 위해 네트워크 동작을 시각화하는 접근 방식을 포함하는 연습
- 보안 운영을 간소화하고 위협 사냥을 수행하기 위한 데이터 과학 응용
- 방어된 네트워크에서 네트워크 프로토콜 이상을 식별하기 위한 AI 기반 시스템 실험
네트워크 포렌식 분석 소개
- 네트워크 포렌식 분석 이론
- 악용 단계
- 데이터 기반 분석 대 경고 기반 분석
- 가설 기반 시각화
SEC503.6: 고급 네트워크 모니터링 및 위협 탐지 캡스톤
이 과정은 도전적이면서도 즐거운 실습 서버 기반 네트워크 모니터링 및 위협 탐지 캡스톤으로 마무리됩니다. 이 과정에서 학생들은 개인 또는 팀으로 경쟁하여 학습한 도구와 이론을 사용하여 다양한 질문에 답합니다. 실제 데이터의 6개 섹션을 기반으로 하는 이 과제는 시간에 민감한 사건을 조사하는 것을 포함합니다. 이 "라이드어롱" 이벤트에서 학생들은 전문 분석가 팀이 수행한 동일한 데이터 분석을 기반으로 질문에 답합니다.
결론
GIAC 침입 분석가 인증을 취득함으로써 실무자는 네트워크 및 호스트 모니터링, 트래픽 분석 및 침입 탐지 지식을 입증합니다. GIAC GCIA 인증을 통해 침입 탐지 시스템을 구성하고 모니터링하고 네트워크 트래픽 및 로그 파일을 읽고 해석하고 분석할 수 있습니다.
GCIA 인증이 현재 제공됩니다. 프록시 시험 센터를 찾고 있다면 올바른 곳에 왔습니다! CBT 프록시 팀은 첫 시도에서 시험에 합격할 수 있도록 도와드립니다. 아래의 채팅 버튼을 클릭하여 컨설턴트와 시험에 대해 상담하세요.
