ブログ
/
ランサムウェアの封じ込め

あるグローバル法律事務所が Illumio を利用してランサムウェア攻撃を阻止した方法

ロン・アイザクソン
シニアディレクター、フィールドCTO
June 24, 2022
23 最小読取り

あるグローバル法律事務所が被害を受けました ランサムウェア

攻撃は急速に12台のサーバーに広がりました。

攻撃者はネットワーク全体に侵入し、会社を人質にする準備ができていました。

しかし、この法律事務所は準備ができていました。彼らにはイルミオがあった。そして、私たちの技術を使うことで、彼らは:

  • 攻撃をわずか12台のサーバーに封じ込めました
  • 侵害されたシステムを数秒で特定し、隔離しました
  • 最初の侵害からわずか数時間以内に攻撃を阻止しました
  • 攻撃者が機密データを暗号化したり盗んだりして、会社や顧客に危害を加える前に脅威を終わらせた

このブログでは、この世界的な法律事務所が、ITシステム、ビジネス、そして最も重要なのはクライアントへの重大な損害を回避しながら、ランサムウェア攻撃をかつてない速さで阻止した方法を説明します。

侵入から立ち退きまでの時間単位:攻撃のタイムライン

それは大惨事だったはずです。

この法律事務所には、世界中の何十もの場所に何千ものユーザー、サーバー、ワークステーションがありました。この法律事務所には数百の顧客がおり、大量の機密データや法的文書をデジタルインフラストラクチャに保存していました。

同社はランサムウェアの主要な標的でしたが、ある日ランサムウェアが発生しました。彼らは攻撃されました。

しかし、攻撃は失敗しました。サイバー犯罪者は数時間で立ち退きさせられました。こちらが それがどう起こったかは、法律事務所のインシデント対応を主導したIT幹部がイルミオに伝えたものです。

この事件はデリケートな性質のため、名前や身元確認の詳細はすべて隠されています。

最初の違反:月曜日の午後の早い時間

同社の従業員の1人が、攻撃者に侵害されたクライアントから送信されたフィッシングメールを受信しました。

「ハッカーは卑劣だった」と幹部は言う。「仮の Excel ファイルに URL を送信しましたが、ハイパーリンクではありませんでした。そこで、当社の従業員はその URL をブラウザにコピーしてファイルをダウンロードしました。」

しかし、何も起こらなかった。そこで、彼女は会社のITヘルプデスクに連絡して、ファイルへのアクセスを支援してもらいました。しかし、それが悪意のあるコードであることにはまだ気づいていませんでした。

午後 2 時:攻撃開始

ヘルプデスクの従業員が URL をブラウザにコピーしました。これにより、武器化されたファイルがマルウェアを起動しました。

「このExcelファイルでは、攻撃者が彼のワークステーションを危険にさらしたり、彼のアカウント権限にアクセスしたりすることを許可するマクロが実行されました」と幹部は説明します。

午後 2 時 ~ 午後 3 時 40 分:攻撃者は検出されません

IT技術者のマシンはオンライン状態で、ほぼ2時間チェックされていなかったため、犯罪者は攻撃を最適に行う方法を検討し、評価する時間ができました。

「攻撃者はネットワークスキャンを非常に注意深くゆっくりと実行したため、彼らの動きはほとんど検出できませんでした」と彼は言います。

最終的に、攻撃者はヘルプデスクワークステーションから取得した権限でアクセスできるサーバーを見つけました。そこで攻撃を仕掛けました。

午後 3 時 40 分~午後 4 時:攻撃者が動き出す

攻撃者は最初に SQL サーバー上のデータベースファイルを暗号化しました。これにより、サーバーがクラッシュしました。法律事務所のITグループはすぐにクラッシュに気づき、調査したところ、ランサムウェアの兆候が見られました。

「データベース管理者が午後6時に私に電話をかけてきて、私たちはそうだったと思うと言った。 ランサムウェアに襲われた」と彼は言います。

午後 4 時~午後 4 時 50 分:戦争室の作成

IT幹部は、何が起こったのかをCIOに通知しました。これは、CIO が受けたいと思うような電話ではありませんでした。彼は最悪の事態を恐れていた。彼らは時計が時を刻み始めたことを知っていた。

法律事務所は、迅速に対応を調整する必要がありました。

「約 15 分以内にズームコールを開始し、IT チームとセキュリティチームのメンバーと面会しました」と彼は説明します。「ログを詳しく調べて、何が起こったのか、何がすでに侵害されているのかを調べました。」

午後 4 時 50 分~午後 6 時 15 分:攻撃を理解する

「私たちの「患者ゼロ」、つまり悪意のある URL とランサムウェアファイルをホストしていたITヘルプデスクワークステーションを指すログがすぐに見つかりました」と彼は言います。

しかし、それだけでは不十分でした。彼らは攻撃が他にどこに広がったのかを知る必要がありました。

「その時点で、議事録は刻々と過ぎています」と幹部は説明します。「私たち すぐに隔離された そのワークステーションで、攻撃の範囲を理解するために環境全体を調べ始めました。」

