ブログ
/
ランサムウェアの封じ込め

ゼロトラストエンドポイントセキュリティでセキュリティ侵害を想定する

マイケル・アジェイ
シニア・システム・エンジニア
May 5, 2023
23 最小読取り

「セキュリティ対策は整っていたのに、どうやって ランサムウェア 通り抜けられる?」— この心に訴える質問は、大規模なサイバー侵害の余波を受けて、多くの取締役会で危機管理会議が開かれることが多いものです。多くの企業にとってこのような重要な時期には、ブランドの評判、コンプライアンス違反による罰金、投資家の信頼の喪失、株価の変動、さらには身代金の支払いに関する考慮事項など、多くの課題が絡んでいます。

ransomware-attack-encryption

そして実際には、この質問は決して場違いではありません。エンドポイントと境界セキュリティソリューションは、ビジネスネットワーク全体に広く普及しています。そこで疑問が生じます。ランサムウェアはいまだにどうやって侵入しているのか、そして最も重要なのは、なぜランサムウェアが未だに急速に広がり、驚異的な速さで大混乱を引き起こしているのかということです。

この記事では、これらの質問について検討します。また、これまで主流だった従来のアプローチについても再考します。 エンドポイントセキュリティ 今までの話。

ストーリー:同じ脚本、異なる俳優

多くの場合、脅威アクターによるアプローチは、不気味に予測可能な結末を伴う、おなじみの筋書きになり、通常は次のようなものになります。

  • エンドユーザーのエンドポイント (認証情報) や Web フロントエンドサーバーなど、手っ取り早く成果物をターゲットにする
  • 最初の妥協点としては、直接的・間接的プロービングとソーシャル・エンジニアリングを組み合わせて使用する
  • 他に何がアクセス可能かを発見し、侵害されたマシンから方向転換しましょう
  • 権限を昇格して他のマシンに移動できるようにする
  • 価値の高いシステムへの拡散を続け、悪質な目標を完遂する
  • すすいで繰り返す

この物語では、誰もがターゲットです。

たとえば、契約開発者がリモートで作業して、重要なビジネスソフトウェアをクライアントに提供しているとします。彼らは通常、非常に厳しい締め切りに取り組んでいるため、締め切り前にプロジェクトを完了するために手抜きをしなければならないというプレッシャーにさらされることがあります。この種のエンドポイントユーザーは、侵害された場合、そのエンドポイントを利用してソースコード管理 (CI/CD) パイプラインに侵入する可能性があるため、サプライチェーン攻撃の理想的な候補となります。標的となるユーザーのもう 1 つの例としては、出張で会議やイベントに参加することが最も多い営業やマーケティングの幹部が挙げられます。また、保護されていない公共のネットワークにアクセスする可能性が高いため、ソーシャルエンジニアリング攻撃やフィッシング攻撃を受けるリスクもあります。

このようなユーザーとそのエンドポイントは、いったん侵害されると、攻撃者は攻撃を続けるためのピボットポイントを得ることができます。その後、権限の高いアカウントに侵入して他のマシンに移動しようとし、最終的にはデータベースシステム、文書管理システム、顧客関係管理システムなどの重要なシステムに到達します。これらは多くの場合、組織にとって貴重なビジネス情報や個人情報を含む高価値資産です。

現状:サイバー防衛疲労

高度なコードインジェクションや回避性の高いランサムウェアペイロードを活用するファイルレスマルウェアから、組織が非常に古くても重要なビジネスコードをホストしているレガシーシステムに依存しているために現在も有効な古くからある脆弱性まで、脅威アクターは手腕に事欠きません。攻撃者の方が有利に思えることもあります。

そして、防御側は、ますます多くの悪意のある能力を備えた攻撃者の集中砲火に直面しているため、そうなる可能性は十分にあります。ことわざにあるように、防御側は常に正しい判断をしなければならないのに対し、攻撃側は一度だけ正しく理解する必要があります。そのため、ほとんどの場合、ディフェンダーはほとんどの場合プレッシャーに直面します。

