ランサムウェアに再び焦点を当てる:ランサムウェア対応ネットワークを構築するための3つの真実

全国サイバーセキュリティ啓発月間が始まる中、確実に耳にするトピックの 1 つはランサムウェアです。   

ランサムウェアは組織が直面する 最も一般的なタイプのサイバー攻撃 であるため、これは驚くべきことではありません。  

環境内で不審なことが検出されたと思われる電話を受けたときの瞬間に備える必要があります。  

今月は、ランサムウェア攻撃の拡散からネットワークを保護するための強固な基盤を確立するために、すべての組織が受け入れて行動しなければならない3つの重要な「真実」にラン サムウェア に焦点を当てます。  

イルミオのチーフエバンジェリストであるナサニエル・アイバーセンから、組織がランサムウェアに備えていることを確認する方法についてお話を聞いてください。

詳細については、読み続けてください。

真実 #1: ランサムウェア攻撃を想定してネットワークをプロアクティブに設計する 

電話がかかってきたと想像してください。その瞬間、選択した検出およびセンサー技術のネットワークがその役割を果たしており、インシデント対応能力が重要になります。結局のところ、すでに展開され、アクティブで、慎重に準備されたものでのみ対応できます。   

攻撃が進行中であるときに、その場で新しい機能を構築する時間はありません。    

建築家が建物を設計する場合、すべてのフロア、オフィス、階段の吹き抜けの入り口に防火扉を設計する必要があります。これらのドアは多くの場合、開いたままになっているか、ほとんどの場合、通常のドアとして機能します。  

しかし、火災が発生した場合、これらのドアは火と煙を封じ込め、人々が建物から出るための安全な出口を提供します。   

ランサムウェア攻撃に効果的に対応し、その影響を最小限に抑えるための 3 つの機能により、これらの「防火扉」が得られます。 

1. トラフィックフロー と攻撃半径を 視覚化する 機能。NetFlow データが大量にあっても役に立ちません。現時点では、完全で自動化されたアプリケーション依存関係マップ と、 任意のネットワーク ポートでアクティビティをクエリする機能を持つことが重要です。まとめると、攻撃がどこにあるのか、どこにいたのか、どこに行こうとしているのかを正確に把握できるようになります。 
2. 次に、ネットワークの一部を遮断し、攻撃がまだアクセスしていない場所にセーフゾーンを作成できる事前設定されたセキュリティポリシーです。これにより、ランサムウェアの拡散が阻止され、感染したマシンが駆除されると移動される「クリーンゾーン」が作成されます。 
3. 最後に、 侵害されたマシンの周囲に 厳密 な 境界 を設けて、コマンド&コントロールネットワーク、拡散、さらには偵察への接続を排除する必要があります。ネットワークファイアウォールがこれを行うのに十分な粒度を持っている可能性は低いです。プリインストールされたホストベースのセグメンテーションソリューションにより、必要なときに適切な機能を利用できるようになります。   

アクティブなマルウェアが検出されると、誰もがこれら 3 つの機能があればいいと思うので、必要になる前に実装することは理にかなっています。効果的な封じ込めは、修復活動が完了するまでの時間を稼ぐことができます。 

真実 #2: リスクを管理するよりもリスクを排除する方が優れています 

攻撃が進行すると、それを発見して何かをすることを約束するツールがたくさんあります。   

しかし、さらに深い真実があります:攻撃はオープンポートを介してのみ 広が ります。道がなければ、広がりはありません。   

不必要に開いているポートはすべて、リスクを軽減します。運用ネットワークのサイズが縮小され、リスクが排除され、攻撃対象領域が縮小されます。   

これをどのように達成しますか? 

1. リスクが高く、価値が高く、よく悪用されるポートを閉じます。ほとんどの商用ランサムウェアは、RDPやSMBなど、グローバルにオープンである必要のない、いくつかのよく知られたプロトコルを使用して拡散します。ほとんどの侵入スペシャリストは、標準ツールキットを使用して環境を探索し、既知のポートで一般的な脆弱性を探しようとします。ほとんどの場合、これらの既知のポートをグローバルに開いている必要はありません。それらを閉じてもリスクは軽減されません。実際には、これらすべてのベクトルが排除されます。排除できるものを管理する理由は何ですか?   
2. リングフェンスの高価値アプリケーション。不幸にも、環境内で何か悪いことが発見された場合、最初に考えるのは、最も価値の高いアプリケーションとデータです。侵害がエッジまたはエンドポイントで検出される可能性はありますが、懸念されるのは「最も重要なこと」です。その瞬間、誰もが完全に囲い、厳格なゼロトラストセグメンテーションポリシーが添付されていればよかったと思うでしょう。今すぐそのポリシーを構築しれば、それが実施され、これらの重要な資産はすでにネットワーク攻撃によるリスクのほとんどを排除しているでしょう。 
3. 管理アクセスを制御します。ほとんどの組織ではジャンプ ホストが使用されています。すべての形式の管理アクセスが、環境に適したユーザーおよびジャンプ ホストに対して厳密に制御されていることを確認します。アプリケーションまたはポートは、特にユーザー環境からのランダムな管理アクセスに応答してはなりません。すべての管理プロトコルを根本的に削減することで、多くのクラスの攻撃が排除されます。 

存在しないリスクを管理する必要はありません。また、補完的なテクノロジーの必要性を排除するテクノロジーはありませんが、ターゲットを絞ったセグメンテーションの強固な基盤により、侵害の拡大のリスクが大幅に排除されることは事実です。 

真実 #3: ランサムウェアの拡散を阻止するには、ゼロトラストセグメンテーションと EDR の両方 が必要です 

侵害の拡大をなくすためにできる最善のことは、既存のエンドポイント検出および対応(EDR)製品に加えてゼロ トラストセグメンテーション を導入することです。   

Bishop Fox は 最近、攻撃者が EDR のみで保護されているネットワークと、 EDR とゼロトラスト セグメンテーション で保護されているネットワークを侵害しようとする一連のエミュレートされた ランサムウェア攻撃 を実施しました。  

その結果、EDRは多くの攻撃を発見し、最終的に修復するのに非常に効果的である一方で、ゼロトラストセグメンテーションによって保護されているネットワークは、攻撃を4倍速く封じ込め、侵害されるホストが大幅に減少することがわかりました。   

セグメンテーションポリシーが優れているほど、EDR の効果は高まります。ゼロトラストセグメンテーションをデプロイに追加して、最大限の応答性を実現することで、EDRにスーパーパワーを与えます。   

避けられないランサムウェア攻撃に備える 

ランサムウェアは、現代のユーザーとコンピューティング環境の惨劇です。しかし、侵害が大惨事ではなくイベントであることを保証するために、効果的な準備をすることはできます。   

プロアクティブおよびリアクティブのインシデント対応セグメンテーションポリシーの質の高いセットに投資することで、セキュリティチームは対応の重要な最初の数分間で貴重な制御を行うことができます。   

イベント前にリスクを排除するチームは、重要なアプリケーションを広く公開し、リスクの高いポートと管理プロトコルを大きく開いたままにしたチームよりも、常にやるべきことが少なくなります。また、EDRが 4倍高速に 動作し、侵害されたホストの数が少ないことを望まない人はいないでしょうか?   

イルミオゼロトラストセグメンテーションプラットフォームは、リスクを排除し、対応能力を向上させるこれらの基本的な機能を提供します。今月はまさにそれがすべてです。   

来週は、このサイバーセキュリティ啓発月間にゼロトラストセグメンテーションに焦点を当てるべき理由について、新たな洞察をお届けします。