MOVEit から学ぶこと:組織がレジリエンスを構築する方法

過去1週間にわたって、ニュースは詳細が中心でした MOVEit データ侵害。大規模な攻撃では、サイバー犯罪者が脆弱性を悪用しました MOVEit ファイル転送アプリケーション —世界中の何千もの組織が、同僚や外部の関係者と安全にファイルを共有するために使用しているツールです。あるいは、彼らはそう思っていました... では、何が悪かったのでしょうか？

私たちは何を知っていますか？

この攻撃は、攻撃者が MOVEit ファイル転送ツールの、これまで知られていなかった新しい脆弱性を悪用できたために発生しました。この脆弱性とは ゼロデイ攻撃。 これにより、給与計算部門や人事部門向けの IT サービスのサプライヤである Zellisが使用していたMOVEitのインスタンスが、BBC、ブーツ、エアリンガス、Ofcomなどの顧客からのデータとともに侵害されました。また、攻撃は英国だけにとどまらず、カナダと米国の組織も影響を受けていることが確認されています。

ザの Clop ランサムウェアギャング 攻撃の責任を主張し、企業が身代金を支払わない限り、影響を受けた組織から盗まれたすべてのデータを6月14日までに公開すると脅迫しています。しかし、世界中の法執行機関からの推奨は別として、身代金の支払いは攻撃を増やすだけです。では、今後、組織が同様の攻撃から身を守るためにできること、すべきことは何でしょうか。

私たちは何を学べますか？

この攻撃は、両者がもたらすリスクをよく思い出させてくれます サプライチェーン そしてソフトウェアサプライチェーン。組織は、システムや給与計算などの機能をアウトソーシングする際に、機密データの保護と保存のためにサプライヤーを暗黙的に信頼しすぎていることがよくあります。しかし、サプライヤーが攻撃を受けた場合、組織はすぐに間接的に侵害されていることに気付く可能性があります。

今回のケースでは、ZellisがMOVEitソフトウェアに依存していたことは明らかです。MOVEitソフトウェアはインターネットに接続されているためリスクが高いソフトウェアです。ただし、ゼロデイ攻撃はソフトウェアの更新によっていつでも発生する可能性があり、多くの場合、盲目的にまたは自動的に受け入れられます。

MOVEit のような攻撃に対するレジリエンスを構築するための 5 つのステップ

すべてのアップデートを厳密にテストすることは不可能であるため、企業は脆弱性が重大な損害を引き起こさないように、レジリエンスとフェイルセーフを構築する必要があります。

以下は、組織がレジリエンスを高めるために取るべき重要なステップです。

1。常に違反を想定する

MOVEit 攻撃から最初に学ぶべきことは、サイバー攻撃から免れる組織はないということです。ランサムウェアは今や最も一般的なタイプの攻撃なので、対策を講じる必要があります。」違反を想定」ランサムウェアを侵入時点で確実に隔離するために、防御よりも侵害の封じ込めに重点が置かれるという考え方。

2。基本を正しく理解しましょう

第二に、基本を無視しないでください。リスクにさらされるリスクのほとんどは、衛生状態の悪さ、プロセスの悪さ、ヒューマンエラーによるものです。防御側は 100% 正解である必要がありますが、攻撃側が成功するには 1% の確率で正しければよいので、ミスを犯す余地はないことを覚えておいてください。

ゼロデイ攻撃は常に発生しており、今後も発生し続けますが、基本を正しく理解していない企業が多すぎます。リスクを軽減する最善の方法は、適切なセキュリティ衛生と徹底的な防御を行うことです。最低でも、定期的なパッチの適用、既知の脆弱性を持つシステムやサービスへのアクセスの制限、最小限の権限の戦略の導入が必要です。

3。可視性が重要です

レジリエンスを構築するための重要なステップは、可視性を高めることです。可視化することで、普段の状況を把握できるため、予期しない接続が発生したり、予期しない大量のデータが転送されていることに気付いたときに、既存のSIEM（セキュリティ情報およびイベント管理）テクノロジーを使用して検出し、対策を講じることができます。

可視化により、そのシステムに関連する依存関係を理解し、「既知の良品」の全体像を把握することもできます。MOVEit の侵害を受けた組織は、MOVEit がインストールされているすべてのインバウンド接続とアウトバウンド接続を可視化する必要があります。

4。アクセス権限を最小にする戦略を導入

ソフトウェアサプライチェーンなど、制御の行き届いていない領域については、環境の他の部分から適切にセグメント化してください。すべて実装してください 制限付き許可リストポリシー これにより、ワークロードがネットワークの他の部分にアクセスすることはほとんどなく、攻撃者がネットワークについて発見して横方向に移動できる量を制限できます。

特にMOVEitの場合は、iMOVEitワークロードの前に許可リストを適用して、アプリケーション層とアクティビティ層でのアクセスを制限します。

5。リングフェンスの高価値アプリケーション

知的財産、非公開の財務データ、法的文書、または機密情報や個人情報を扱う価値の高いアプリケーションを制限するための措置を講じてください。リングフェンシングは、セキュリティ境界をサブネットや VLAN から 1 つのアプリケーションに縮小します。最小限の作業で最大の効果が得られるため、アプリケーションごとに 1 行のセキュリティポリシーを適用するだけで、東西トラフィックの移動の潜在的な攻撃対象領域の 90% を遮断できます。

イルミオゼロトラストセグメンテーション（ZTS）はどのように役立ちますか？

イルミオ ZTS これにより、脆弱性をすばやく簡単に確認し、組織を保護するための簡単な措置を講じることができます。Illumio ZTS はソフトウェアサプライチェーン攻撃を防ぐことはできませんが、利益を得るのに役立ちます。 アタックサーフェスの可視性、不審な行動を特定し、 含む 侵害の拡大。

イルミオ ZTS を使用すると、次のことが可能になります。

• どのワークロードに対しても、「通常の」または「予想される」動作がどのようなものかを確認します。
• 許容基準からの逸脱（たとえば、転送される接続量やデータ量の変化、アクセスされた新しい異常な IP またはドメインなど）を特定します。
• 攻撃を受けている間も確実に状況を確認できるまで、ワークロードをすばやく分離します。
• ワークロードへのアクセスとワークロードからのアクセスを事前に制限して、ポリシーで許可されている範囲外へのアクセスが不可能になるようにします。

ソフトウェアやサプライチェーンの攻撃に対するレジリエンスの構築

ハイパーコネクティビティは、ソフトウェアのサプライチェーンを危険にさらすことで効率と収益性を高めることができると攻撃者が知っているほど、豊富で密度の高い重大な相互依存関係を生み出しています。そのため、企業はソフトウェアのサプライチェーンを迅速に把握する必要があります。さもないと、同様の侵害を受けるリスクがあります。

今日でも、サイバーセキュリティにおける取り組みと予算の 99% は、悪い事態の防止（検出と修復）に費やされています。しかし、企業がサイバーセキュリティ予算を3倍に増やしても、依然として侵害が発生する可能性があります。

組織は積極的に強化しなければならない 抵抗力 常に侵害を想定し、攻撃の拡大を制限するための封じ込め機能を組み込むことです。つまり、侵害が重要な資産にまで広がるのを防ぐために、広範囲にわたる資産の攻撃対象領域全体にわたるデータの流れを理解し、ネットワーク内の主要機能を分離することに重点を置いたリスクベースのアプローチを採用することになります。

もっと詳しく知りたいですか？ 今すぐお問い合わせ 無料のデモとコンサルテーションをご利用ください。