Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

ランサムウェアから保護するための 4 つの基本原則

Illumio Editorial
Illumio Editorial
2022年2月19日
23分読む

ランサムウェアからの保護は、これまで以上に困難になっています。

ここ数年で、インフラストラクチャは進化し、従来のセキュリティ境界は解消され、従業員はハイブリッド環境で働いています。

同時に、ランサムウェアはこれらの変化を利用するように進化し、短い時間内に大量の資産を迅速に侵害することを学習しました。

したがって、ランサムウェアが今日の最大の脅威になっているのも不思議ではありません。

明らかに、従来のセキュリティはランサムウェアから保護できません。組織には 新しいアプローチが必要です。そして、このブログ記事では、そのアプローチの概要を説明します。

ランサムウェアから組織を保護するのに役立つ 4 つの基本原則について詳しく説明します。

  1. 社内のコミュニケーションフローを確認できることを確認してください
  2. ランサムウェアのお気に入りの経路を最初にブロックすることに重点を置く
  3. 何があっても価値の高い資産を保護
  4. 適切なセキュリティツールを使用する

それぞれをさらに詳しく見てみましょう。

原則 1: 社内のコミュニケーション フローを確認できるようにする

ほとんどのランサムウェアは隠れて数か月間検出されず、システムをロックダウンし、データダンプを脅迫し、身代金を要求した後にのみ検出されます。

その瞬間より前に、ほとんどのランサムウェア攻撃は、できるだけ多くのシステムを侵害するために、できるだけ多くの時間を費やします。そのために、攻撃は多くの場合、組織が持っていることに気づいていないシステムを侵害し、組織が開いていることを知らないシステム間の経路を移動し、攻撃がダウンしていることを認識するために検出、相関、および「合計」が困難なデータの痕跡を残します。

要するに、多くの ランサムウェア攻撃 が成功するのは、組織が手遅れになるまで、ランサムウェア攻撃が発生しているのか、何をしているのかさえ確認できないからです。

ランサムウェアから保護するために、組織はネットワーク内のシステム間の通信フローを 可視化 する必要があります。そうすることで、攻撃が最初に環境に侵入したときに攻撃を検出する可能性が高まるか、実際の危害を引き起こすほど広がる前に早期に攻撃を阻止できる可能性が高まります。

具体的には、組織は次のことができなければなりません。

  • システムが相互にどのように通信するかを(リアルタイムで)確認します。
  • システム間のどの経路が開いていて、どの経路が閉じられるかを特定します。
  • 複数のリスク データ ソースを一元化して、複雑で微妙な攻撃を特定します。

原則 2: ランサムウェアのお気に入りの経路を最初にブロックすることに重点を置く

ほとんどのランサムウェア攻撃は、同じ一般的な経路と脆弱性を標的にしており、 攻撃の80%以上 は、単純でよく知られたエクスプロイトの小さなセットを使用して成功します。

具体的には、ほとんどのランサムウェア攻撃は、リモート デスクトップ プロトコル (RDP) やサーバー メッセージ ブロック (SMB) などのリスクの高い経路の小さなセットを標的にしています。これらのサービスはネットワーク内の多くのシステムで使用されており、必要のないときに開いたままになることが多く、攻撃者がネットワークに出入りしたり、ネットワークを経由したりする簡単なルートを提供します。

これらの経路を悪用するために、攻撃者は通常、日和見主義的です。彼らは多くの場合、ネットワークの外部で通信するオープンポートを持つ悪用可能なシステムをインターネットでスキャンします。攻撃者がそれを見つけると、それを侵害し、ネットワーク内の他の一般的なオープンポートを使用してシステムからシステムへと拡散し、それらすべてを危険にさらします。

要するに、多くのランサムウェア攻撃が成功するのは、組織が通常は気づかないうちに、一般的に悪用される多くの経路をネットワーク内に開いたままにしておくためです。

ランサムウェアから保護するには、組織はまず、これらの一般的に悪用される経路 をブロック することに重点を置く必要があります。そうすることで、悪意のある攻撃者がネットワークに侵入し、侵害が成功した後にシステム間で拡散する能力が制限されます。

