こんにちは。
CARTPを受験して合格したので、受験記を書きます。
CARTPとは
Azure環境におけるペネトレーションテストを学べるトレーニングです。
以下のような内容が学べます。
Introduction to Azure AD: Service Discovery, Recon, Enumeration and Initial Access Attacks
Authenticated Enumeration and Privilege Escalation
Lateral Movement and Persistence Techniques
Data Mining, Defenses, Monitoring & Auditing and Bypassing Defenses
コース
コースとしては、オンデマンドとライブコースがあります。
ライブコースは毎週3.5時間の授業という形式です。開催される時間的に私には参加が難しく、それならばオンデマンドのコースでビデオを視聴するのと変わらないと思い、オンデマンドコースを選択しました。
内容としては基礎から説明がありますので、前提知識がなくとも理解できると思います。私は、Azureについては触った事がありませんでしたが、AWSでの開発経験があるので、AWSとの比較などを見ながらスムーズに進める事ができました。
ラボ
コースで学んだことを試す事ができるラボ環境が提供されます。ラボのマニュアルも提供されるので、何をすれば良いかわからないということもありません。
また、オンデマンドコースだけだと思いますが、ラボへのアクセスを開始する時期をコース購入日から90日以内の任意のタイミングに設定できるため、先にビデオ視聴と資料の読み込みを済ませてからラボに取り組むなども可能です。ラボアクセスの時間を最大限活用したい場合は有効かもしれません。
試験
試験は24時間で2つのテナントにまたがる、5つのリソース、2つのユーザー、2つのエンタープライズアプリケーションをハックし、フラグを獲得することが目標です。また、試験開始から48時間以内に上記のプロセスの詳細なレポートを提出する必要があります。
試験を開始すると、初期アクセス(最初の攻撃対象)のヒントが与えられますし、全体を通して特に迷うことがなく一本道なので、コースの内容をしっかりと理解していれば簡単だと思います。
まとめ
Azure環境におけるペネトレーションテストの基礎を学ぶ事ができる良いコースでした。クラウド環境でのペンテストに興味がある方はぜひ取り組んでみてください。