.png)
イルミオでRDPベースのランサムウェア攻撃を阻止する方法
Gartner によると、ランサムウェア攻撃の 90% 以上は防ぐことができます。また、攻撃者はほんの一握りの脅威ベクトルの1つをたどる傾向があるため、ある程度はかなり予測可能です。最も人気があるのはリモート デスクトップ プロトコル (RDP) の悪用で、ある推定によると、2021 年第 3 四半期の攻撃のほぼ半分を占めました。
肝心なのは、組織がRDPを介した ランサムウェア攻撃 を阻止する能力を向上できれば、サイバーリスクを全面的に最小限に抑えることができる可能性が非常に高いということです。
良いニュースは、イルミオが組織が最も必要としている場所、つまり組織が最も危険にさらされている場所を理解し、RDP通信を制限するためにポリシーを大規模に展開するという可視性と制御を提供することです。
RDPとは
RDP は、コンピューター ユーザーが PC やサーバーにリモートで接続できるようにする Microsoft プロトコルです。すべてのWindowsサーバーで実行され、遍在しているため、攻撃の主な標的にもなります。
RDP 攻撃は、在宅勤務者のリモート アクセス ソリューションの使用も急増したパンデミック中に急増しました。ある調査によると、標準ポートでRDPをパブリックインターネットに公開するデバイスの量は、1か月で40%以上急増しました。
RDPはどのように悪用されますか?
RDP ランサムウェア攻撃 がこれほど成功する理由を説明する要因はいくつかあります。
多くの組織は、ITネットワークインフラストラクチャの可視性が不十分です。これは、開いているRDP経路の数を知らない可能性があることを意味します。攻撃は、効果的なパッチやパスワード管理など、一般的な企業セキュリティ上の課題も利用します。
仕組みは次のとおりです。
- 攻撃者は、パブリック IP アドレスとオープン ポート 3389 (RDP に一般的に使用される) を持つ Windows サーバー をスキャンします。
- これらが見つかると、脅威アクターは次の方法で公開されたサーバーを侵害しようとします。
- Microsoftの脆弱性を悪用して、RDP認証をバイパスしたり、接続を介してマルウェアを直接実行したりする可能性があります。
- ブルート フォース RDP アカウントは、脆弱な資格情報でのみ保護されます。これらの自動パスワード推測の試行は、アラームの発生を避けるために数日間にわたって実行されることがあります。
- 初期アクセスが達成されると、攻撃者はRDPまたはその他の手法を使用して、他の資産やデータに 横方向に移動 する可能性があります。最終的には、被害者のネットワークに十分な足場を構築し、ランサムウェアを広範囲に展開したり、恐喝のために機密データを盗んだりすることになります。
RDPランサムウェア攻撃の阻止
RDP ランサムウェア攻撃を防ぐには、システムが最新のパッチで保護されていることを確認し、多要素認証をオンにしてパスワード クラッキングの試みを軽減することが部分的です。
しかし、より根本的には、まず、RDP が組織全体で実行されている場所と、ビジネス プロセスや生産性に影響を与えずに接続を切断できる場所を理解することです。これらのサーバーでポート 3389 をブロックすると、うまくいきます。
この方法で攻撃対象領域を減らすと、潜在的な侵入ポイントの数を最小限に抑えることができます。また、攻撃者がRDPを利用してネットワーク内を移動する機会も減ります。これにより、ベストプラクティスの認証ポリシーで監視および保護する残りのサーバーの数が少なくなります。
イルミオがどのように役立つか
イルミオは、フォーチュン100の10%以上を含む、ランサムウェアの脅威を軽減するために、世界最大かつ最も要求の厳しい 組織 のいくつかですでに使用されています。RDP 通信が発生している場所を理解するために必要な詳細な 可視性と 、必要に応じて通信をブロックする制御を提供します。
RDPランサムウェアのリスクを最小限に抑えるためのイルミオのシンプルな3ステップのアプローチは次のとおりです。
- すべての RDP サーバーと接続をマップする
- 必須および非必須の RDP 通信を特定する
- シンプルで迅速なポリシー展開による対策を講じ、重要でない通信を大規模に制限
ランサムウェアのリスクを軽減するためのベストプラクティスのアドバイスと、イルミオが脅威のブロックにどのように役立つかについては、新しい電子ブック「ランサムウェア攻撃を阻止する方法」をご覧ください。
.webp)