具体的には、組織は次のことができなければなりません。

  • どのリスクの高い経路を開いたままにしておく必要があり、どの経路を閉じることができるかを特定します。
  • リスクの高い経路をできるだけ多く閉じ、残りを監視します。
  • 環境をロックダウンして、進行中の攻撃を阻止します。

原則3:何があっても価値の高い資産を保護する

ほとんどのランサムウェアは小規模から始まり、まず保護が不十分な価値の低い資産に感染し、その後徐々にネットワークを経由して価値の高い資産に侵入します。

通常、ランサムウェア攻撃は、組織の低価値資産から高価値資産に移行するために、多くの段階を完了する必要があります。ネットワーク内をゆっくりと移動し、検出を回避する必要があります。彼らはインターネットに接続して、攻撃を進めるためのツールをプルダウンする必要があります(そして、レバレッジを構築するために機密データをアップロードする必要があります)。そして、攻撃してシステムを暗号化し、身代金の支払いを要求する前に、脆弱な高価値資産が見つかるまで辛抱強く待たなければなりません。

要するに、多くのランサムウェア攻撃は、価値の高い資産を侵害して初めて成功します。ターゲットの内部セキュリティによっては、ランサムウェア攻撃者には数年、数か月、数週間、数日、数時間、さらには数分かかる場合があります。

ランサムウェアから保護するために、組織は攻撃者がネットワーク内のあるシステムから次のシステムに急速に拡散する能力を制限する必要があります。そうすることで、組織は攻撃者の速度を低下させ、攻撃が成功する前に検出できる可能性を高め、価値の高い資産が侵害されるのを防ぎ、攻撃者が信頼できる要求を行うのに十分な影響力を開発するのを防ぐことができます。

通常、組織は、環境をセグメント化し、これらの資産をリングとフェンスで囲んで隔離し、攻撃者が保護されていない低価値資産から十分に防御された高価値資産に移行するための明確な道筋を持たないように環境全体を分離することで、高価値資産を保護できます。

原則 4: 適切なセキュリティ ツールを使用する

従来、ほとんどの組織は、手動ファイアウォールや同様の ネットワークセグメンテーション ツールを使用してランサムウェアから保護しようとしてきました。しかし、これらのツールは、異なるネットワークアーキテクチャとセキュリティパラダイムのために数十年前に作成されました。その結果、通常、ランサムウェアから組織を保護することができず、これらの新しい原則を実現するために使用することはできません。

具体的には、ファイアウォールやネットワークデバイスなどの従来のセキュリティツールは次のとおりです。

  • コミュニケーションフローの視覚化に失敗する: 内部の東西通信や南北通信で使用可能なデータは収集しません。リスクを特定できず、多くの場合、単一目的のポイント ソリューションのスタック間で分散してサイロ化されている限られたテレメトリのみを収集します。
  • ランサムウェアのお気に入りの経路をブロックできない: これらは、組織のネットワーク内でどの一般的な経路やエクスプロイトが開いているかを一元的に把握できず、最新の環境ではこれらの経路を閉じたままにしておくのに苦労し、進行中の攻撃への対応が遅すぎます。
  • 高価値資産の保護に失敗する: 通常、構成とセグメンテーション ポリシーは手動ワークフローを通じて管理され、システム間に何百万もの接続ポイントがある最新の環境に拡張できません。彼らが強制するセグメンテーションは、ネットワークが変更された瞬間に削除されます。

つまり、組織は従来のセキュリティツールを使用してランサムウェアから保護することはできません。最新のランサムウェアの脅威から最新の環境を保護するように設計された新しいツールが必要です。

イルミオの紹介:ランサムウェアから保護するための最新のアプローチ

イルミオは、合理化されたスケーラブルなポリシー管理を提供し、環境の規模や規模に関係なく、ランサムウェアから保護するための新しいセキュリティアーキテクチャを簡単に構築できるようにします。