これ以上詳しく説明しませんが、Brute Ratelペイロードとそれに関連するMITRE TTPマップの例を以下に示します。これにより、たった1つのペイロードから防御側がどのような攻撃を受けるかがわかります。そして、このような機能を備えたマルウェアには、さまざまな亜種があります。

画像の左端にある小さな点は、Brute Ratel ペイロードです。右側には、この 1 つのペイロードがシステムへの感染、検出の回避、および悪意のある目的の実行に使用できるさまざまな戦術と手法が示されています。

これは、アンチウイルス(AV)、次世代AV(NGAV)、エンドポイント保護プラットフォーム(EPP)、エンドポイント検出および対応(EDR)などのエンドポイントセキュリティツールの目覚ましい進化にもかかわらず、侵害やランサムウェアの件数が増え続けている理由の一部を示しています。これらのツールには、署名分析、アプリケーション/プロセス制御、ヒューリスティック、行動分析、エクスプロイト防止、サンドというさらに多くの保護機能が組み合わされています。ボックス化、そしてリストは続きます。これにより、現在発生していると思われる実際の問題が解決されるはずです。悪化。過去数年にわたるランサムウェアの蔓延は、問題の深刻さを証明しています。

では、なぜマルウェアはまだ侵入できるのでしょうか。

これにはいくつかの理由が考えられます。場合によっては、従来の検出優先システムであった既存のセキュリティが、脅威を完全に見逃していました。これは、ゼロデイ脆弱性や回避性の高い手法が原因である可能性があります。また、予算の制約や日常的なビジネスユースケースを妨げる誤検知が原因で、必要なセキュリティモジュールが適切に構成されていなかったり、適切なモジュールがまったく実装されていなかったりする可能性もあります。

エンドユーザーやベンダー側の脆弱性の脅威や、現代のネットワーク(ハイブリッド環境)における複雑化の一途をたどるなど、攻撃能力はほぼ無限にあることを背景に、何かがおかしくなることは間違いありません。そして、これが通常そうなる理由です。

サイバーレジリエンス:ゼロトラストエンドポイントセキュリティ

じゃあ次は?協調的安全保障パラダイムに入りましょう!これは、従来の検出エンドポイントセキュリティと新しいゼロトラストエンドポイントセキュリティアプローチを組み合わせたものです。

これはプロアクティブなセキュリティに基づく新しいセキュリティパラダイムであり、 ゼロトラストの原則 ネットワークやシステムの変更を必要とせずに、既存のセキュリティツールと連携できます。この機能では、インテリジェントでスケーラブルな中央脳によって一元的に分析されるマルチプラットフォームのエンドポイントデータを使用します。

endpoint-visibility-illumio

まずは、数分で完了する無停止の導入から始まります。次に、通常監視されている南北通信に加えて、東西間の通信についても詳しく説明します。これが必要なのは、組織は異なるオペレーティングシステム、プラットフォーム、場所にわたる通信を同時に確認し、追跡できなければならないからです。しかも、これらすべては、システムやネットワークを変更しなくても可能です。ここでは、パブリッククラウド資産を含むすべての異なるエンドポイントとサーバーワークロードが、指定された場所名で論理的に (ネットワークを変更せずに) グループ化された例を示しています。

endpoint-server-workloads-location

エンドポイントは単独では存在しないため、さまざまなシステムと通信します。他のエンドポイントとの通信を試みることもありますが、リスクが高いためにこの通信が実際には必要でなかったり、望ましくなかったりする場合もあります。 横方向の動き。そのため、エンドポイント通信を可視化することは非常に重要な機能です。

endpoint-visibility-communication

エンドポイントはサーバーやワークロードとも通信します。これらの中には、データセンター内の組織の管理下にあるものもあれば、サードパーティのクラウド SaaS サービスのものもあります。このような通信を可視化して、エンドポイントや接続先のサーバーのリスクをすべて把握する必要があります。

