ランサムウェアの削減 101: エンドポイント間のラテラルムーブメント

最悪の場合、ランサムウェアはかつてないほど大きな脅威であり、IT運用を紙とペンに戻し、最も余裕のないときにビジネスをダウンさせます。パンデミックの真っ只中、 医療ランサムウェアが台頭し続けています。リモートで学習している子供を持つ私たちは、 新しい雪の日としてランサムウェアを持っています。

なぜランサムウェア攻撃がまだこれほど多く成功しているのでしょうか?

ラテラルムーブメントとは?

ラテラルムーブメントとは、侵入者または攻撃が境界を侵害し、環境を横切って他のマシンに横方向に移動し、その結果、はるかに大規模でコストの高い データ侵害が発生することです。これは、エンドポイントや侵害されたデータセンターのワークロードから始まり、数万台のエンドユーザーコンピュータをダウンさせたり、最も価値のあるデータセンター資産を戦略的に標的にしたりする可能性があります。

MITRE の ATT&CK フレームワークは 、「攻撃者はあなたの環境内を移動しようとしている」と明確に述べています。これは、脅威が足場を築くのを阻止するだけでなく、この攻撃者の 横方向の移動を阻止することにも重点を置く必要があることを意味します。これは今やディフェンダーの仕事にとって非常に基本的なものとなっているため、MITRE ATT&CKはラテラルムーブメントを防御すべき重要なアタッカーテクニックとして指摘しています。 

マルウェアがエンドポイント間のラテラルムーブメントを使用して伝播することに成功しているのはなぜですか?なぜこのようなことが起こるのかを理解するには、まず、従来の アプリケーションセキュリティ がデータセンターの保護にどのように機能するかを調べる必要がありますが、必ずしもエンドポイントを保護するわけではありません。

データセンターのラテラルムーブメント

データセンターのセキュリティは、エンドポイントからサーバーへのクライアント/サーバー通信に重点を置いています。今日のブラウザベースのビジネスアプリケーションのほとんどでは、ユーザーがブラウザウィンドウにアプリケーションのURLを入力すると、ブラウザはデータセンターまたはパブリッククラウドで実行されているWebサーバーへの接続を開きます。エンドユーザーのマシンは、80 や 443 などの標準ポートを介してこれらのフロントエンド サーバーと通信します。企業境界の背後にある Web サーバーは、ファイアウォール、IPS、検出と対応、その他のデータセンター セキュリティ テクノロジーによって保護されています。フロントエンド サーバーは、ビジネス ロジック、データベース、その他の種類のサーバーに接続されており、すべてデータセンターまたはクラウド環境の範囲内で接続されます。

ここで、横方向の動きがダメージを与える可能性があります。外部に面したサーバーまたはワークロードが脆弱性によって侵害された場合、攻撃者は侵害されたワークロードから、データベースサーバーなど、貴重なデータが存在する場所に横方向に移動する可能性があります。マイクロセグメンテーションのないフラットネットワークでは、これはまったく難しくありません。

効果的な セグメンテーション が実施されているため、これらすべての「内部」サーバーは外部の脅威から保護されます。マイクロセグメンテーションは、攻撃者や脅威がデータセンター、クラウド、またはキャンパスネットワークで横方向、または「東西」に拡散または移動するのを防ぎます。脅威は、配置されたネットワークセグメントまたはホストセグメントに封じ込められるため、攻撃者は環境の他の部分に移動できません。これにより、組織の規模と影響を制限することで、組織を侵害からより適切に保護できます。

エンドポイントからエンドポイントへのラテラルムーブメント

ランサムウェアを阻止するにはこれで十分ではないのはなぜですか?答えは、ランサムウェアが伝播するためにサーバーと通信する必要はないということです。エンドポイントからエンドポイントへ、数秒で数万台のマシンに広がる可能性があります。

ランサムウェア は通常、エンドポイントから開始され、RDP、SMB、SIP、Skype などを介して他のエンドポイントに直接拡散します。エンドポイント間のピアツーピア (P2P) アプリケーションは、エンドポイントとサーバー間の通信を伴わないこのラテラル ムーブメント、つまり東西接続を作成します。最新のエンタープライズ アプリケーションのほとんどは、アウトバウンド接続 (エンドポイントがサーバーへの接続を開始する) のみに依存していますが、P2P テクノロジーは隣接するエンドポイントからのインバウンド接続を利用します。これらのエンドポイントは、サーバーやデータセンターを経由するトラフィックをヘアピンすることなく通信するため、エンドポイント自体に存在するセキュリティに依存しています。

エンドポイント間の横方向の移動の防止

エンドポイント間のラテラルムーブメントを保護する際の課題は何ですか?

可視性 - たとえば、同じサブネット上のエンドポイント間の横方向の接続は、ファイアウォールやゲートウェイから見えないため、これらのセキュリティデバイスは、関連する脅威の検出と防止にまったく効果がなくなります。これは、リモートで働いている従業員にとって、自宅で何が起こっているかをまったく把握できないことも意味します。

エンドポイントセキュリティはどうですか?エンドポイントで実行されているEDRおよびEPPツールは、検出して対応できますが、脅威に対して反応します。言い換えれば、侵害が最初から拡散を防ぐのではなく、侵害が発生し た後 にのみ機能します。

エンドポイントのゼロトラスト

侵害の拡大を防ぐためのベストプラクティスは、 ゼロトラストセキュリティ ポリシーを採用することです。これは、エンドポイント間で実行するために承認されたサービスの許可リストを必須に含め、正当なビジネス目的でアクセスするためにのみアクセス許可を付与することを意味します。

新しい仕事で、Skype などの P2P アプリをインターネットからラップトップにダウンロードしてインストールしようとして、IT 部門から不快な情報を受け取ったことがある人なら、これがどのように機能するかを理解しているでしょう。ユーザーは、すべてのユーザーを保護するために、会社が承認したリソースにのみアクセスする必要があります。

セキュリティの脅威が進化し、国家が支援するハッカーがますます巧妙になるにつれて、セキュリティソリューションは関連性を維持するために追いつく必要があります。ゼロトラストソリューションは、複数のシステムをプロアクティブに保護し、ファーストプリンシパルに基づくセキュリティカバレッジと低い誤検知率を提供します。Illumio Edgeのようなソフトウェアツールは、スケーラブルなホストベースのファイアウォール管理をリードし、前例のないセキュリティ保護と悪意のあるラテラルムーブメントに対する防御を提供します。

イルミオエッジの詳細については、当社のウェブサイトでご覧いただ くか、 12月21^日 のウェビナーに今すぐご登録 ください。