ブログ
/
ランサムウェアの封じ込め

攻撃者のレベルを引き上げる:マイクロセグメンテーションがKaseyaのような攻撃から組織を保護する方法

ラグー・ナンダクマラ
インダストリー・ソリューションズ・マーケティング担当シニア・ディレクター
July 12, 2021
23 最小読取り

ITセキュリティベンダーが警戒を怠らない理由の1つは、サイバー犯罪コミュニティからの絶え間ない革新です。知識は地下のフォーラムに広く行き渡り、そのスピードは多くの組織を驚かせることがあります。そこで、悪名高いもので使われているテクニックをいくつか見たとき ソーラーウィンズ・キャンペーン 最近のKaseyaランサムウェア攻撃に適用してみると、驚くことはなかったはずです。

しかし、適切な場所にマイクロセグメンテーションを導入することで、組織は初期のリスクを最小限に抑えるという点で、悪者の生活をはるかに困難にすることができたでしょう。 ゼロデイ搾取 その後の指揮統制通信を遮断します。

カセヤ襲撃で何が起きたの?

加瀬屋 中小企業のパッチ適用やリモート監視などの重要なITタスクを合理化するために、主にマネージドサービスプロバイダー(MSP)にソフトウェアを提供します。SolarWindsソフトウェアの場合と同様に、 カセヤ VSA この攻撃の標的となった製品には、ネットワークとコンピューティングデバイスのリモート監視と管理というコアタスクを実行するための高度な権限が付与されているため、マルウェアを広範囲に拡散させるのに理想的な選択肢となっています。

その他のメリット Evil ランサムウェアアフィリエイト 攻撃の背後にはKaseyaの顧客の性質があります。MSPは、それぞれが複数の顧客を抱えており、攻撃者が感染させたり、強要したりする可能性があります。簡単にお金を稼ごうとしているサイバー犯罪者にとって、これはかなり良いROIです。

加瀬谷は詳しく 攻撃への対応。このベンダーは、米国のホリデーウィークエンド直前の7月2日に初めてセキュリティ侵害の通知を受けましたが、脅威アクターは ゼロデイ認証バイパスエクスプロイト オンプレミスの Kaseya VSA のウェブインターフェイスで。これにより、認証されたセッションを取得し、ペイロードをアップロードし、SQL インジェクションを介してコマンドを実行できるようになりました。

MSPのKaseya VSAサーバーにアクセスできたため、これらの組織の顧客に「Kaseya VSAエージェントホットフィックス」と呼ばれる偽のアップデートをプッシュすることができました。これは実際にはRevil/Sodinokibiでした ランサムウェア

40,000人の潜在顧客のうち、影響を受けたと考えられるMSPは60社未満です。しかし、その波及的影響により、MSP の下流の顧客がランサムウェアに感染し、学校からスーパーマーケットまで、世界中の約 1,500 の組織が感染しました。

悪用されたゼロデイ脆弱性に対するパッチがリリースされましたが、これらの侵害を受けた企業にとっては手遅れです。

マイクロセグメンテーションがどのように役立つか:インバウンドトラフィック

MSPは、Kaseya VSA Webインターフェイスへの管理アクセスを制限することで、最初の侵害を軽減できたはずです。この方法では、ごく一部のユーザーの中から特定の権限を持つユーザーだけが対象となります。 要塞ホスト 管理ポートの Kaseya ソフトウェアにアクセスできます。

事実上、攻撃対象領域を減らすためにマイクロセグメンテーションを利用することになり、サイバー犯罪者の邪魔になる障壁が増えるため、ゼロデイエクスプロイトを展開するためにより多くの労力を費やすことになります。これを、権限の限られたユーザーを対象とした多要素認証と組み合わせると、サイバー犯罪者がネットワークに侵入するのが飛躍的に困難になります。

鍵のかかっていないドアを探してネットワーク内を検索する際に、より多くの時間を費やして「騒音」を発生させることで、脅威検出および対応ツールが暗闇に忍び寄るときに、脅威検出および対応ツールが「彼らの声を聞く」のにも役立ちます。

マイクロセグメンテーションがどのように役立つか:アウトバウンドトラフィック

マイクロセグメンテーションが役立つ2つ目の方法は、感染したエンドポイントからインターネットへのアウトバウンド通信です。

ある時点で、サイバー犯罪者は通常、コマンドアンドコントロール(C&C)サーバーと通信して指示を提供し、ダウンロードする必要があります。 悪質なペイロード。ポリシーで Kaseya インフラストラクチャからのアウトバウンド接続を、既知で事前に承認された IP アドレスのみに制限するようにすることで、攻撃者を阻止できます。犯罪者が自社のサーバーと通信できなければ、攻撃の次の段階に進むことはできません。

ゼロトラストはセグメンテーションから始まります

KaseyaやSolarWindsなどのランサムウェア攻撃から組織を守るためには、組織は強固で包括的な開発を行う必要があります ゼロトラスト IT インフラストラクチャ全体にわたるポリシーとプラクティス。そして、ゼロトラストはセグメンテーションから始まります。なぜなら、侵害が発生すると、犯罪者はネットワーク上のどこかに鍵のかかっていない扉を見つけるからです。重要なのは、これ以上先に進めないようにすることです。

セキュリティには特効薬はありません。しかし、このようなマイクロセグメンテーションを適用することで、攻撃者の生活を大幅に困難にし、少なくとも検出の可能性を高め、理想的には、攻撃者にあきらめて先に進むように強制する可能性が高くなります。

関連トピック

アイテムが見つかりません。

関連記事

ランサムウェア:中小企業がランサムウェアの拡散を阻止する方法
ランサムウェアの封じ込め

ランサムウェア:中小企業がランサムウェアの拡散を阻止する方法

もっと読む
攻撃者のレベルを引き上げる:マイクロセグメンテーションがKaseyaのような攻撃から組織を保護する方法
ランサムウェアの封じ込め

攻撃者のレベルを引き上げる:マイクロセグメンテーションがKaseyaのような攻撃から組織を保護する方法

マイクロセグメンテーションがどのように攻撃対象領域を減らし、Kaseya攻撃の影響を軽減できたか。

もっと読む
ReVilを阻止しよう:Illumioがいかにして最も多作なランサムウェアグループの1つを混乱させることができるか
ランサムウェアの封じ込め

ReVilを阻止しよう:Illumioがいかにして最も多作なランサムウェアグループの1つを混乱させることができるか

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく