정보 보안 경력에 관심이 있다면 GIAC GCIA 인증 프로그램이 가장 중요한 과정이 될 것입니다. GCIA 인증 과정은 가장 도전적이면서도 가장 보람 있는 과정으로 간주됩니다.
공개되기 전에 네트워크에서 제로데이 활동을 탐지하기 위해 효과적인 위협 헌팅을 수행하는 방법을 배우고 싶다면 이보다 더 좋은 과정은 없습니다. 즉시 사용 가능한 도구에서 생성되는 네트워크 모니터링 경고를 이해하려는 사람은 GCIA 인증을 받지 않아야 합니다.
그러나 GCIA 인증은 현재 네트워크에서 발생하는 상황에 대한 깊은 통찰력을 원하고 도구가 지금 보고하지 않는 심각한 문제를 의심하는 사람들을 위한 것입니다.
GIAC GCIA(Certified Intrusion Analyst) 자격증이란?
GIAC GCIA(Certified Intrusion Analyst) 인증은 침입 탐지 및 분석에 대한 실무자의 지식과 기술을 검증하도록 설계된 벤더 중립적인 자 격 증명입니다. GIAC GCIA 인증을 통해 침입 탐지 시스템을 구성 및 모니터링하고, 네트워크 트래픽 및 로그 파일을 읽고, 해석 및 분석하고, 네트워크에서 일어나는 일을 이해할 수 있습니다.
GIAC GCIA 인증을 취득하려면 네트워크 트래픽 분석, 서명 생성, 로그 분석 및 사고 처리와 같은 다양한 시험 목표를 다루는 감독 시험을 통과해야 합니다. GIAC GCIA 시험에는 106개의 객관식 문제가 있습니다. GCIA 인증 시험을 완료하는 데는 4시간이 걸립니다. GCIA 시험에 합격하려면 최소 67%의 점수가 필요합니다.
GCIA 시험에서 다루는 영역은 다음과 같습니다.
- 트래픽 분석 및 응용 프로토콜의 기초
- 오픈 소스 IDS: Snort 및 Zeek
- 네트워크 트래픽 포렌식 및 모니터링
GCIA 자격증은 누가 받을 수 있나요?
- 침입탐지 실무자
- 시스템 분석가
- 보안 분석가
- 네트워크 엔지니어
- 네트워크 관리자
- 실무 보안 관리자
다음 기술을 배우게 됩니다.
- 다른 헤드라인이 되지 않도록 사이트 트래픽 분석
- 어떤 네트워크 모니터링 도구도 식별하지 못한 제로데이 위협을 식별하는 방법
- 네트워크 모니터링: 배치, 사용자 지정 및 조정 방법
- 특히 인시던트 중에 네트워크 경고를 분류하는 방법
- 사건을 재구성하여 무슨 일이 일어났는지, 언제 일어났는지, 누가 그랬는지 파악
- 네트워크 포렌식, 탐지 및 분석에 대한 실무 경험
- 네트워크 트래픽에 대한 통찰력을 얻기 위한 TCP/IP 및 일반 애플리케이션 프로토콜을 통해 정상 트래픽과 비정상 트래픽을 구분할 수 있습니다.
- 시그니처 기반 네트워크 모니터링: 장단점
- 전사적 자동화 상관 관계에 대한 행동 네트워크 모니터링 및 이를 효과적으로 사용하는 방법
- 네트워크 활동에 대한 효과적인 위협 모델링 수행
- 위협 모델링을 제로데이 위협 탐지 기능으로 변환
- 기존, 하이브리드 및 클라우드 네트워크에서 흐름 데이터를 분석하여 탐지 향상
너는 할 수있을 것이다
- Snort 및 Suricata 구성 및 실행
- 효과적이고 효율적인 Snort, Suricata 및 FirePOWER 규칙을 만들고 작성합니다.
- 오픈 소스 Zeek를 구성하고 실행하여 하이브리드 트래픽 분석 프레임워크를 제공합니다.
- Zeek에서 자동화된 위협 사냥 상관관계 스크립트를 생성합니다.
- TCP/IP 구성 요소 계층을 이해하여 위협 식별을 위한 정상 및 비정상 트래픽을 식별합니다.
- 트래픽 분석 도구를 사용하여 손상 또는 활성 위협의 징후를 식별합니다.
- 네트워크 포렌식을 수행하여 트래픽을 조사하여 TTP를 식별하고 활성 위협을 찾습니다.
