ブログ
/
ランサムウェアの封じ込め

ゼロトラストセグメンテーションでマルウェアを抑制するための5つのステップ

イルミオエディトリアル
November 1, 2021
23 最小読取り

サイバー攻撃の頻度と巧妙さが増し、組織のセキュリティが危険にさらされています。この1年間、 3分の1以上の企業 世界中でランサムウェア攻撃やデータ侵害が発生し、データへのアクセスがブロックされています。

調査会社IDCが500人以上のセキュリティ専門家を対象に実施した調査によると、企業は高度なマルウェアがセキュリティ侵害の最も頻繁な原因であると報告しています。

高度な脅威から身を守るために、IT組織はさまざまなセキュリティ投資を行う必要があります。これらには、マルウェアを検出するためのウイルス対策ソフトウェアなど、従来のセキュリティ製品が含まれます。また、従業員向けのセキュリティトレーニングにも投資する必要があります。

しかし、もう1つ重要なステップがあります。それは、を採用することです。 ゼロトラストセグメンテーション 戦略。

ネットワークをセグメント化するには、エンドポイントに「許可リスト」ポリシーコントロールを導入し、正当な事業運営に必要な特定の種類のトラフィックのみを許可します。このアプローチは、攻撃は避けられないことを認識しています。数千または数十万のエンドポイントを持つ大規模な組織では、マルウェアは何らかの形でどこかに侵入します。

その場合、最善の防御策は、マルウェアがエンドポイントからエンドポイントに移動するのを阻止することです。これは「ラテラルムーブメント」と呼ばれる手法です。

エンドポイントにゼロトラストセグメンテーションを適用すると、マルウェアやランサムウェアが拡散して重大な損害を引き起こすことはありません。会社全体や 1 つの部署を席巻することはないでしょう。その代わり、1 台のノートパソコンに収まるようになります。

エンドポイントにゼロトラストを適用するための5段階のアプローチ

最近では IDC テクノロジースポットライト、IDCのセキュリティ調査責任者であるマイケル・スビー氏は、マルウェアやランサムウェア攻撃の拡散を抑制するために、次の5段階のプロセスを推奨しています。 ゼロトラスト (「許可リスト」) アプローチ。

ステップ 1: トラフィックフローを視覚化する

エンドポイントトラフィックを制限する目的は、 マルウェアの拡散を防ぐ ネットワーク経由で簡単に利用できます。この戦略では、ホストオペレーティングシステムに組み込まれているファイアウォールを利用してエンドポイントトラフィックを管理します。

これらのファイアウォールを軽量のエージェントで制御することで、ITチームはデータアクセスをビジネスに必要なアクセスだけに制限できます。つまり、従業員とそのエンドポイントには、必要なアプリケーションやデータへのアクセスを許可し、それ以外には一切アクセスできないようにすることができます。

IDCによると、従業員が必要とするアクセスを判断するには、IT組織はトラフィックフローを監視して、アプリケーションとデータ使用量の通常の変動を考慮して、できれば約30日間、トラフィックフローを監視する必要があります。監視は包括的に行い、オンプレミス、遠隔地、およびクラウドとの間で送受信されるデータフローを追跡する必要があります。

最良の結果を得るには、単一のサーバーからすべてのデバイスのすべての場所にわたるすべてのトラフィックを監視しようとするのではなく、ホストベースのソフトウェアとネットワークインフラストラクチャのレポートを活用してください。

ステップ 2: エンドポイントをグループ化する

トラフィックを許可または禁止するポリシーの作成は、すぐに複雑になります。この作業を効率化するには、エンドポイントを共通の特性別にグループ化し、それに応じて許可リストポリシーを作成します。エンドポイントのグループには次のものが含まれる場合があります。

  • 場所 (例:ニューヨークオフィス、リモートなど)
  • デバイスの種類 (例:ノートパソコン)
  • 従業員の所属 (例:部署、役職など)
  • 営業時間 (例:標準勤務時間または非勤務時間)

エンドポイントをこれらのグループに割り当てることで、IT管理者は次の手順でポリシーの作成と微調整の作業を簡素化できます。

ステップ 3: 許可リストポリシーを定義してテストする

次のステップは、日常業務に必要な特定のネットワークポート、アドレス、プロトコルを使用するトラフィックを許可するポリシーを定義することです。最も制限の厳しいポリシーから始めて、それが適用された場合にトラフィックにどのような影響が出るかを監視することをおすすめします。一般原則として、トラフィックをできるだけ制限して、マルウェアが移動する余地をできるだけ少なくする必要があります。

ステップ 4: 許可リストポリシーを適用する

次のステップは、許可リストポリシーを適用して、ポリシーによって明確に識別されるトラフィックのみを許可することです。理論的には、このステップでは IT 管理者が複雑なファイアウォールルールを手作業で作成し、各ルールセットを適切なエンドポイントグループに展開する必要がある場合があります。

しかし、次のような解決策で イルミオエッジ そして イルミオコア、管理者がファイアウォールルールを直接作成したり管理したりする必要はありません。代わりに、必要な許可リストポリシーを定義すれば、Illumio がそれらのポリシーを詳細なファイアウォールルールに自動的に変換し、エンドポイントだけでなく、データセンターやクラウドのワークロードにも簡単に展開できます。

ステップ 5: 許可リストポリシーの絞り込み

このプロセスの最後のステップは、必要に応じて許可リストポリシーの監視と改善を継続し、事業運営に支障をきたすことなくアクセスを可能な限り制限することです。

ゼロトラストセグメンテーションによるマルウェア抑制のメリット

次のようなソリューションを使用するこのアプローチの利点 イルミオエッジとイルミオコア かなりあります:

  • エンドポイントトラフィックと潜在的な脅威の可視性が向上しました。
  • マルウェア、ランサムウェア、その他のサイバー攻撃による被害を軽減しました。
  • 自動化により、許可リストポリシーの定義、導入、調整を迅速かつ簡単に行うことができます。
  • 大規模なエンタープライズネットワークに適したスケーラビリティ。
  • SIEMシステムやその他のITセキュリティツールとの統合により、許可リストポリシーをITセキュリティに対するより大規模で多層的なアプローチの一部として機能させることができます。

これらのステップと IDC の調査について詳しくは、IDC テクノロジースポットライトをご覧ください。 包括的な可視性と許可リストポリシー制御によるマルウェアの拡散の抑制

関連トピック

アイテムが見つかりません。

関連記事

ゼロトラストエンドポイントセキュリティでセキュリティ侵害を想定する
ランサムウェアの封じ込め

ゼロトラストエンドポイントセキュリティでセキュリティ侵害を想定する

エンドポイントセキュリティに対する従来のアプローチでは不十分な理由と、Illumio Endpointが既存の検出ツールをどのように補完できるかをご覧ください。

もっと読む
ReVilを阻止しよう:Illumioがいかにして最も多作なランサムウェアグループの1つを混乱させることができるか
ランサムウェアの封じ込め

ReVilを阻止しよう:Illumioがいかにして最も多作なランサムウェアグループの1つを混乱させることができるか

もっと読む
ランサムウェア対策にイルミオを使う9つの理由
ランサムウェアの封じ込め

ランサムウェア対策にイルミオを使う9つの理由

Illumioのリアルタイムの可視性とシンプルな制御により、未使用のRDPポートやSMBポートなど、ランサムウェアの最大のリスク源を迅速に減らす方法

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく