ランサムウェア削減101: エンドポイント間のラテラルムーブメント

最悪の場合、ランサムウェアはかつてないほど大きな脅威となり、IT運用を紙と紙に押し戻し、余裕がないときにビジネスを停止させます。パンデミックの真っただ中、私たちはパンデミックの増加が続いているのを目の当たりにしてきました。 ヘルスケアランサムウェア。リモートで学習している子供がいる私たちの場合、 新しい雪の日としてのランサムウェア。

なぜこれほど多くのランサムウェア攻撃が未だに成功しているのでしょうか？

ラテラルムーブメントとは？

ラテラルムーブメントとは、侵入者または攻撃者が境界を突破し、環境内を横切って他のマシンに移動することです。その結果、はるかに大きく、より高価になります データ侵害。これは、エンドポイントから始まったり、データセンターのワークロードが危険にさらされたりして、何万台ものエンドユーザーのコンピューターがダウンしたり、最も貴重なデータセンターの資産を戦略的にターゲットにしたりすることもあります。

マイターの AT&CK フレームワーク 「敵はあなたの環境の中を移動しようとしています」とはっきり言っています。つまり、脅威が足場を固めるのを阻止するだけでなく、攻撃者を阻止することにも注力しなければならないということです。 横方向の動き。これは今やディフェンダーの仕事の基本となっているため、MITRE ATT&CKは、防御すべき重要なアタッカーテクニックとして横方向の動きを挙げています。

なぜマルウェアはエンドポイント間の水平移動を利用して感染を広めることに成功しているのでしょうか？なぜこのようなことが起こるのかを理解するには、まずいかに伝統的かを調べる必要があります。 アプリケーションセキュリティ データセンターの保護には役立ちますが、必ずしもエンドポイントを保護するわけではありません。

データセンターの横方向の動き

データセンターのセキュリティは、エンドポイントからサーバーへのクライアント/サーバー通信に重点を置いています。今日のブラウザーベースのビジネスアプリケーションのほとんどでは、ユーザーがブラウザーウィンドウにアプリケーションの URL を入力すると、ブラウザーはデータセンターまたはパブリッククラウドで稼働している Web サーバーへの接続を開きます。エンドユーザーのマシンは、80 や 443 などの標準ポートを介してこれらのフロントエンドサーバーと通信します。企業境界の背後にある Web サーバーは、ファイアウォール、IPS、検出と対応、その他のデータセンターのセキュリティ技術によって保護されています。フロントエンドサーバーは、すべてデータセンターまたはクラウド環境の範囲内にあるビジネスロジック、データベース、その他の種類のサーバーに接続されています。

これが横方向の動きがダメージを与える可能性がある場所です。外部に面したサーバーまたはワークロードが脆弱性を介して侵害された場合、攻撃者は侵害されたワークロードからデータベースサーバーなどの貴重なデータが存在する場所に横方向に移動する可能性があります。マイクロセグメンテーションのないフラットネットワークでは、これはまったく難しいことではありません。

効果的で セグメンテーション これらの「内部」サーバーはすべて、外部の脅威から保護されています。マイクロセグメンテーションは、攻撃者や脅威の拡散を防いだり、横方向への移動、データセンター、クラウド、またはキャンパスネットワークの「東西」。脅威は設置されたネットワークセグメントまたはホストセグメントに封じ込められるため、攻撃者は環境の他の部分に移動できません。これにより、組織の規模と影響を抑えることができるため、組織を侵害からより適切に保護できます。

端点から端点への横方向の動き

ランサムウェアを阻止するにはこれだけでは不十分なのはなぜですか?その答えは、ランサムウェアが拡散するためにサーバーと通信する必要はないということです。ランナーはエンドポイントからエンドポイントへと数秒で数万台のマシンに広がります。

ランサムウェア 通常、エンドポイントから開始され、RDP、SMB、SIP、Skypeなどを介して他のエンドポイントに直接拡散されます。エンドポイント間のピアツーピア（P2P）アプリケーションは、エンドポイントとサーバー間の通信を伴わない水平移動、つまり東西接続を作成します。最近のエンタープライズアプリケーションのほとんどはアウトバウンド接続（エンドポイントがサーバーへの接続を開始する）のみに依存していますが、P2Pテクノロジーは隣接するエンドポイントからのインバウンド接続を利用します。これらのエンドポイントは、サーバーやデータセンターを経由してトラフィックを制限することなく通信します。つまり、エンドポイント自体に存在するセキュリティに依存しているということです。

エンドポイント間の横方向の動きの防止

エンドポイント間の横方向の移動を確保する上での課題は何か?

可視性-たとえば、同じサブネット上のエンドポイント間の水平接続は、ファイアウォールやゲートウェイからは見えなくなり、これらのセキュリティデバイスは関連する脅威の検出と防止にまったく効果がありません。これはまた、リモートで働く従業員にとって、自宅で何が起こっているのかをまったく把握できないということでもあります。

どうですか エンドポイントセキュリティ?エンドポイントで実行されている EDR ツールと EPP ツールは検出して対応できますが、脅威には反応します。つまり、機能するのはそれだけです。 後 侵害は最初から拡散を阻止するよりも起こる。

エンドポイントのゼロトラスト

侵害の拡大を防ぐためのベストプラクティスは、 ゼロトラストセキュリティ 政策。つまり、エンドポイント間で実行する承認済みサービスの許可リストが義務付けられ、正当なビジネス目的でアクセスするためだけに権限が付与されるということです。

新しい仕事でSkypeなどのP2Pアプリをインターネットからラップトップにダウンロードしてインストールしようとしたときに、IT部門から嫌な印象を受けたことがあれば、これがどのように機能するか理解しているでしょう。全員を保護するために、ユーザーは会社が承認したリソースにのみアクセスするようにしてください。

セキュリティの脅威が進化し、国家が支援するハッカーがますます巧妙化するにつれて、セキュリティソリューションが関連性を維持するためにはそれに遅れずについていく必要があります。ゼロトラストソリューションは、第一原則に基づいたセキュリティを提供し、誤検出率を低く抑えることで、複数のシステムをプロアクティブに保護できます。Illumio Edgeのようなソフトウェアツールは、スケーラブルなホストベースのファイアウォール管理をリードし、これまでにないセキュリティ保護と悪意のあるラテラルムーブメントに対する防御を提供します。

イルミオエッジの詳細については、当社のウェブサイトをご覧ください。 または 12月21日の当校へのご登録^セント ウェブセミナー 今日。