endpoints-servers-connections

上で説明したような可視性は、従来のエンドポイントセキュリティや EDR による検出失敗時の封じ込めを可能にする、常時実施の前提として必要です。エンフォースメント機能には、マルウェアのコールバック通信を遮断するためのアイデンティティベースおよびドメインベースのポリシー、マルウェアのコールバック通信に対するプロセスベースのルールなどがあります。 ナノセグメンテーション、ファイアウォールと脆弱性脅威ベースのポリシーによる通信制御。このアプローチは、存在するのかどうかということも意味します。 ゼロトラストポリシー つまり拒否リスト境界では、トラフィックインテリジェンスに基づいてセキュリティポリシーが定義およびプロビジョニングされます。この情報は、私たちが持っているシステムとその機能、そしてそれに基づいてシステムを適切に保護する方法に関するものでなければなりません。また、位置情報を認識することで、企業ネットワークの内外でのポリシーの柔軟性も向上します。これらはすべて、Windows、Linux、Mac、Unix、クラウド、コンテナなど、さまざまなプラットフォームに統一的に適用する必要があります。

ディフェンダーの観点からこれらの目標を達成するには、効果的に協力するためのチームとツールが必要です。セキュリティ侵害を想定している組織は、検知だけではなくサイバーレジリエンスに重点を置いている傾向があります。彼らは検知と同じくらい封じ込め戦略を重視しています。

イルミオエンドポイントは既存の検出ツールを補完します

その一部として イルミオゼロトラストセグメンテーションプラットフォームイルミオエンドポイント は、既存の検知セキュリティツールを補完すると同時に、可視性と横移動防止機能の最大のギャップを埋めるように設計されています。

この種の封じ込めアプローチは、最近次の方法でテストされました。 ビショップフォックス。複数の攻撃エミュレーションを通じて、Illumioを使用すると侵害が最大4倍速く検出されることがわかりました。 ゼロトラストセグメンテーション 攻撃者はこれらの封じ込め方法を回避しなければならず、検出ツールが認識できるノイズが増えるためです。

全体として、エンドポイントのセグメンテーションはプラスにつながります セキュリティ体制 これは、既存のセキュリティ投資と相まって、素晴らしいエンドポイントストーリーになります。

イルミオエンドポイントについてもっと知りたいですか? 今すぐお問い合わせ 無料の相談とデモをご覧ください。

関連トピック

エンドポイントセキュリティ
終点

関連記事

IllumioでClopランサムウェアバリアントを阻止する方法
ランサムウェアの封じ込め

IllumioでClopランサムウェアバリアントを阻止する方法

ランサムウェアを取り巻く環境は、複雑で不安定な領域です。バリアントは現れたり消えたり、開発者はお互いに借りたり盗んだりし、アフィリエイトは独自のカスタマイズを追加します。

もっと読む
イルミオの新しいランサムウェア保護ダッシュボードでランサムウェアリスクを軽減する3つのステップ
ランサムウェアの封じ込め

イルミオの新しいランサムウェア保護ダッシュボードでランサムウェアリスクを軽減する3つのステップ

イルミオのランサムウェア保護ダッシュボードと改善されたユーザーインターフェイス (UI) がどのようにランサムウェアのリスクを明確に把握できるかをご覧ください。

もっと読む
ランサムウェアを理解する:最も一般的な攻撃パターン
ランサムウェアの封じ込め

ランサムウェアを理解する:最も一般的な攻撃パターン

もっと読む
Illumio エンドポイントを実装するための 3 つのベストプラクティス
イルミオ製品

Illumio エンドポイントを実装するための 3 つのベストプラクティス

Illumioでエンドポイントを保護するために必要な、シンプルで効果的な3つのステップをご紹介します。

もっと読む
Illumio エンドポイントデモ:エンドポイントセグメンテーションのROIを迅速に取得
イルミオ製品

Illumio エンドポイントデモ:エンドポイントセグメンテーションのROIを迅速に取得

このIllumioエンドポイントデモを見て、Illumioによるエンドポイントのセグメンテーションがどのようにして迅速なROIを実現するかを学びましょう。

もっと読む
ハッカーがエンドポイントを愛する理由と、Illumio Endpointでハッカーの拡散を阻止する方法
イルミオ製品

ハッカーがエンドポイントを愛する理由と、Illumio Endpointでハッカーの拡散を阻止する方法

従来のセキュリティでは、エンドポイントはハッカーに広くさらされています。Illumio Endpoint で侵害に積極的に備える方法を学びましょう。

もっと読む

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく