Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

ゼロトラストセグメンテーションでマルウェアを抑制するための5つのステップ

Illumio Editorial
Illumio Editorial
November 1, 2021
23分読む

サイバー攻撃の頻度と巧妙さは増しており、組織のセキュリティを危険にさらしています。昨年、世界中の 企業の3分の1以上 がランサムウェア攻撃やデータへのアクセスをブロックしたデータ侵害に見舞われました。

調査会社IDCによる500+のセキュリティ専門家を対象とした調査によると、企業は高度なマルウェアがセキュリティ侵害の最も頻繁な原因であると報告しています。

高度な脅威から保護するために、IT組織はさまざまなセキュリティ投資を行う必要があります。これらには、マルウェアを検出するためのウイルス対策ソフトウェアなどの従来のセキュリティ製品が含まれます。また、従業員のセキュリティトレーニングにも投資する必要があります。

しかし、もう一つ重要なステップは、 ゼロトラストセグメンテーション 戦略の採用です。

ネットワークをセグメント化するには、エンドポイントに「許可リスト」ポリシー制御を展開し、正当なビジネス運営に必要な特定のタイプのトラフィックのみを許可します。このアプローチは、攻撃が避けられないことを認識しています。数千、場合によっては数十万のエンドポイントを持つ大規模な組織では、マルウェアはどこか、何らかの形で侵入します。

その場合、最善の防御策は、マルウェアがエンドポイントからエンドポイントへ移動するのをブロックすることであり、これは「ラテラルムーブメント」として知られる手法です。

ゼロトラストセグメンテーションをエンドポイントに適用すると、マルウェアやランサムウェアが拡散して重大な損害を引き起こすことはありません。会社全体、あるいは単一の部門を一掃することはありません。代わりに、1台のラップトップに収められます。

エンドポイントでゼロトラストを適用するための5ステップのアプローチ

IDCのセキュリティリサーチ責任者であるMichael Suby氏は、最近の IDCテクノロジースポットライトで、 ゼロトラスト (「許可リスト」)アプローチを採用することで、マルウェアやランサムウェア攻撃の拡散を抑制するための次の5つのステップのプロセスを推奨しています。

ステップ 1: トラフィック フローを視覚化する

エンドポイント トラフィックを制限する目的は、マルウェアがネットワーク全体に簡単に 拡散するのを防ぐ ことです。エンドポイントトラフィックを管理するために、この戦略ではホストオペレーティングシステムに組み込まれているファイアウォールを利用します。

これらのファイアウォールを軽量エージェントで制御することで、ITチームはデータアクセスをビジネスに必要なアクセスのみに制限できます。つまり、従業員とそのエンドポイントが必要なアプリケーションやデータにアクセスできるようにし、それ以外には何もアクセスできないようにすることができます。

IDCは、従業員が必要とするアクセスを判断するために、IT組織はトラフィックフローを、できれば約30日間監視して、アプリケーションとデータ使用量の通常の変動を考慮する必要があると述べています。監視は包括的であり、オンプレミス、遠隔地、およびクラウドとの間で送受信されるデータ フローを追跡する必要があります。

最良の結果を得るには、単一のサーバーからすべてのデバイスのすべての場所のすべてのトラフィックを監視するのではなく、ホストベースのソフトウェアとネットワークインフラストラクチャのレポートを活用してください。

ステップ 2: エンドポイントをグループ化する

トラフィックを許可および禁止するポリシーの作成は、すぐに複雑になる可能性があります。この作業を効率化するには、エンドポイントを共通の特性でグループ化し、それに応じて許可リストポリシーを作成します。エンドポイントのグループには、次のものが含まれます。

  • 場所(例:NYオフィス、リモートなど)
  • デバイスの種類(例:ラップトップ)
  • 従業員の所属 (例: 部門、役割など)
  • 営業時間(例:標準勤務時間または非勤務時間)

これらのグループにエンドポイントを割り当てることで、IT 管理者は、次の手順でポリシーの作成と微調整の作業を簡略化できます。

手順 3: 許可リスト ポリシーを定義してテストする

次のステップは、特定のネットワークポート、アドレス、プロトコルを使用するトラフィックを、日常の業務運営をサポートするために必要なトラフィックに許可するポリシーを定義することです。最も制限の厳しいポリシーから始めて、適用された場合にトラフィックにどのような影響を与えるかを監視することをお勧めします。一般的な原則として、トラフィックを可能な限り制限して、マルウェアの移動の隙をできるだけ少なくする必要があります。

ステップ 4: 許可リスト ポリシーを適用する

次のステップでは、許可リスト ポリシーを適用し、ポリシーによって具体的に識別されたトラフィックのみを許可します。理論的には、この手順では、IT 管理者が複雑なファイアウォール ルールを手動で作成し、各ルールセットを適切なエンドポイント グループに展開する必要がある場合があります。

しかし、 Illumio EdgeIllumio Coreのようなソリューションでは、管理者がファイアウォールルールを直接作成または管理する必要はありません。代わりに、必要な許可リストポリシーを定義でき、イルミオはそれらのポリシーを、エンドポイントやデータセンターやクラウドのワークロード全体に簡単に展開できる詳細なファイアウォールルールに自動的に変換します。

ステップ 5: 許可リスト ポリシーを絞り込む

このプロセスの最後のステップは、必要に応じて許可リスト ポリシーの監視と改良を継続し、業務運営に支障をきたすことなくアクセスを可能な限り制限することです。

ゼロトラストセグメンテーションでマルウェアを抑制するメリット

Illumio Edge や Illumio Core などのソリューションを使用したこのアプローチの利点は相当です。

  • エンドポイントトラフィックと潜在的な脅威の可視性が向上しました。
  • マルウェア、ランサムウェア、その他のサイバー攻撃による被害を軽減します。
  • 許可リストポリシーの定義、デプロイ、絞り込みを迅速かつ簡単に行う自動化。
  • 大規模なエンタープライズネットワークに適したスケーラビリティ。
  • SIEMシステムやその他のITセキュリティツールとの統合により、許可リストポリシーは、ITセキュリティに対するより大規模で多層的なアプローチの一部として機能します。
     

これらの手順とIDCの調査の詳細については、IDCテクノロジースポットライト「 包括的な可視性と許可リストポリシー制御によるマルウェア拡散の抑制」をお読みください。

関連トピック

No items found.

関連記事

S&P Global:重要インフラのランサムウェアの脅威に対処するためのトップ3の方法
Ransomware Containment

S&P Global:重要インフラのランサムウェアの脅威に対処するためのトップ3の方法

イルミオのソリューションマーケティングディレクターであるトレバー・ディアリング氏と、S&Pグローバルのグローバルマーケットインテリジェンスチーフアナリストであるエリック・ハンセルマン氏は、ランサムウェアの懸念に対処します。

Read more
2025 年のランサムウェア: コスト、傾向、リスクを軽減する方法
Ransomware Containment

2025 年のランサムウェア: コスト、傾向、リスクを軽減する方法

攻撃者がセキュリティギャップをどのように悪用するか、ランサムウェアがビジネスモデルになった理由、マイクロセグメンテーションによって脅威をどのように阻止できるかをご覧ください。

Read more
.Net アセンブリを使用したランサムウェア手法の謎を解き明かす: EXE vs. DLL アセンブリ
Ransomware Containment

.Net アセンブリを使用したランサムウェア手法の謎を解き明かす: EXE vs. DLL アセンブリ

.Net アセンブリ (EXE vs. DLL) の主な違いと、最初の高レベル コードでの実行方法について説明します。

Read more
No items found.

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more