ランサムウェアに再び焦点を当てる:ランサムウェア対応ネットワークを構築するための3つの真実

With National Cybersecurity Awareness Month kicking off, the one topic you’ll hear about for certain is ransomware.   

This is unsurprising since ransomware is the most common type of cyberattack organizations face.  

環境内で不審なことが検出されたと思われる電話を受けたときの瞬間に備える必要があります。  

This month, put your ransomware focus on three important “truths” that all organizations must accept and act on to establish a solid foundation for protecting your network from the spread of a ransomware attack.  

イルミオのチーフエバンジェリストであるナサニエル・アイバーセンから、組織がランサムウェアに備えていることを確認する方法についてお話を聞いてください。

詳細については、読み続けてください。

真実 #1: ランサムウェア攻撃を想定してネットワークをプロアクティブに設計する 

電話がかかってきたと想像してください。その瞬間、選択した検出およびセンサー技術のネットワークがその役割を果たしており、インシデント対応能力が重要になります。結局のところ、すでに展開され、アクティブで、慎重に準備されたものでのみ対応できます。   

攻撃が進行中であるときに、その場で新しい機能を構築する時間はありません。    

建築家が建物を設計する場合、すべてのフロア、オフィス、階段の吹き抜けの入り口に防火扉を設計する必要があります。これらのドアは多くの場合、開いたままになっているか、ほとんどの場合、通常のドアとして機能します。  

しかし、火災が発生した場合、これらのドアは火と煙を封じ込め、人々が建物から出るための安全な出口を提供します。   

ランサムウェア攻撃に効果的に対応し、その影響を最小限に抑えるための 3 つの機能により、これらの「防火扉」が得られます。 

1. The ability to visualize traffic flows and the attack radius. Having a bunch of NetFlow data will not be helpful. In the moment, it is critical to have complete, automated application dependency maps and the ability to query the activity on any network port. Taken together, it becomes possible to see exactly where an attack is, has been, and is trying to go. 
2. Next is pre-set security policies that can close off parts of the network and create safe zones everywhere the attack has not yet accessed. This stops ransomware from spreading and creates the “clean zones” that infected machines will be moved into once they have been disinfected. 
3. Finally, tight boundaries must be placed around any compromised machines to eliminate connections to command and control networks, spread, or even reconnaissance. It is unlikely that network firewalls have enough granularity to do this. A pre-installed host-based segmentation solution ensures the correct capabilities are available when needed.   

アクティブなマルウェアが検出されると、誰もがこれら 3 つの機能があればいいと思うので、必要になる前に実装することは理にかなっています。効果的な封じ込めは、修復活動が完了するまでの時間を稼ぐことができます。 

真実 #2: リスクを管理するよりもリスクを排除する方が優れています 

攻撃が進行すると、それを発見して何かをすることを約束するツールがたくさんあります。   

But there is an even deeper truth: an attack can only spread via open ports. If there’s no path, there’s no spread.   

不必要に開いているポートはすべて、リスクを軽減します。運用ネットワークのサイズが縮小され、リスクが排除され、攻撃対象領域が縮小されます。   

これをどのように達成しますか? 

1. リスクが高く、価値が高く、よく悪用されるポートを閉じます。ほとんどの商用ランサムウェアは、RDPやSMBなど、グローバルにオープンである必要のない、いくつかのよく知られたプロトコルを使用して拡散します。ほとんどの侵入スペシャリストは、標準ツールキットを使用して環境を探索し、既知のポートで一般的な脆弱性を探しようとします。ほとんどの場合、これらの既知のポートをグローバルに開いている必要はありません。それらを閉じてもリスクは軽減されません。実際には、これらすべてのベクトルが排除されます。排除できるものを管理する理由は何ですか?   
2. リングフェンスの高価値アプリケーション。不幸にも、環境内で何か悪いことが発見された場合、最初に考えるのは、最も価値の高いアプリケーションとデータです。侵害がエッジまたはエンドポイントで検出される可能性はありますが、懸念されるのは「最も重要なこと」です。その瞬間、誰もが完全に囲い、厳格なゼロトラストセグメンテーションポリシーが添付されていればよかったと思うでしょう。今すぐそのポリシーを構築しれば、それが実施され、これらの重要な資産はすでにネットワーク攻撃によるリスクのほとんどを排除しているでしょう。 
3. 管理アクセスを制御します。ほとんどの組織ではジャンプ ホストが使用されています。すべての形式の管理アクセスが、環境に適したユーザーおよびジャンプ ホストに対して厳密に制御されていることを確認します。アプリケーションまたはポートは、特にユーザー環境からのランダムな管理アクセスに応答してはなりません。すべての管理プロトコルを根本的に削減することで、多くのクラスの攻撃が排除されます。 

存在しないリスクを管理する必要はありません。また、補完的なテクノロジーの必要性を排除するテクノロジーはありませんが、ターゲットを絞ったセグメンテーションの強固な基盤により、侵害の拡大のリスクが大幅に排除されることは事実です。 

真実 #3: ランサムウェアの拡散を阻止するには、ゼロトラストセグメンテーションと EDR の両方 が必要です 

The best thing you can do to eliminate the spread of breaches is to deploy Zero Trust Segmentation in addition to an existing endpoint detection and response (EDR) product.   

Bishop Fox recently conducted a series of emulated ransomware attacks in which attackers tried to compromise a network protected only with EDR and a network protected with EDR and Zero Trust Segmentation.  

その結果、EDRは多くの攻撃を発見し、最終的に修復するのに非常に効果的である一方で、ゼロトラストセグメンテーションによって保護されているネットワークは、攻撃を4倍速く封じ込め、侵害されるホストが大幅に減少することがわかりました。   

セグメンテーションポリシーが優れているほど、EDR の効果は高まります。ゼロトラストセグメンテーションをデプロイに追加して、最大限の応答性を実現することで、EDRにスーパーパワーを与えます。   

避けられないランサムウェア攻撃に備える 

ランサムウェアは、現代のユーザーとコンピューティング環境の惨劇です。しかし、侵害が大惨事ではなくイベントであることを保証するために、効果的な準備をすることはできます。   

プロアクティブおよびリアクティブのインシデント対応セグメンテーションポリシーの質の高いセットに投資することで、セキュリティチームは対応の重要な最初の数分間で貴重な制御を行うことができます。   

The teams that eliminate risk before an event will always have less to do than the ones that have left critical applications widely exposed and high-risk ports and management protocols wide open. And who wouldn’t want their EDR to work four times faster with lower amounts of compromised hosts?   

The Illumio Zero Trust Segmentation Platform provides these foundational capabilities that will eliminate risk and improve response capabilities.That is exactly the kind of awareness this month is all about!   

来週は、このサイバーセキュリティ啓発月間にゼロトラストセグメンテーションに焦点を当てるべき理由について、新たな洞察をお届けします。