CISAのPhobosランサムウェアガイダンスをイルミオで満たす方法

最近、連邦捜査局 (FBI)、サイバーセキュリティ・インフラ・セキュリティ庁 (CISA)、および多州情報共有分析センター (MS-ISAC) は、Phobos ランサムウェアから保護する方法について政府および重要インフラ組織に情報を提供することを目的とした新しい サイバーセキュリティ アドバイザリ をリリースしました。  

このブログ投稿では、Phobosランサムウェアとは何か、政府当局がPhobosへの準備をどのように推奨しているか、そしてイルミオのランサムウェア保護ダッシュボードがこれらの推奨事項の達成にどのように役立つかを学びます。  

Phobos ランサムウェアとは何ですか?

Phobos ランサムウェアは、Elking、Eight、Devos、Backmydata、Faust ランサムウェアなどの複数のランサムウェアの亜種に関連しています。Backmydataの亜種は、2024年2月にルーマニアで発生した攻撃で使用され、約 100の医療施設でシステムがオフラインになりました。

このアドバイザリは、2024 年 2 月に観察された Phobos ランサムウェアの亜種に関連する既知の戦術、技術、手順 (TTP) と侵害の痕跡 (IOC) を共有しています。Phobos はランサムウェア アズ ア サービス (RaaS) モデルとして運営されており、2019 年 5 月以来、政府、緊急サービス、医療、教育など、さまざまな分野をターゲットにしています。  

Phobosランサムウェアから保護する方法

このアドバイザリは、Phobos ランサムウェアの活動を軽減するための 3 つの重要なポイントを提供します。

1. RDPポートを保護して、脅威アクターがRDPツールを悪用したり活用したりするのを防ぎます。

2. 悪用された既知の脆弱性の修復を優先します。

3. EDRソリューションを実装して、脅威アクターのメモリ割り当て手法を破壊します。

イルミオゼロトラストセグメンテーションプラットフォームは、これら3つの推奨事項すべてに取り組むのに役立ちます。  

1. イルミオのランサムウェア保護ダッシュボードを使用してRDPポートを保護する

いくつかの簡単な手順を実行するだけで、組織は悪意のある攻撃者を阻止し、環境内でのラテラルムーブメントを防ぐために大幅な改善を行うことができます。ラテラルムーブメントを防ぐことができれば、攻撃者が侵入したとしても、それほど遠くまで到達したり、ミッションクリティカルなアプリケーションにアクセスしたりしないようにすることができます。  

ランサムウェア保護ダッシュボードを使用してRDPポートを保護するための3つのステップを見てみましょう。  

1. 環境内の RDP トラフィック がある場所を特定する  

2. イルミオのランサムウェア保護ダッシュボードで推奨されるアクションに従ってください  

3. ランサムウェア保護スコアの改善を測定する  

環境内の RDP トラフィックを特定する  

イルミオのランサムウェア保護ダッシュボードは、環境内で最もリスクの高いサービスを簡単に追跡します。これらのサービスの 1 つが RDP です。ポリシーで制御されていない環境で公開されている場合は、上位 5 つの危険なサービス レポートに表示されることがあります。または、マップにアクセスして、RDP トラフィックを具体的に検索することもできます。  

上の画像では、RDP がリスクの高いサービスの上位 5 つにリストされていることがわかりますが、このサービスを制御するポリシーもありません。  

ここで、影響を理解するためのビジネス分析を行うことができます。たとえば、組織内に RDP を使用する機能を必要とする特定のユーザーがいます。これは、現場にいない従業員が問題のトラブルシューティングを支援する可能性のあるITにとって非常に役立ちます。ただし、平均的なワークロードが利用できる必要のあるものではありません。  

ここで、ダッシュボードの推奨アクションが機能します。  

ランサムウェア保護ダッシュボードの推奨アクションに従ってください

ダッシュボードで推奨されるアクションの 1 つは、拒否ルールを作成することです。これは、より大きな ゼロトラストの旅を進めるにつれて、保護を迅速に構築する簡単な方法です。  

この場合、CISA は RDP ポートを保護することを推奨しているため、次のステップは、このトラフィックをブロックする拒否ルールを構築することです。必要に応じて例外を追加できますが、通常はロックダウンされます。これにより、Phobos ランサムウェア攻撃に対するプロアクティブな保護が提供されます。  

Illumioで拒否ルールを適用すると、規模に関係なく、新しいポリシーが数分で組織全体に展開されます。

ランサムウェア保護スコアでセキュリティの向上を測定する  

環境保護の進捗状況を測定する優れた方法の 1 つは、ダッシュボードのランサムウェア保護スコアを使用することです。ポリシーをデプロイし、RDP トラフィックのブロックなど、大きな変更を加えると、スコアが上昇することがわかります。  

イルミオは、現在のスコアだけでなく、このスコアも経時的に提供します。これは、進化し続ける脅威から組織をどのように保護しているかを測定するための優れた方法です。  

2. ゼロトラストセグメンテーションで悪用された既知の脆弱性を修復する

ゼロトラストセグメンテーション(ZTS)は、 ネットワークの脆弱性 が悪用された場所を特定して対処することで、Phobosのようなランサムウェア攻撃の影響を軽減するのに役立ちます。  

セキュリティギャップの確認と修正

イルミオマップは、過剰、不必要、または非準拠の通信を持つシステムやアプリケーションを明らかにするのに役立ちます。この情報を脆弱性スキャナーからのデータと組み合わせることもできます。  

この洞察を使用して、セキュリティチームはきめ細かく柔軟なセグメンテーションポリシーを設定して、脆弱性の露出を減らし、避けられない侵害の拡大を阻止できます。コンテキストと公開を理解することで、パッチがロールアウトされる前にワークロードを迅速に保護できます。

脆弱性に関するデータドリブンな洞察でリスクを定量化

Phobos ランサムウェアのような脅威に直面した場合、ネットワーク内の潜在的な脆弱性を特定するだけでなく、定量化することが重要です。イルミオはネットワークの弱点を示し、チームが最も必要な場所にプロアクティブな対策を正確に実装できるようにします。

この洞察は、部門横断的なチームに、ギャップの確保に対処し、データ主導の意思決定を促進し、環境全体でリスク軽減戦略を強化するための実用的な洞察を提供します。

脆弱性防御をプロアクティブに構築する

報酬管理として、高リスク資産のきめ細かなセグメンテーションをモデル化、テスト、展開し、パッチ適用が不可能な場合や許容できない運用の複雑さを引き起こす場合に重要なシステムを保護します。  

認識が鍵です。トラフィックが既知の脆弱性を持つポートに接続すると、セキュリティオペレーションセンター(SOC)は、イルミオから提供されたデータを含む脆弱性と重大度のコンテキストを含む違反について警告を受け取ります。

3. EDRとゼロトラストセグメンテーションを組み合わせて、ラテラルムーブメントを検出し、自動的に保護します

イルミオは、攻撃者が操作する余地をほとんど残さないゼロトラストセグメンテーションポリシーで攻撃対象領域を減らすことで 、EDR を補完します。イルミオは、攻撃パターンにとらわれず、インシデントと検出の間のギャップを埋めます。

サイバーセキュリティアドバイザリによると、EDRはPhobosなどのランサムウェア攻撃から保護するための重要な部分です。しかし、攻撃が最終的にエンドポイントに侵入した場合、EDR には、その侵害が組織のネットワークを介して横方向に移動し続けるのを防ぐ方法はありません。そのため、EDR と ZTS を組み合わせることが不可欠です。EDR システムが侵害を検出すると、ZTS は感染したワークロードを自動的にシャットダウンして隔離できます。

ZTS などのプロアクティブ テクノロジーと EDR などのリアクティブ テクノロジーをすべてのエンドポイントで組み合わせることで、滞留時間の弱点が軽減されると同時に、応答能力も大幅に向上します。実際、 ビショップ・フォックスのテストによると、EDRとイルミオを組み合わせることで、攻撃者の拡散が劇的に減少し、検出速度が4倍速くなりました。

ゼロトラストセグメンテーションがCISAのガイダンスを満たし、Phobosのようなランサムウェア攻撃を今すぐ阻止するのにどのように役立つかについては、当社にお問い合わせください。