Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

攻撃者のハードルを引き上げる:マイクロセグメンテーションがKaseyaのような攻撃から組織を保護する方法

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
2021年7月12日
23分読む

ITセキュリティベンダーが決して警戒を緩められない理由の1つは、サイバー犯罪コミュニティからの絶え間ないイノベーションです。知識は、多くの組織を驚かせるようなスピードで、アンダーグラウンドフォーラム全体に広範囲に広がります。したがって、悪名高い SolarWindsキャンペーン で使用された手法のいくつかが、最近のKaseyaランサムウェア攻撃に適用されているのを見ても、驚く必要はありませんでした。

しかし、マイクロセグメンテーションを適切な場所に導入することで、組織は、最初の ゼロデイ悪用 のリスクを最小限に抑え、その後のコマンド&コントロール通信をブロックするという点で、悪者の生活をはるかに困難にすることができた可能性があります。

カセヤ攻撃で何が起こったのか?

Kaseya は、主にマネージドサービスプロバイダー(MSP)にソフトウェアを提供し、中小企業向けのパッチ適用やリモート監視などの重要なITタスクを合理化します。SolarWindsソフトウェアの場合と同様に、この攻撃の標的となった Kaseya VSA 製品には、ネットワークとコンピューティングデバイスをリモートで監視および管理するためのコアタスクを実行するための高度な特権アクセスが付与されており、マルウェアを広範囲に拡散するのに理想的な選択肢となっています。

攻撃の背後にいる REvilランサムウェア関連会社 にとってのさらなる利点は、Kaseyaの顧客の性質です。MSPとして、それぞれが複数の顧客を持っており、攻撃者が感染して恐喝する可能性があります。これは、簡単にお金を稼ぎたいサイバー犯罪者にとってかなり良い ROI です。

カセヤは 攻撃に対する対応を詳述した。ベンダーは、米国の休日の週末の直前の7月2日に、侵害について最初に通知されました。攻撃者は、オンプレミスのKaseya VSAのWebインターフェイスで ゼロデイ認証バイパスエクスプロイト を使用したようです。これにより、認証されたセッションを取得し、ペイロードをアップロードし、SQLインジェクションを介してコマンドを実行することができました。

MSPのKaseya VSAサーバーにアクセスすることで、実際にはREvil/Sodinokibi ランサムウェアである「Kaseya VSA Agent Hot-fix」と呼ばれる偽のアップデートをこれらの組織の顧客にプッシュすることができました。

潜在的な顧客40,000人のうち、影響を受けたのは60人未満であると考えられています。しかし、その波及効果により、MSPの下流の顧客がランサムウェアに感染し、学校からスーパーマーケットまで世界中の約1,500の組織が感染しました。

悪用されたゼロデイ脆弱性のパッチがリリースされましたが、これらの侵害された企業にとっては手遅れです。

マイクロセグメンテーションがどのように役立つか:インバウンドトラフィック

MSPは、Kaseya VSA Webインターフェイスへの管理アクセスを制限することで、最初の侵害を軽減できた可能性があります。このようにして、少数の 要塞ホスト の特定の許可されたユーザーのみが、管理ポートで Kaseya ソフトウェアにアクセスできます。

事実上、マイクロセグメンテーションを使用して攻撃対象領域を縮小し、サイバー犯罪者の邪魔になる余分な障壁を設け、ゼロデイエクスプロイトを展開するためにさらに努力する必要があります。これを、限られた許可ユーザーに対する多要素認証と組み合わせると、サイバークリマルがネットワークに侵入することが指数関数的に困難になります。

ロックされていないドアを探してネットワーク内を捜索する際に、より多くの時間を費やし、より多くの「ノイズ」を出すようにすることで、脅威の検出および対応ツールが暗闇の中を忍び回るときに「聞く」のにも役立ちます。

マイクロセグメンテーションがどのように役立つか:アウトバウンドトラフィック

マイクロセグメンテーションが役立つ 2 番目の方法は、感染したエンドポイントからインターネットへのアウトバウンド通信です。

サイバー犯罪者は通常、ある時点でコマンド アンド コントロール (C&C) サーバーと通信して、指示を提供し、 悪意のあるペイロードをダウンロードする必要があります。ポリシーがKaseyaインフラストラクチャからのアウトバウンド接続を、既知で事前に承認されたIPアドレスのみに制限するようにすることで、攻撃者の追跡を阻止できます。犯罪者が自分のサーバーと通信できない場合、攻撃の次の段階に進むことはできません。

ゼロトラストはセグメンテーションから始まる

KaseyaやSolarWindsなどのランサムウェア攻撃から組織を保護するには、ITインフラストラクチャ全体にわたって堅牢で包括的な ゼロトラスト ポリシーとプラクティスを開発する必要があります。また、ゼロトラストは、侵害が発生し、犯罪者がネットワークのどこかで鍵のかかっていないドアを見つけるため、セグメンテーションから始まります。重要なのは、彼らがこれ以上進まないようにすることです。

セキュリティに特効薬はありません。しかし、このようなマイクロセグメンテーションを適用することで、攻撃者の生活を大幅に困難にし、少なくとも検出の可能性を高め、理想的にはあきらめて先に進むことを余儀なくされる可能性が非常に高まります。

関連トピック

No items found.

関連記事

ランサムウェアの阻止: イルミオで脅威を確認する
Ransomware Containment

ランサムウェアの阻止: イルミオで脅威を確認する

ランサムウェアを封じ込めるためにアプリケーションとトラフィックのリアルタイムの可視性が不可欠である理由と、ゼロトラストセグメンテーションがランサムウェアを安全に提供する方法をご覧ください。

Read more
ランサムウェアを阻止するための脆弱性の評価
Ransomware Containment

ランサムウェアを阻止するための脆弱性の評価

リスクベースの脆弱性スコアリングとマイクロセグメンテーションを使用して、パッチ適用に優先順位を付け、ランサムウェアが拡散する前に封じ込めたリスクの高いポートをブロックする方法を学びます。

Read more
IllumioでLockBitランサムウェア攻撃を封じ込める方法
Ransomware Containment

IllumioでLockBitランサムウェア攻撃を封じ込める方法

LockBitランサムウェアがどのように動作し、2022年夏にIllumio Zero Trust SegmentationがLockBitランサムウェア攻撃をどのように封じ込めたかをご覧ください。

Read more
No items found.

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more