Conti ランサムウェアからの防御: CISA がマイクロセグメンテーションを緊急に推奨する理由

2021年、サイバーセキュリティ・インフラセキュリティ庁(CISA)と連邦捜査局(FBI)は、2020年の開始以来、米国および国際機関に対する400件以上の攻撃の背後にいることが知られているランサムウェア・アズ・ア・サービス(RaaS)モデルの亜種であるContiランサムウェア攻撃の進行中の波をめぐる共同サイバーセキュリティ 勧告 を発表しました。

Conti は、現在進行中のランサムウェアの惨劇の最新のものにすぎません。SolarWindsの侵害から1年が近づくにつれ、ランサムウェア攻撃は進化を続けており、その規模は明白です。

組織は、自社のビジネスだけでなく、顧客やサプライチェーンを継続的な ランサムウェア 攻撃の波から保護・防御するために、サイバーレジリエンスを強化するために必要な措置を講じることがこれまで以上に不可欠になっています。

Contiランサムウェアとは何ですか?

CISAとFBIの 共同勧告 によると、「典型的なContiランサムウェア攻撃では、悪意のあるサイバー攻撃者がファイルを盗み、サーバーとワークステーションを暗号化し、身代金の支払いを要求します。」

この勧告では、Contiの開発者は、攻撃が成功した収益の一定割合ではなく、ランサムウェアの展開者に賃金を支払うことが多いことも指摘しています。この暴露は、特定の攻撃がどれほど「成功」したかに関係なく、デプロイャーに報酬が支払われるため、モデル自体をさらに憂慮すべきものにしています。

今月初め、SiliconANGLEは、Contiが「 5月にアイルランドの医療サービスを標的とした攻撃を含む、さまざまな攻撃に関連している...過去のContiの被害者には、11月の産業用コンピューターメーカーのアドバンテック、12月のVOIPハードウェアおよびソフトウェアメーカーのSangoma Technologies、2月のフロリダ州とテキサス州の病院が含まれます。」

SiliconANGLEはまた、コンティが5月にFBIから警告の対象となり、ギャングとその関連団体は、特にCovid-19のパンデミックが続く中、重要な分野である医療提供者を標的にしていると述べた。

Conti からの保護

Contiランサムウェアからシステムを保護するために、CISAとFBIは、ゼロ トラスト と セグメンテーション の原則が主なものである次の予防措置を推奨しています。

• 多要素認証を使用して 、外部ソースからネットワークにリモートでアクセスします。
• ネットワークセグメンテーションを実装し、トラフィックをフィルタリングします。ネットワークと機能間の堅牢なネットワークセグメンテーションを実装して確保し、ランサムウェアの拡散を減らします。ネットワークトラフィックをフィルタリングして、既知の悪意のあるIPアドレスとのイングレスおよびエグレス通信を禁止します。強力なスパムフィルターを有効にして、フィッシングメールがエンドユーザーに届かないようにします。
  
  組織は、ユーザーが悪意のある Web サイトにアクセスしたり、悪意のある添付ファイルを開いたりするのを思いとどまらせるためのユーザー トレーニング プログラムの導入も検討する必要があります。IT チームは、ユーザーが悪意のある Web サイトにアクセスできないように、URL ブロックリストや 許可リスト を実装する必要があります。より高度なテクノロジーツールキットを使用すると、これを自動化できます。
• 脆弱性をスキャンし、ソフトウェアを常に最新の状態に保ちます。ウイルス対策プログラムとマルウェア対策プログラムを設定して、最新のシグネチャを使用してネットワーク資産の定期的なスキャンを実行します。また、組織は、ネットワーク資産上のソフトウェアとオペレーティングシステム、アプリケーション、ファームウェアをタイムリーにアップグレードする必要があります。
• 不要なアプリケーションを削除し、コントロールを適用します。日常業務に必要と思われるアプリケーションはすべて削除します。未承認のソフトウェアを調査します。
• エンドポイントおよび検出対応ツールを実装します。 エンドポイントおよび検出対応ツールは、SecOpsチームが特定のサイバーセキュリティ環境に対する可視性を高めることが知られており、悪意のあるサイバーアクターや潜在的な脅威を早期に特定し、より適切に軽減することができます。
• ユーザー アカウントを保護します。管理ユーザー アカウントを定期的に監査し、最小特権 (ゼロ トラスト) と職務分離の原則に基づいてアクセス制御を構成します。また、組織は定期的にログを監査して、新しいアカウントが正当なユーザーであることを確認する必要があります。

より多くのRaaSモデルとランサムウェアの株が明るみに出るにつれて、組織は潜在的な脅威ベクトルや脆弱性を早期に特定して最小限に抑えることが不可欠です。上記の推奨事項の中で、組織が今日行動すべき重要なベストプラクティスの1つはセグメンテーションです。

イルミオゼロトラストセグメンテーションがどのように役立つか

イルミオは ランサムウェアを阻止 し、従来のネットワークセグメンテーションとは異なり、以下を提供することで組織とともに進化します。

• シンプルで迅速なセグメンテーション。 Illumioを使用すると、自動ポリシー作成を使用して、アプリケーション、ユーザー、および特定の資産を数分でセグメント化できます。
  
  Contiの場合、ランサムウェアはサーバーメッセージブロック(SMB)とリモートデスクトッププロトコル(RDP)を悪用して横方向に移動しました。Illumio Coreを使用すると、絶対に必要な場合を除き、資産全体でこれらのプロトコルの両方をブロックするシンプルなポリシーを作成でき、リスクエクスポージャーを迅速かつ効果的に軽減できます。
• 動的な環境に合わせてスケーリングするポリシー。 イルミオは既存のインフラストラクチャを使用してポリシーを適用するため、ネットワークの進化に合わせて拡張されます。
• ホストレベルでのセグメンテーション。既存のホストベースのファイアウォールを使用すると、インフラストラクチャに触れたり、ケーブルを移動したりすることなく、単一のクラウドインスタンスからすべてのセグメンテーションポリシーを管理できます。 

イルミオが侵害の成功範囲を制限することでリスクを劇的に軽減する方法の詳細については、以下をご覧ください: 論文「 ランサムウェアがサイバー災害になるのを防ぐ方法」を読み、ブログ投稿「ランサムウェアと戦うためにイルミオを使用する9つの理由」をご覧ください。 

Conti ランサムウェア ギャングの詳細については、公式 アドバイザリー ページをご覧ください。