ランサムウェアに再び焦点を当てる：ランサムウェア対応ネットワークを構築するための3つの真実

と 全国サイバーセキュリティ啓発月間 始めに皆さんが確実に耳にする話題は ランサムウェア。

ランサムウェアは 最も一般的なタイプのサイバー攻撃 組織の顔。

環境内で不審なものが検出されたと思われる電話がかかってきたときに備えておく必要があります。

今月は、あなたのものを入れてください ランサムウェア ランサムウェア攻撃の拡散からネットワークを保護するための強固な基盤を確立するために、すべての組織が受け入れ、それに基づいて行動しなければならない 3 つの重要な「真実」に焦点を当てます。

組織がランサムウェアに対応できるようにする方法について、イルミオのチーフエバンジェリスト、ナサニエル・アイバーセンに聞いてください。

詳細については読み続けてください。

真実 #1: ランサムウェア攻撃に備えてネットワークを積極的に設計する

あなたが得ることを想像してみてください ザ・コール。その瞬間には、選択した検出およびセンサー技術のネットワークが何であれ、その役割を果たしていることになり、インシデント対応能力が不可欠になります。結局のところ、対応できるのは、すでに導入され、アクティブで、慎重に準備されているものだけです。

攻撃が進行しているときに、その場で新しい能力を構築する時間は誰にもありません。

建築家が建物を設計する場合、すべてのフロア、オフィス、階段の吹き抜けの入り口に防火扉を設計する必要があります。これらのドアは開いたままになっている場合が多く、ほとんどの場合、通常のドアとして機能しているだけです。

しかし、火災が発生すると、これらのドアには火と煙が封じ込められ、人々が建物を出るための安全な出口となります。

ランサムウェア攻撃に効果的に対応し、その影響を最小限に抑えるための「防火扉」となる機能は次の3つです。

1. 能力 トラフィックフローの視覚化 そして攻撃半径。NetFlow データが大量にあっても役に立ちません。現時点では、完全で自動化されたアプリケーション依存関係マップを用意することが重要です。 そして 任意のネットワークポートでアクティビティを照会できます。まとめると、攻撃がどこで、どこで、どこに行こうとしているのかを正確に把握できるようになります。
2. 次は プリセット セキュリティポリシー これにより、ネットワークの一部が遮断され、攻撃者がまだアクセスしていない場所に安全地帯が作られます。これにより、ランサムウェアの拡散が阻止され、感染したマシンが駆除された後に移動される「クリーンゾーン」が作成されます。
3. 最後に、 タイト 境界 侵害されたマシンの周囲に配置する必要があります 指揮統制ネットワーク、拡散、あるいは偵察ネットワークへの接続をなくすためです。ネットワーク・ファイアウォールの細分化が十分に行えるとは考えにくいです。ホストベースのセグメンテーションソリューションがプリインストールされているため、必要なときに適切な機能を利用できます。

アクティブなマルウェアが検出されたら、誰もがこれら3つの機能があればいいのにと思うでしょう。そのため、必要になる前に実装しておくのは理にかなっています。効果的に封じ込めれば、修復作業が完了するまでの時間が稼げます。

真実 #2: リスクを排除することはリスクを管理することよりも優れている

攻撃が始まると、それを発見して対処することを約束するツールはたくさんあります。

しかし、さらに深い真実があります。攻撃ができるのは 展開する オープンポート経由。道がなければ広がりもない。

不必要に開いているポートが閉じられるたびに、リスクが軽減されます。運用ネットワークの規模が小さくなるため、リスクがなくなり、攻撃対象領域が小さくなります。

どうやってこれを達成するの？

1. リスクが高く、価値が高く、悪用されやすいポートを閉じる。ほとんどの商用ランサムウェアは、広く公開する必要のないRDPやSMBなど、よく知られたプロトコルをいくつか使用して拡散します。ペネトレーションの専門家の大半は、標準ツールキットを使用して環境を探索し、既知のポートに共通する脆弱性を探そうとします。ほとんどの場合、これらの有名なポートをグローバルに開放する必要はありません。港を閉鎖してもリスクが軽減されるわけではなく、実際にはそうしたベクトルがすべて排除されるのです。排除できるものを管理する理由は何でしょうか?
2. リングフェンスの高価値アプリケーション。万が一、ご使用の環境で何か問題が見つかった場合、最初に考えるのは最も価値の高いアプリケーションとデータです。セキュリティ侵害はエッジまたはエンドポイントで検出される可能性がありますが、懸念されるのは「最も重要なこと」です。その瞬間、誰もが自分たちが完全に囲い込まれ、厳格なゼロトラストセグメンテーションポリシーが適用されたらいいのにと思うでしょう。そのポリシーを今すぐ構築してください。そうすれば、そのポリシーが導入され、これらの重要な資産はネットワーク攻撃によるリスクのほとんどをすでに排除しているでしょう。
3. 管理アクセスの制御。ほとんどの組織はジャンプホストを使用しています。あらゆる形態の管理アクセスが、環境に適したユーザーとジャンプホストに対して厳重に制御されていることを確認してください。アプリケーションまたはポートが、特にユーザー環境からのランダムな管理アクセスに応答してはなりません。すべての管理プロトコルを根本的に制限することで、多くの種類の攻撃を排除できます。

存在しないリスクを管理する必要はありません。また、補完的なテクノロジーの必要性を排除するテクノロジーは存在しませんが、ターゲットを絞ったセグメンテーションの強固な基盤があれば、侵害が拡大するリスクを大幅に排除できることは事実です。

真実 #3: 必要なもの 両方 ランサムウェアの拡散を阻止するためのゼロトラストセグメンテーションとEDR

侵害の拡大を防ぐためにできる最善のことは、導入することです ゼロトラストセグメンテーション 既存のエンドポイント検出および対応（EDR）製品に加えて。

ビショップフォックス 最近エミュレートされた一連のテストを実施しました ランサムウェア攻撃 攻撃者は EDR のみで保護されているネットワークと EDR で保護されているネットワークを侵害しようとしました EDR とゼロトラストセグメンテーション。

その結果、EDRは多くの攻撃を発見して最終的に修復するのに非常に効果的でしたが、ゼロトラストセグメンテーションによって保護されているネットワークでは、攻撃を4倍速く封じ込め、侵害されたホストの数も大幅に少ないことがわかりました。

セグメンテーションポリシーが優れていればいるほど、EDRはより効果的になります。ゼロトラストセグメンテーションを導入環境に追加して応答性を最大化することで、EDR に強力な機能を持たせることができます。

避けられないランサムウェア攻撃に備えましょう

ランサムウェアは、現代のユーザーとコンピューティング環境の惨劇です。しかし、侵害が大惨事ではなくイベントであることを確実にするために、効果的な準備を行うことは可能です。

事前対応型と事後対応型の質の高いインシデント対応セグメンテーションポリシーに投資することで、セキュリティチームは対応の最初の数分間で貴重なコントロールが可能になります。

イベントの前にリスクを排除するチームは、重要なアプリケーションを広く公開し、リスクの高いポートと管理プロトコルを広く公開しているチームよりも、やるべきことは常に少なくなります。そして、自分の EDR が機能することを望まない人はいないでしょう。 4倍速く 侵害されたホストの数が少ないと?

ザの イルミオゼロトラストセグメンテーションプラットフォーム リスクを排除し、対応能力を向上させるこれらの基本機能を提供します。まさに今月の啓発のすべてです！

今週のサイバーセキュリティ啓発月間、ゼロトラストセグメンテーションに焦点を当てるべき理由について、新しい洞察をお届けしますので、ぜひご参加ください。