- 이벤트를 재구성하기 위해 네트워크 트래픽에서 파일 및 기타 유형의 콘텐츠를 추출합니다.
- BPF 필터를 생성하여 특정 트래픽 특성을 대규모로 선택적으로 검사합니다.
- Scapy로 패킷을 제작하세요.
- NetFlow/IPFIX 도구를 사용하여 네트워크 동작 이상 및 잠재적 위협을 찾습니다.
- 네트워크 아키텍처 및 하드웨어에 대한 지식을 사용하여 네트워크 모니터링 센서의 배치를 사용자 지정하고 유선 트래픽을 스니핑합니다.
GCIA 인증 시험 요강
SEC503.1: 네트워크 모니터링 및 분석: 파트 I
이 섹션에서는 TCP/IP 프로토콜 스택에 대한 심층적인 내용을 제공하여 클라우드 또는 기존 인프라에서 위협을 더 잘 모니터링하고 감지할 수 있도록 준비합니다. 첫 번째 단계는 "패킷을 제2언어로" 과정이라고 합니다. 위협을 식별하고 TTP를 식별하기 위해 학생들은 즉시 낮은 수준의 패킷 분석에 몰두하여 제로 데이 공격 및 기타 공격에 사용되는 패킷을 수집합니다. 이 섹션을 통해 학생들은 TCP/IP 통신의 기초, 비트, 바이트, 이진수 및 16진수 이론, 각 필드의 의미 및 예상되는 동작을 배웁니다. 학생들은 트래픽 분석을 위해 Wireshark 및 Tcpdump와 같은 도구를 사용하는 방법을 배웁니다.
TCP/IP의 개념
- 왜 패킷 헤더와 데이터를 이해해야 하는가?
- TCP/IP 통신 모델
- 데이터 캡슐화/캡슐화 해제
- 비트, 바이트, 바이너리 및 16진수
와이어샤크 소개
- Wireshark 탐색
- Wireshark 프로필
- Wireshark 통계 옵션 검사
- 스트림 재조립
- 패킷에서 콘텐츠 찾기
네트워크 액세스/링크 계층: 계층 2
- 링크 레이어 소개
- 주소 지정 해결 프로토콜
- 레이어 2 공격 및 방어
IP 계층: 계층 3
- IPv4
- 이론 및 실습 영역 검토
- 특히 네트워크 모니터링 및 회피를 위한 체크섬 및 그 중요성
- 조각화: 조각화와 관련된 IP 헤더 필드, 조각의 구성, 최신 조각화 공격
UNIX 명령줄 처리
- 효율적인 패킷 처리
- 질문에 답하고 네트워크를 조사하기 위해 데이터를 구문 분석하고 집계합니다.
- 더 빠른 분석을 위한 정규식 사용
SEC503.2: 네트워크 모니터링 및 분석: 파트 II
이 섹션에서는 과정의 "제2 언어로서의 패킷" 부분을 마무리하고 훨씬 더 심도 있는 논의를 위한 무대를 설정합니다. 학생들은 TCP/IP 모델에 사용되는 기본 전송 계층 프로토콜과 최신 추세가 프로토콜 사용에 미치는 영향에 대해 깊이 이해하게 됩니다. 이 레슨에서는 Wireshark 및 TCPdump를 사용하여 자신의 트래픽을 분석하는 방법을 배웁니다. Wireshark 디스플레이 필터와 Berkeley 패킷 필터를 활용하여 기존 및 클라우드 기반 인프라에서 위협을 탐지하기 위해 관심 있는 트래픽까지 대규모 데이터를 필터링하는 데 중점을 둡니다. 이 섹션에서는 모든 헤더 필드의 의미와 기능을 포함하여 최신 네트워크 모니터링에 매우 심각한 영향을 미치는 최신 혁신에 대해서도 다룹니다.
Wireshark 디스플레이 필터
- Wireshark가 디스플레이 필터 생성을 용이하게 하는 여러 가지 방법 중 일부를 검토합니다.
- 디스플레이 필터 구성
BPF 필터 작성
- BPF의 편재성과 필터의 유용성
- BPF 필터 형식
- 비트 마스킹 사용
TCP
- 이론 및 실습 영역 검토
- 패킷 해부
- 체크섬
- 정상 및 비정상 TCP 자극 및 응답
- IDS/IPS를 위한 TCP 재조립의 중요성
UDP
- 이론 및 실습 영역 검토
- UDP 자극 및 응답
ICMP
- 이론 및 실습 영역 검토
- ICMP 메시지를 보내면 안 되는 경우
- 매핑 및 정찰에 사용
- 일반 ICMP
- 악성 ICMP
IP6
- 기초
- IP6에 대한 개선
- 멀티캐스트 프로토콜 및 IP6에서 활용하는 방법
- IP6 위협
실제 적용: 네트워크 조사
- 가장 많이 말하는 사람은 누구입니까?
