ランサムウェアを理解する: 最も一般的な攻撃パターン

デジタルトランスフォーメーションは今や最大の 戦略的ビジネス目標です。シドニーからサンフランシスコまで、役員室はクラウド、AI、IoTなどの力を活用して成功を促進する最善の方法を検討しています。彼らの取り組みは、新しい顧客体験を生み出し、ビジネスプロセスを合理化するために不可欠であるだけではありません。また、パンデミックの灰の中から急速に台頭する新しいハイブリッドワークモデルをサポートするためにも重要です。

しかし、組織がデジタルフットプリントを拡大するために支払うことが多い代償は、サイバー攻撃対象領域を拡大することです。これはサイバーリスク、特に ランサムウェア 侵害に損害を与える脅威を招きます。

現在、多数のランサムウェア開発者と関連グループが世界中で活動しています。つまり、さまざまな攻撃戦術、手法、手順も流通しています。しかし、それは私たちが主要な手口を識別できないという意味ではありません。さらに良いことに、この一般的な攻撃パターンを採用し、シンプルな3ステップのプロセスを適用して、ランサムウェアのリスクを軽減できます。

これが、ネットワーク資産の通信と脅威アクターが使用する一般的な経路を包括的に可視化することに基づく マイクロセグメンテーションの価値です。

このブログ投稿では、ランサムウェアの仕組みとそれを阻止する方法に関するよくある質問に答えます。

ランサムウェアが重要な理由

ランサムウェア は2021年の最初の3四半期に記録的なレベルに達し、あるベンダーは世界中で5億件近くの侵害の試みを記録しました。近年、攻撃はデータ流出が標準になるまでに進化しており、ビジネスリスクのまったく新しい要素が追加されています。つまり、組織は単にデータをバックアップして指を交差させることはできません。データ侵害だけで経済的および風評被害が発生する実際のリスクがあります。

現在、いわゆる「二重恐喝」攻撃は、次のような結果をもたらす可能性があります。

• 規制上の罰金
• 生産性の低下
• 売上の損失
• ITの残業コストを回復および調査
• 弁護士費用(例:データ侵害が発生した場合の集団訴訟)
• 顧客離れ
• 株価の下落

すべての組織とすべての攻撃は異なります。一部のコメンテーターは、現在 、平均的な経済的影響 を200万ドル近くと見積もっていますが、 一部の家宅捜索は 被害者に数億ドルの損害を与えています。そのため、脅威に対抗するための積極的な措置を講じることが不可欠です。

ランサムウェアはどのように機能しますか?

良いニュースは、現在多くの亜種や関連グループが活動しているにもかかわらず、ほとんどの攻撃の基本的なパターンを識別できることです。つまり、脅威アクターは次のことを行います。

• 攻撃する前に数か月間ネットワーク内に隠れます。
• 初期ネットワークアクセスと継続的なラテラルムーブメントのための共通の経路を活用します。
• 目標を達成するために、複数の段階にわたってアクションを実行します。

それぞれについて詳しく見ていきましょう。

攻撃者はなぜこれほど長い間検出されないのでしょうか?

攻撃者の目標は、被害者のネットワーク内に大量の機密データを盗み、ランサムウェアをあらゆる場所に展開するのに十分な強力な存在感を構築するまで、身を隠すことです。

そのために、彼らは次のことを行います。

• 組織が脆弱または公開されていることを知らなかった資産(インターネットやその他のネットワーク資産へのオープンな接続を持つデバイス、アプリケーション、ワークロードなど)を侵害する
• 組織が開いていることを知らなかった経路/データ フローを使用し、ベスト プラクティスのセキュリティ ポリシーに従って閉じる必要があります
• 複数の機能にまたがる複数のシステムを侵害し、チームがすべてを 1 つのインシデントに遡ることが困難になります

攻撃者はどのようにして一般的な経路を悪用しますか?