イルミオを使用すると、これらの原則を簡単に実現できます。

ランサムウェアの可視性

コミュニケーションフローを包括的に可視化

インストールから最初の1時間以内に、イルミオは環境内のすべてのシステム間のすべての通信のリアルタイムマップを作成します。イルミオは、これらのコミュニケーションのうちどれが必要で、どれをシャットダウンできるかを確認するのに役立ち、多くのチームやSIEMなどのツールに信頼できる唯一の情報源を作成します。

一般的なランサムウェアの経路をブロックする

ランサムウェアが悪用する経路を迅速にブロック

イルミオは、環境内で開かれている一般的なランサムウェアの経路を示し、セキュリティポリシー管理のすべての重要なステップを自動化することで、これらの経路を簡単に閉じることができます。最後に、Illumioを使用すると、インシデント中にネットワークとシステムを数秒でロックダウンする「封じ込めスイッチ」を作成できます。

ゼロトラストセグメンテーションは、高価値の資産を保護します

スケーラブルなゼロトラストセグメンテーションを実行して、高価値資産を保護

イルミオは、大規模な最新の環境でポリシーを適用し、横方向の広がりを制限し、価値の高い資産を簡単に分離できるようにする 包括的なセグメンテーションソリューション を提供します。イルミオはこれらのポリシーを動的に適用し、ネットワークが進化しても常に維持します。

要するに、イルミオは従来のセキュリティツールやアーキテクチャの問題の多くを解決し、ランサムウェアから保護するための新しいアプローチを展開できるようにします。

今すぐランサムウェアから保護:イルミオを防御しましょう

イルミオは、ランサムウェアから保護するために、世界最大かつ最も革新的な組織の多くで使用されています。イルミオを使用すると、コミュニケーションフローを可視化し、最もリスクの高い経路を明確に理解し、アプリケーションレベルまでの完全なセグメンテーション制御を行うことができます。

イルミオは現在、以下の資産を保護しています。

  • フォーチュン100の10%以上
  • 世界大手銀行10行のうち6行
  • 大手保険会社5社
  • エンタープライズSaaS企業5社のうち3社

また、 お客様は イルミオを使用して、幅広い攻撃から防御する根本的に強力なセキュリティ体制を構築しています。

イルミオをあなたの防衛に連れて行く時が来ました。次のステップを踏み出しましょう。

関連トピック

Ransomware Containment

関連記事

サイバーインシデントで何をすべきか、パート2:非技術的対応
Ransomware Containment

サイバーインシデントで何をすべきか、パート2:非技術的対応

サイバーインシデント対応の重要な非技術的側面(インシデント評価、報告、規制当局への提出、公開、プロセスの適用)を理解します。

Read more
製造業がランサムウェアからIIoTリソースを保護する必要がある理由
Ransomware Containment

製造業がランサムウェアからIIoTリソースを保護する必要がある理由

製造部門のIIoTリソースに対するランサムウェアのリスクに関する洞察を得ることができます。

Read more
Conti ランサムウェアからの防御: CISA がマイクロセグメンテーションを緊急に推奨する理由
Ransomware Containment

Conti ランサムウェアからの防御: CISA がマイクロセグメンテーションを緊急に推奨する理由

組織がContiランサムウェアから直面するリスクと、イルミオゼロトラストセグメンテーションがこれらの攻撃からの防御にどのように役立つかをご覧ください。

Read more
ランサムウェア封じ込めにイルミオを使用する9つの理由
Ransomware Containment

ランサムウェア封じ込めにイルミオを使用する9つの理由

イルミオのリアルタイムの可視性とシンプルな制御により、未使用のRDPポートなど、ランサムウェアのリスクの最大の発生源を迅速に削減する方法をご覧ください。

Read more
ランサムウェアの封じ込めにはファイアウォールが十分ではない理由
Ransomware Containment

ランサムウェアの封じ込めにはファイアウォールが十分ではない理由

ファイアウォールが脅威に追いつくのに遅すぎる理由と、マイクロセグメンテーションがランサムウェア封じ込めの鍵となる理由を発見してください。

Read more

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more