Contiランサムウェアからの防御:CISAがセグメンテーションを緊急に推奨する理由
昨日、サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)と連邦捜査局(FBI)が共同でサイバーセキュリティを発表しました 諮問 ランサムウェア攻撃が相次ぐコンティは、2020年の発生以来、米国および国際機関に対する400件以上の攻撃の背後にいることが知られているサービスとしてのランサムウェア(RaaS)モデルのバリアントです。
Contiは、現在進行中のランサムウェアの惨劇の最新のものにすぎません。1周年が近づくにつれ、 ソーラーウィンズ・ブリーチ、ランサムウェア攻撃は進化し続け、その規模は明白です。
企業がサイバーレジリエンスを強化するために必要な対策を講じることは、これまで以上に不可欠です。自社のビジネスだけでなく、顧客やサプライチェーンも継続する波から守り、守るためです。 ランサムウェア 攻撃。
コンティって何?
によると 共同諮問 CISAとFBIによると、「典型的なContiランサムウェア攻撃では、悪意のあるサイバー攻撃者がファイルを盗み、サーバーやワークステーションを暗号化し、身代金の支払いを要求します。」
この勧告では、Contiの開発者がランサムウェアの展開者に、攻撃が成功した場合の収益の一部ではなく、報酬を支払うことが多いことも指摘されています。攻撃が「成功」したかどうかに関係なくデプロイ側には報酬が支払われるため、この暴露によってモデル自体はさらに警戒すべきものとなっています。
今月初め、シリコンアングル が報告されました コンティは、「5月にアイルランドの医療機関を標的とした攻撃を含む、さまざまな攻撃に関連している... コンティのこれまでの被害者には、11月の産業用コンピューターメーカーのアドバンテック、12月のVOIPハードウェアおよびソフトウェアメーカーのサンゴマテクノロジーズ、2月のフロリダ州とテキサス州の病院が含まれます。」
SiliconAngleはまた、コンティが5月にFBIの警告の対象となり、ギャングとその関連会社が医療提供者を標的にしていると指摘しました。これは、特にCovid-19のパンデミックが続く中、重要なセクターです。
コンティからの保護
Contiランサムウェアからシステムを保護するために、CISAとFBIは次の予防策を推奨しています。 ゼロトラスト そして セグメンテーション その中で最も重要なのは原則です:
- 多要素認証を使用する 外部ソースからネットワークにリモートアクセスできます。
- ネットワークセグメンテーションを実装し、トラフィックをフィルタリングします。 ランサムウェアの拡散を減らすために、ネットワークと機能間の強固なネットワークセグメンテーションを実装して確保します。ネットワークトラフィックをフィルタリングして、既知の悪意のある IP アドレスによる送受信通信を禁止します。強力なスパムフィルターを有効にして、フィッシングメールがエンドユーザーに届かないようにします。
組織は、ユーザーが悪意のある Web サイトにアクセスしたり、悪意のある添付ファイルを開いたりしないようにするためのユーザートレーニングプログラムの導入も検討する必要があります。IT チームは URL ブロックリストを実装するか、あるいはその両方を実装する必要があります。 許可リスト ユーザーが悪意のある Web サイトにアクセスするのを防ぐため。より高度なテクノロジーツールキットを使用すれば、これを自動化できます。 - 脆弱性をスキャンし、ソフトウェアを最新の状態に保ちます。 最新のシグネチャを使用してネットワーク資産を定期的にスキャンするようにウイルス対策およびマルウェア対策プログラムを設定します。また、組織は、ネットワーク資産上のソフトウェア、オペレーティングシステム、アプリケーション、ファームウェアを適時にアップグレードしていることを確認する必要があります。
- 不要なアプリケーションを削除し、コントロールを適用します。 日常業務に必要でないと思われるアプリケーションはすべて削除してください。許可されていないソフトウェアを調査してください。
- エンドポイントと検出応答ツールを実装します。 エンドポイントと検出対応ツールは、SecOpsチームが特定のサイバーセキュリティ環境に対して持つ可視性を高めることが知られています。つまり、悪意のあるサイバーアクターや潜在的な脅威を早期に特定し、より適切に軽減できるということです。
- 安全なユーザーアカウント。 管理者ユーザーアカウントを定期的に監査し、最小権限(ゼロトラスト)と職務分掌の原則に基づいてアクセス制御を設定します。また、組織は定期的にログを監査して、新しいアカウントが正当なユーザーであることを確認する必要があります。
より多くのRaaSモデルやランサムウェアが明らかになるにつれ、組織は潜在的な脅威ベクトルや脆弱性を早期に特定して最小限に抑えることが不可欠です。上記で概説した推奨事項の中で、組織が今日実践すべき重要なベストプラクティスの1つがセグメンテーションです。
イルミオがどのように役立つかは次のとおりです
イルミオ ランサムウェアを阻止 従来のネットワークセグメンテーションとは異なり、次を提供することで組織とともに進化していきます。
- シンプルで高速なセグメンテーション。 Illumioでは、自動ポリシー作成を使用して、アプリケーション、ユーザー、および特定の資産を数分でセグメント化できます。
Contiの場合、ランサムウェアはサーバーメッセージブロックを悪用しました(SMB) およびリモートデスクトッププロトコル (RDP)横方向に移動します。とイルミオコア、資産全体でこれらのプロトコルを両方ともブロックするシンプルなポリシーを作成できます。ただし、絶対に必要な場合を除いて、リスクにさらされるリスクを迅速かつ効果的に軽減できます。 - 動的な環境に合わせて拡張できるポリシー。 Illumioは既存のインフラストラクチャを使用してポリシーを適用するため、ネットワークの進化に合わせて拡張します。
- ホストレベルでのセグメンテーション。 既存のホストベースのファイアウォールを使用することで、インフラストラクチャに触れたりケーブルを移動したりすることなく、単一のクラウドインスタンスからすべてのセグメンテーションポリシーを管理できます。
侵害が成功する範囲を制限することで、イルミオがどのようにリスクを劇的に軽減できるかについて詳しくは、こちらの記事をご覧ください。 ランサムウェアがサイバー災害になるのを防ぐ方法、ブログ投稿をチェックしてください。ランサムウェア対策にイルミオを使う9つの理由。
Contiランサムウェアギャングの詳細については、公式サイトをご覧ください 諮問ページ。