イルミオでロックビットランサムウェアを封じ込める方法

ザの ランサムウェアのリスク 多くの組織にとって最優先事項です。

新しい攻撃が絶えずヘッドラインに載っているため、回避することは不可能です。現時点では、ほとんどの組織は、ある時点で攻撃を受けることを想定して運営されています。サイバー災害を防ぐ最善の方法は、サイバー災害に備えて計画を立て、それに応じて組織を保護することです。

イルミオは、東西への水平拡散を阻止することにより、組織がサイバー災害を防止できるよう支援します。Illumioなら、セキュリティ侵害が発生しても迅速に封じ込められます。Illumio は、最初にハイジャックしたワークロードを超えて攻撃が進行することを禁止し、貴重なデータの損失を防ぎます。

今日は、LockBitの実際のユースケースを紹介して、次のことを説明します。

• ロックビットとは
• これは現実の世界ではどのように見えますか?
• Illumioでこれを解決する方法を段階的に説明します

侵害は怖いものですが、イルミオが準備のお手伝いをします。

イルミオ・ゼロトラスト・セグメンテーションの詳細はこちら ここに。

ロックビットとは

ロックビット は、2019年からサービスとしてのランサムウェアを運営しており、話題になっているグループです。LockBitは一般にABCD ランサムウェアとして知られていますが、以下を考慮すると、現在では主要な脅威へと成長しています。 2022年に発生した既知の攻撃の 48%。

LockBitは、電子メールの添付ファイルやカスケードファイルシステム感染を通じて組織を標的にする悪意のあるソフトウェアです。企業や個人を対象とした他の種類のランサムウェアとは異なり、LockBitは主に企業や政府機関に影響を与えます。

感染すると、LockbitはSMBとPowerShellを介してネットワーク上の他のデバイスに広がります。これらの攻撃の焦点は Windows デバイスと Linux デバイスにあります。

この組織の実際の活動例を見てみましょう。

実際の例:Lockbit ランサムウェア攻撃

これは世界中の企業や機関に影響を及ぼしています。つい最近の夏、15万人以上の従業員を擁する大規模な多国籍組織がランサムウェアの被害に遭いました。LockBitは、この攻撃の責任者であり、データを盗むことができたと主張しています。

組織はITシステムの制御を維持し、ITシステムの完全な完全性を回復するための防御策を講じることができました。彼らは第三者と協力して事件の調査を始めました。晩秋になっても、彼らはまだ問題を調査中でした。

このような状況が発生した場合、解決には非常にコストと時間がかかる可能性があります。3 か月以上経った今でも、調査は継続していました。これは、あらゆる種類の攻撃を受けた組織に共通する現実です。

Illumioは、避けられない侵害の影響を抑えるために、組織がこれらの状況に迅速に対応できるよう支援しています。これにより、費用のかかる調査にかかる時間と費用を節約できます。

Illumioでこのランサムウェアシナリオにアプローチする方法

可視性が重要

LockbitがWindows 10マシンの1つに侵入した可能性があるという警告を受けています。このような状況での最初の重要なステップは、影響を受ける可能性のあるデバイスの数を把握することです。

使用する イルミオのイルミネーションプラス、OS（オペレーティングシステム）に基づいてトラフィックをグループ化できます。

これにより、使用しているデバイスが OS ごとに明確に表示されます。Windows 10 デバイスと組織内の他のデバイスとの間にアクティブなトラフィックがあるかどうかを確認して、次に何をすべきかについて情報に基づいた決定を下すことができます。注意すべき重要な点は、このトラフィックはリアルタイムで表示されるため、古いバージョンであっても待つ必要も、心配する必要もないということです。組織内の最新情報にアクセスできることはわかっています。

現在、Windows 10 デバイスと組織内の他のデバイスとの間でトラフィックが発生していることがわかったので、これらのデバイス間のトラフィックを遮断する計画を迅速に策定する必要があります。LockBitは一般的にSMBとPowerShellを使用してネットワーク内を移動することを知っているので、まず脅威分析を行うことから始めます。

次に、影響を受けたデバイスを隔離して、必要ないとわかっているSMBとPowerShellを隔離してシャットダウンします。

拡散を防ぐための拒否ルールを迅速に構築

そのためには、Illumio内で拒否ルールを作成する必要があります。これらは製品では次のように呼ばれています。 執行境界線。まず、「ブロックSMB」や「PowerShell」などの名前を付けて新しいルールを作成します。

保存をクリックすると、Illumioはすぐに、この新しいルールによってブロックされている可能性のあるすべての接続を確認できるページに誘導してくれます。これは、ルールを適用する前に、影響がどこにあるかを確認し、何が影響を受ける可能性があるかを理解するための優れた方法です。

影響を受けるトラフィックを確認したら、[プロビジョニング] をクリックして新しいポリシーを適用します。たとえば、Windows ワークステーションに SMB 経由で指定されたファイルサーバへのアクセスを引き続き許可する場合など、このトラフィックを継続する必要がある場合、許可ルールで例外を設けることができます。

今すぐ保護

Illumioはボタンをクリックするだけで、影響を受けるすべてのワークロードに変更を即座に適用します。これにより、私の組織はビジネスクリティカルな状況でも迅速に保護できます。

影響を受けたデバイスを隔離し、ネットワークの他の部分との通信を制限するルールを設定したので、さらなる拡散のリスクを排除できました。この時点で、隔離されたデバイスの確認作業を開始できます。

を読む ビショップ・フォックス・レポート これは、Illumioがエンドポイントの検出と対応（EDR）ソリューションと比較して、10分以内にランサムウェアを阻止することを証明しています。

Illumioでランサムウェアの拡散を未然に防ぎましょう

Illumioのようなソリューションを導入することで、組織はデバイス間の不要なトラフィックの拡散を積極的に制御できます。Illumio は攻撃の東西方向への移動を制限し、脅威の特定に必要な時間を検知・対応ツールに提供します。

Illumioは、EDR、NDR、XDR、境界ファイアウォールなどの従来のセキュリティツールと連携して改善を図っています サイバーレジリエンス。

連絡 イルミオは今日、かつてないほど迅速な侵害封じ込めを実現しています。