対応チームが持ち込んだのは マネージド・セキュリティ・サービス・プロバイダー (MSSP) ハッカーの追跡に役立ちます。

MSSPは、イルミオからのリアルタイムのアプリケーショントラフィックデータを含むセキュリティ情報およびイベント管理(SIEM)ツールを使用して、SIEMに問い合わせて、攻撃者がMicrosoft Azure上で稼働する1つのクラウドベースのサーバーを含む別の11台のサーバーに到達したことを特定できました。

チームが作業を進めていくと、リアルタイムのテレメトリから、攻撃の範囲が目の前で拡大していることがわかりました。時間がなくなりつつありました。

午後 6:20: イルミオが攻撃を終了します

法律事務所は違反を封じ込めるために迅速に行動する必要がありました。

Illumioを使用することで、チームはAzureクラウドインスタンスを含む12台のサーバーすべてをすぐに次の場所に配置することができました。 セグメンテーションリングフェンス、ネットワークまたはコンピューティングリソースにアクセスできない。

最終的に、これが攻撃をコールドで止めた決定的なアクションでした。

「文字通り、ドラッグアンドドロップを数回クリックするだけで、影響を受けたすべてのシステムを隔離できました」と幹部は言います。「これを従来の方法で行おうとすると、はるかに長い時間がかかり、攻撃者が他のシステムに飛び移って拡散を続ける機会も十分にあったでしょう。イルミオのおかげで、私たちは彼らをすぐにシャットダウンすることができました。彼らはどこにもジャンプして私たちを避けて広がり続ける方法がありませんでした。夜の彼らの楽しみは終わりました。」

午後 6 時 20 分~午前 1 時:損傷の評価

脅威は終わったが、やるべきことはまだあった。

「攻撃者が私たちのデータを盗んだかどうかを確認するには、攻撃全体を調査する必要がありました」と幹部は言います。「法律事務所としては、データを紛失した場合、クライアントに通知する必要があります。そうなると評判が損なわれ、大きな損害を被る恐れがあります。」

彼は婚約しました インシデントレスポンス (IR) 会社 攻撃の全容を調べるためだ

火曜日 — 金曜日:漏洩したデータの証拠を探す

法律事務所のITグループは、IR事務所のソフトウェアエージェントをインストールし、Illumioを使用して侵害されたマシンからファイルを安全に送信しました(他のマシンが誤って再感染しないようにするため)。IRチームは仕事に取り掛かりました。

「そこからは、ただ待つしかありませんでした」と幹部は言います。

今週の終わりに、IRチームは調査を終了しました。

「彼らは戻ってきて、他のシステムは侵害されていないことを伝え、データが漏洩していないことを確認しました」と彼は言います。

そのニュースはこれ以上良かったはずがない。そして、その結果は前例のないものでした。

「インシデント対応チームからMSSPまで、誰もが、ランサムウェア攻撃にこれほど迅速に対応した企業を見たことがないと言っていました」と幹部は言います。「攻撃が非常に速く拡散するので、攻撃を十数個のシステムに限定するのは前代未聞だと言われました。しかし、イルミオのおかげで、私たちはまさにそれを成し遂げました。」

ランサムウェア防御がより簡単に

IT幹部によると、Illumioは侵害を事後的に阻止する上で極めて重要だったが、その展開は イルミオのゼロトラストセグメンテーション 侵害前の能力も決定的な違いをもたらしました。

会社はあくまでですが イルミオの導入が 40% 完了、すでに実施されているアクセス制御により、ハッカーが攻撃中に利用できる経路とオプションが大幅に制限され、ハッカーの速度が低下し、ネットワーク内に入るとアクセスできるものが大幅に制限されました。

「イルミオの導入を環境の細分化にまだ始めていなかったら、この攻撃はもっとひどいものになっていただろう」と幹部は言う。「悪意のある攻撃者は、ワークステーションから複数の経路を見つけて、はるかに早く、さらに遠くまで拡散していたでしょう。」

この法律事務所がランサムウェア攻撃に対する防御を成功させたことから得た教訓は明らかです。 適切なリーダーシップ、適切なチーム、適切な統制 侵害が発生した場合にすぐに対応する準備が整っています。

「自分で違反が発生するのは時間の問題です」と幹部は言います。「今の時代では、 マイクロセグメンテーションの実装に不可欠 ハッカーやマルウェアが必然的にネットワークに侵入したときのラテラルムーブメントを制限します。Illumioは、これまで不可能だった方法でこれを可能にしてくれました。それがすべてを変えました。」

今すぐイルミオを組織に導入して、ランサムウェアが会社を人質に取る前に阻止する準備をしてください。

関連トピック

アイテムが見つかりません。

関連記事

PII向けCCPAとゼロトラストセキュリティ:医療と教育
ランサムウェアの封じ込め

PII向けCCPAとゼロトラストセキュリティ:医療と教育

もっと読む
サイバーインシデントで何をすべきか、パート2:非技術的対応
ランサムウェアの封じ込め

サイバーインシデントで何をすべきか、パート2:非技術的対応

もっと読む
ReVilを阻止しよう:Illumioがいかにして最も多作なランサムウェアグループの1つを混乱させることができるか
ランサムウェアの封じ込め

ReVilを阻止しよう:Illumioがいかにして最も多作なランサムウェアグループの1つを混乱させることができるか

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく