セグメンテーションがインシデント対応においてIRおよび復旧企業にどのようなメリットをもたらすか

記録的なセキュリティ支出にもかかわらず、侵害は依然として日常茶飯事です。IBMは2022年のデータ侵害コストレポートで、侵害を受けた数百の組織にインタビューし、83%が侵害の被害に複数回あることを明らかにしました。

侵害された場合、多くの場合、最初に電話をかけるのはサイバー保険会社であり、サイバー保険会社は通常、攻撃を阻止し、修復を実行し、フォレンジック調査を実施するためにデジタルフォレンジックおよびインシデント対応会社(DFIR)または回復会社に費用を支払います。

これらの企業にとっての課題は、自分たちが知らない、本質的に盲目的なネットワークに入るよう求められることです。そして、彼らはあなたのビジネスに与える影響と損害を制限するために時間との戦いに取り組んでいます。

また、攻撃が広がるほど、より多くのデバイスが侵害され、その修正に必要な時間と費用が増えるため、保険会社は侵害の影響を最小限に抑えるために多額の投資を行っています。その結果、侵害による支払いの増加による通信事業者の経済的損失により、サイバー保険料が上昇しています。‍

ゼロトラストセグメンテーションがインシデント対応に効果的な理由

イルミオは、侵害の封じ込めと復旧のためのインシデント対応業務における ゼロトラストセグメンテーション(ZTS) の有効性を証明しました。

• イルミオZTSは、環境の把握を支援し、これまで見たことのないネットワークに入るDFIRおよび復旧チームにネットワークの即時可視性を提供します。
• Illumio ZTSはクライアントの物理ネットワークに触れないため、IRエンゲージメントの一般的な部分であるVLANを作成したり、ファイアウォールを使用したりする必要がなくなります。
• イルミオZTSは、調査や復旧プロセスが完了する前であっても、攻撃者がまだ環境内にいる場合でも、クライアントの最も重要なビジネス機能に優先順位を付けることで、侵害の拡大を阻止し、復旧の速度を向上させます。

保険会社はサイバー攻撃の増加に対応する最前線に立っており、セグメンテーションによって攻撃対象領域を大幅に減らすことで マルウェアの拡散をそ もそも阻止できることを認識しています。‍

セグメンテーションは、アクティブおよび侵害後のエンゲージメントでどのように機能しますか

アクティブな侵害では、イルミオはEDRツールと一緒に展開され、脅威の検出と修復にEDRに割り当てられた時間が長くなります。イルミオIRチームは、DFIRまたは復旧パートナーに代わってテナントを管理し、セグメンテーションを使用してダウンしたビジネスラインを復元し、侵害の拡大を阻止し、感染したシステムをリアルタイムでインテリジェントに分離します。

侵害後の契約では、イルミオはDFIR契約の後に展開され、ここではセグメンテーションを使用して、保険要件や緊急措置のための重要なアプリケーションの保護を支援します。イルミオIRチームは、将来の脅威に対する一般的な攻撃ベクトルをプロアクティブにブロックすることもできます。

どちらのタイプの契約でも、イルミオのパートナーは、主要なDFIRおよび回収会社とともに、現実世界のアクティブな侵害に携わった幅広い経歴を持つイルミオの専門家に24時間年中無休でアクセスできます。私たちのチームはDFIRパートナーの延長線上にあるため、実際の侵害へのアプローチ方法に合わせて、パートナーのツールとワークフローを必ず理解しています。私たちのチームは、IRおよび復旧プロジェクト管理とワークフロー用に完全にカスタマイズされたイルミオテナントを作成し、テナントはパートナーに無料で提供されます。‍

イルミオのIRチームは、DFIRおよび回収会社と協力して侵害に取り組んでいます

アクティブな侵害では、Illumio ZTSがセグメンテーションを使用して実行できる重要なことの1つは、侵害された環境を「クリーン」バブルと「ダーティ」バブルに分離することで再感染を防ぐことです。

ダーティ環境は、すべての対応および復旧作業にわたって封じ込められ、基本的に隔離されているが、IR会社がそれらにアクセスできる感染したデバイスのみを含むようにセグメント化されています。イルミオは、回復会社が必要なデータにアクセスできるように「回復」バブルを設定します。

次に、イルミオは「クリーン」バブルを設定し、クリーンで修復されたすべてのデバイスがオンラインに戻されます。これは、IRまたは復旧チームが作業を開始する前にVLANを作成したり、個別のネットワークを作成したりする必要がないようにするためです。

最後に、重要なビジネス アプリケーションのセグメント化を開始し、従来のツールを使用した従来の方法と比較して、物理ネットワークを再設計するよりも迅速にオンラインに戻します。‍

セグメンテーションはインシデント対応の方法を変えます

多くの場合、攻撃者が環境内でアクティブであるかどうかが不明な状態では、ビジネスラインを回復できません。つまり、多くの場合、まずEDRをあらゆる場所に展開し、完全にクリーンな健全性の請求書を取得し、そうして初めて先に進むことができます。チームが時間との戦いで取り組んでいるときに、かなりの貴重な時間を消費する可能性があります。

たとえば、ランサムウェアに襲われ、生産現場をオフラインにした製造会社を考えてみましょう。彼らは商品を生産する必要がありますが、それができません。イルミオのIRチームは、アクティブな侵害に入り込み、侵害された環境をバブルに分割し、攻撃者が環境内でまだアクティブであっても、本番環境をオンラインに戻し、メーカーにアクセスを戻して業務を再開し、調査と復旧作業を並行して実行します。‍

イルミオインシデント対応パートナープログラム

イルミオは、主要なDFIRおよび復旧企業と協力して、IRおよびフォレンジックエンゲージメントの一環としてZTSを含めるように設計された 新しいインシデント対応パートナープログラムを発表できることを嬉しく思います。セキュリティ侵害の影響を経験しているクライアントの場合、イルミオは修復を優先してビジネスを再開することで、従来の方法よりもはるかに迅速に回復できるよう支援します。

DFIRおよび復旧パートナー向けに、イルミオは経験豊富なオンデマンドサポートチーム、スタンバイのカスタマイズされたテナント、およびすべての契約で完全な機密性を提供しながら、既存のワークフロー内にセグメンテーションを統合するように設計されたプログラムを提供します。

インシデント対応パートナープログラムの詳細については、イルミオのインシデント対応責任者であるベン・ハレル([email protected])までお問い合わせください。

または、インシデント対応パートナーになることに興味がある場合は、 こちらで詳細をご覧ください。