- 사람들은 무엇에 연결되어 있습니까?
- 우리 네트워크에서 어떤 서비스가 실행되고 있습니까?
- 어떤 종류의 동서 교통이 존재합니까?
SEC503.3: 서 명 기반 위협 탐지 및 대응
과정의 세 번째 섹션은 애플리케이션 계층 프로토콜을 살펴봄으로써 처음 두 섹션을 기반으로 합니다. 이 지식을 사용하여 클라우드, 엔드포인트, 하이브리드 네트워크 및 기존 인프라에서 위협을 발견하는 방법을 배우게 됩니다. 학생들은 또한 학생들이 패킷을 조작, 생성, 읽기 및 쓸 수 있도록 하는 강력한 Python 기반 패킷 제작 도구 Scapy에 대해 배웁니다. Scapy를 사용하여 패킷을 제작하여 모니터링 도구 또는 방화벽의 감지 기능을 테스트할 수 있습니다. 특히, 사용자가 생성한 네트워크 감시 룰에 새로 공지된 취약점이 추가된 경우에 중요하다.
스케피
- Scapy를 이용한 패킷 제작 및 분석
- 네트워크 또는 Pcap 파일에 패킷 쓰기
- 네트워크 또는 Pcap 파일에서 패킷 읽기
- 네트워크 분석 및 네트워크 방어를 위한 실용적인 Scapy 사용
고급 Wireshark
- 웹 및 기타 지원 개체 내보내기
- 임의의 애플리케이션 콘텐츠 추출
- 사건에 대한 Wireshark 조사
- SMB 프로토콜 활동 분석에 사용되는 실용적인 Wireshark
- 샤크
Snort/Suricata 소개
- 도구 구성 및 기본 로깅
- 간단한 규칙 작성
- 공통 옵션 사용
효과적인 Snort/Suricata
- 대규모 네트워크를 위한 진정으로 효율적인 규칙 작성에 대한 고급 콘텐츠
- 쉽게 우회하거나 회피하지 않는 유연한 규칙 작성 방법 이해
- 모든 실습 활동에 대한 Snort/Suricata "Choose Your Own Adventure" 접근 방식
- 진화하는 익스플로잇에 대한 점진적인 검사, 모든 형태의 공격을 탐지하는 규칙을 점진적으로 개선
- 애플리케이션 레이어 프로토콜에 Snort/Suricata 적용
DNS
- DNS 아키텍처 및 기능 -DNSSEC
- EDNS(Extended DNS)와 같은 DNS의 현대적 발전
- 캐시 포이즈닝을 포함한 악성 DNS
- DNS 위협 활동을 식별하는 규칙 생성
마이크로소프트 프로토콜
- 중소기업/CIFS
- 감지 문제
- 실용적인 Wireshark 애플리케이션
최신 HTTP
- 프로토콜 형식
- 이 프로토콜이 진화하는 이유와 방법
- 감지 문제
- HTTP2 및 HTTP3의 변경 사항
프로토콜을 연구하는 방법
- 사례 연구로 QUIC 사용
- GQUIC와 IETF QUIC의 비교
실제 애플리케이션: 관심 트래픽 식별
- 대용량 패킷 저장소 내에서 비정상적인 애플리케이션 데이터 찾기
- 관련 기록물 추출
- 응용 연구 및 분석
SEC503.4: 제로 데이 위협 탐지 시스템 구축
섹션 4에서는 처음 세 섹션에서 얻은 지식을 기반으로 최신 및 미래의 침입 탐지 시스템을 심층적으로 검토합니다. 학생들이 지금까지 배운 모든 것을 결합하여 이제 학생들은 Zeek(또는 Corelight)를 사용한 고급 동작 탐지를 통해 Snort/FirePower/Suricata 및 차세대 방화벽보다 훨씬 뛰어난 위협 탐지 기능을 설계할 수 있습니다.
네트워크 아키텍처
- 트래픽 수집을 위한 네트워크 계측
- 네트워크 모니터링 및 위협 탐지 배포 전략
- 트래픽을 캡처하는 하드웨어
대규모 네트워크 모니터링 소개
- 네트워크 모니터링 도구 기능
- 탐지에서 분석가의 역할
- 분석 흐름 프로세스
지크
- 지크 소개
- Zeek 작동 모드
- Zeek 출력 로그 및 사용 방법
- 실용적인 위협 분석 및 위협 모델링
- 지크 스크립팅
- Zeek를 사용하여 관련 동작을 모니터링하고 연관시킵니다.
IDS/IPS 회피 이론
- 다른 프로토콜 계층에서 회피의 이론 및 영향
- 회피 샘플링
- 표적기반 탐지의 필요성
- 제로데이 모니터링 회피
SEC503.5: 대규모 위협 탐지, 포렌식 및 분석
이 섹션의 강조점은 공식적인 교육보다는 실습에 있습니다. 이 섹션에서는 NetFlow 및 IPFIX를 사용한 데이터 중심의 대규모 분석 및 수집을 시작으로 세 가지 주요 영역을 다룹니다. 과정의 첫 번째 섹션에서 얻은 프로토콜 배경 지식을 통해 NetFlow를 사용하여 클라우드 및 기존 인프라에서 위협 추적을 수행할 수 있습니다. 기본 사항을 다룬 후 학생들은 맞춤형 NetFlow 쿼리를 사용하고 구축하는 고급 분석 및 위협 탐지로 이동합니다. 두 번째 영역에서는 트래픽 분석을 소개하며 대규모 분석이라는 주제를 이어갑니다. 제로데이 위협 사냥을 위한 다양한 도구와 기술이 소개되고 학생들은 이를 실습할 기회를 갖게 됩니다. 이 과정은 또한 이상 징후를 감지하기 위한 인공 지능 및 기계 학습의 최첨단 응용 프로그램을 다룹니다. 이 섹션의 마지막 영역에는 네트워크 포렌식 및 재구성된 사건이 포함됩니다. 각 학생은 과정 전반에 걸쳐 배운 도구와 기술을 사용하여 세 가지 자세한 실습을 진행합니다.
네트워크 흐름 레코드 사용
- NetFlow 및 IPFIX 메타데이터 분석
- SiLK를 사용하여 관심 있는 이벤트 찾기
- NetFlow 데이터를 통한 측면 이동 식별
- 맞춤형 NetFlow 쿼리 구축
위협 추적 및 시각화
- 네트워크에서 엔터프라이즈 규모로 네트워크 위협 헌팅을 수행하기 위한 다양한 접근 방식
- 이상을 식별하기 위 해 네트워크 동작을 시각화하는 접근 방식을 포함하는 연습
- 데이터 과학을 적용하여 보안 운영을 간소화하고 위협 추적을 수행합니다.
- 방어된 네트워크에서 네트워크 프로토콜 이상을 식별하기 위해 AI 기반 시스템을 실험
네트워크 포렌식 분석 소개
- 네트워크 포렌식 분석 이론
- 착취 단계
- 데이터 기반 분석 대 경고 기반 분석
- 가설 기반 시각화
SEC503.6: 고급 네트워크 모니터링 및 위협 탐지 캡스톤
이 과정은 도전적이면서도 즐거운 실습 서버 기반 네트워크 모니터링 및 위협 감지 캡스톤으로 마무리됩니다. 이 과정에서 학생들은 배운 도구와 이론을 사용하여 다양한 질문에 답하기 위해 개인 또는 팀으로 경쟁합니다. 실제 데이터의 6개 섹션을 기반으로 하는 과제는 시간에 민감한 사건을 조사하는 것과 관련이 있습니다. 이 "동행" 이벤트 동안 학생들은 전문 분석가 팀이 수행한 동일한 데이터 분석을 기반으로 질문에 답합니다.
결론
GIAC Intrusion Analyst 인증을 획득함으로써 실무자는 네트워크 및 호스트 모니터링, 트래픽 분석 및 침입 탐지 지식을 입증합니다. GIAC GCIA 인증을 통해 침입 탐지 시스템을 구성 및 모니터링하고 네트워크 트래픽 및 로그 파일을 읽고 해석 및 분석할 수 있습니다.
이제 GCIA 인증을 사용할 수 있습니다. 대리 시험 센터를 찾고 계시다면 잘 찾아오셨습니다! CBT 프록시 팀이 첫 번째 시도에서 시험에 합격할 수 있도록 도와드립니다. 아래 채팅 버튼을 클릭하여 시험에 대해 컨설턴트와 이야기하십시오.