ほとんどのランサムウェア は、フィッシングメール、 RDPの侵害 、またはソフトウェアの脆弱性の悪用を介して到着します。成功の可能性を高めるために、攻撃者は次のことを探します。

• RDP や SMB などのリスクの高い一般的な経路の小さなセット。これらは通常、組織全体で、簡単にマッピングされ、構成が間違っていることがよくあります。
• スクリプトとクローラーを使用した自動スキャンを介して、ポートと悪用可能な資産を開きます。
• これらのリスクの高い経路を使用して、わずか数分で組織全体に広がる、高速で横方向に移動する方法。

多段階攻撃はどのように機能しますか?

ほとんどの攻撃は、通常、ハイジャックされやすい価値の低い資産を侵害することから始まります。脅威アクターのトリックは、追加の段階を経て、データを盗んだり暗号化したりできる貴重な資産に到達し、被害者の組織を恐喝する際にレバレッジを提供することです。

そのために、攻撃者は通常、次のことを行います。

• 組織の可視性の低さ、ポリシー制御、セグメンテーションを利用します。
• インターネットに接続して、攻撃の次の段階に役立つ追加のツールをダウンロードしたり、制御下にあるサーバーにデータを盗み出したりします。
• ほとんどの損害は、ネットワーク内で資産から資産へと飛び回るプロセスであるラテラルムーブメントによって引き起こします。

ランサムウェアを阻止するための3つの簡単なステップ

この典型的な攻撃パターンを念頭に置いて、CISOは、次の3つのシンプルなコンポーネントに基づく新しいセキュリティアーキテクチャという対応策を考案し始めることができます。

1. 環境全体の通信フローの包括的な可視性を開発する

これにより、攻撃者は隠れる場所がなくなり、初期資産を侵害しようとするときやラテラルムーブメント中に攻撃者の正体を暴くことができます。

そのためには、次のことを行う必要があります。

• すべての資産をリアルタイムで可視化し、不要または異常なデータフローに対処できるようにします。
• 環境のリアルタイムマップを構築して、どのワークロード、アプリケーション、エンドポイントを開いたままにしておく必要があり、どのワークロード、アプリケーション、エンドポイントを閉じることができるかを特定します。
• すべての運用チームが作業できるコミュニケーションフローとリスクデータの統合ビューを作成し、内部の摩擦を軽減します。

2. ランサムウェアブロック機能を構築する

コミュニケーションフローをマッピングし、どの資産をクローズできるかを理解するだけでは十分ではありません。攻撃対象領域を減らし、進行中の襲撃をブロックするための措置を講じる必要があります。

これを行うには、次の手順を実行します。

• できるだけ多くのリスクの高い経路を閉鎖し、開いたままの経路をリアルタイムで監視します。
• 開く必要のないポートを閉じて、自動スキャンで公開されたアセットが見つかる可能性を減らします。
• 攻撃が発生した場合にネットワーク通信を制限するために数秒で起動できる緊急封じ込めスイッチを作成します。

3. 重要な資産を分離する

最終段階は、攻撃者が重要な資産に到達するのを防ぎ、攻撃者が進行するために検出しやすいアクションを取らざるを得ないようにすることです。

これには次のものが含まれます。

• 高価値資産が侵害されるのを防ぐためのリングフェンシングアプリケーション。
• 信頼できない IP へのアウトバウンド接続を閉じ、承認された「許可リスト」にあるもののみを許可します。
• 重要な資産を保護し、攻撃の拡大を阻止するための侵害後のセキュリティ対策を開発します。

反撃はここから始まる

今日、100%侵害を防ぐ組織はありません - 攻撃者は、そのために決意が強く、リソースが豊富で、数が多いです。しかし、ネットワークの可視性、ポリシー制御、セグメンテーションに適切に焦点を当てることで、脅威を隔離する可能性が高い、 よりスマートなセキュリティアーキテクチャ を構築できます。

ほとんどの脅威アクターは日和見主義的で、迅速かつ簡単なROIを求めています。彼らの計画を妨害するためにこれらの 3 つのステップを踏むと、重大な妥協を回避できる可能性が非常に高くなります。

詳細情報：

• 電子書籍「ランサムウェア攻撃を阻止する方法」の各ステップを詳しく説明します
• イルミオがどのように役立つかをご覧ください: ランサムウェアと戦うためにイルミオを使用する9つの理由