ランサムウェアを理解する:最も一般的な攻撃パターン

デジタル変革は今やナンバーワンです 戦略的ビジネス目標。シドニーからサンフランシスコまで、経営陣はクラウド、AI、IoT などの力を最大限に活用して成功を促進する方法を検討しています。こうした取り組みは、新しい顧客体験の創出やビジネスプロセスの合理化に不可欠であるだけではありません。また、パンデミックの危機から急速に台頭しつつある新しいハイブリッドな働き方モデルを支援する上でも不可欠です。

しかし、組織がデジタルフットプリントを拡大するために支払う代償は、サイバー攻撃対象領域の拡大につながることがよくあります。これはサイバーリスク、特に被害の脅威を招きます。 ランサムウェア 違反。

現在、多数のランサムウェア開発者とアフィリエイトグループが世界中で活動しています。つまり、さまざまな攻撃戦術、手法、手順も出回っているということです。しかし、だからといって予備選挙を見分けることができないわけではありません。オペランディモード。さらに良いことに、この一般的な攻撃パターンを利用して、簡単な 3 段階のプロセスを適用することで、ランサムウェアのリスクを軽減できます。

これはの値です マイクロセグメンテーションネットワーク資産の通信と脅威アクターが使用する一般的な経路を包括的に可視化することに基づいています。

このブログ記事では、ランサムウェアの仕組みと阻止方法に関するよくある質問にお答えします。

ランサムウェアはなぜ重要なのか

ランサムウェアが侵入した 2021年の最初の3四半期で記録的なレベルに達し、あるベンダーが世界中で5億件近くの侵害試行を記録しました。近年、攻撃は進化し、今ではデータ流出が当たり前となっており、ビジネスリスクというまったく新しい要素が追加されています。つまり、組織は単純にデータをバックアップするだけでは不十分です。データ漏えいだけでも、財務や評判が損なわれるリスクは現実にあります。

現在、いわゆる「二重強要」攻撃は、次のような結果をもたらす可能性があります。

• 規制罰金
• 生産性の低下
• 売り上げの損失
• 復旧と調査のための IT 残業コスト
• 弁護士費用 (データ漏えいが発生した場合の集団訴訟など)
• 顧客離れ
• 株価の下落

すべての組織とすべての攻撃は異なります。一部のコメンテーターは推定していますが 平均的な財務的影響 今日では約200万ドルで 一部のレイドにはコストがかかる 何億人もの犠牲者。そのため、脅威に対抗するための積極的な対策が不可欠です。

ランサムウェアの仕組み

幸いなことに、現在多くの亜種やアフィリエイトグループが運用されているにもかかわらず、ほとんどの攻撃の基本的なパターンを見分けることができます。要するに、脅威アクターは:

• 攻撃を受ける前に何ヶ月も内部ネットワークに隠れてください。
• 初期のネットワークアクセスや継続的なラテラルムーブメントには、共通の経路を活用しましょう。
• 目標を達成するために、複数の段階でアクションを実行します。

これらのそれぞれについてさらに詳しく見ていきましょう。

攻撃者はどうしてこれほど長い間検出されないのでしょう?

攻撃者の目標は、被害者のネットワーク内に大量の機密データを盗み、ランサムウェアをあらゆる場所に展開できるほど強力な存在感を確立するまで、隠れたままでいることです。

そのために、彼らは：

• インターネットやその他のネットワーク資産にオープン接続されたデバイス、アプリケーション、ワークロードなど、組織が脆弱であることや危険にさらされていることを知らなかった資産への侵害
• オープンであることを組織が知らなかったパスウェイ/データフローを使用する。これらのパスウェイ/データフローは、ベストプラクティスのセキュリティポリシーに従ってクローズする必要がある
• 複数の機能にまたがる複数のシステムを侵害すると、チームがすべてを単一のインシデントまで追跡することが困難になる

攻撃者はどのようにして一般的な経路を悪用しますか?

ほとんどのランサムウェアが到着 フィッシングメール経由で、 RDP の妥協点 またはソフトウェアの脆弱性の悪用。攻撃者は成功の確率を高めるために、以下を探します。

• RDPやSMBなど、リスクが高く人気のある経路のごく一部。これらは通常、組織全体を対象としており、マッピングが容易で、設定が誤っていることもよくあります。
• スクリプトとクローラーを使用した自動スキャンにより、ポートと悪用可能な資産を開きます。
• これらのリスクの高い経路を利用して、わずか数分で組織全体に浸透させることで、迅速に横方向に移動する方法。

マルチステージ攻撃の仕組み

たいていの攻撃は、価値の低い資産を危険にさらすことから始まります。これらの資産は通常、ハイジャックされやすいからです。脅威アクターにとっての秘訣は、さらに段階を進んで貴重な資産にたどり着き、そこからデータを盗んだり暗号化したりして、被害者組織をゆすり取る際のレバレッジを提供することです。

そのために、攻撃者は通常次のことを行います。

• 組織の可視性の低さ、ポリシー管理、細分化を活用しましょう。
• インターネットに接続して、攻撃の次の段階に役立つ追加のツールをダウンロードしたり、管理下にあるサーバーにデータを流出させたりできます。
• ほとんどの損害は、ネットワーク内で資産から資産へと移動するラテラルムーブメントによるものです。

ランサムウェアを阻止するための3つの簡単なステップ

このような典型的な攻撃パターンを念頭に置いて、CISOは対応策を考案し始めることができます。これは、次の3つのシンプルなコンポーネントに基づく新しいセキュリティアーキテクチャです。

1。環境全体のコミュニケーションフローを包括的に可視化できます。

これにより、攻撃者は隠れる場所がなくなり、最初のアセットを危険にさらそうとするときやラテラルムーブ中にマスクが外れてしまいます。

そのためには、以下を行う必要があります。

• すべての資産をリアルタイムで可視化することで、不必要なデータフローや異常なデータフローに対処できるようになります。
• 環境のリアルタイムマップを作成して、開いたままにしておく必要があるワークロード、アプリケーション、エンドポイントと、閉じることができるワークロード、アプリケーション、エンドポイントを特定します。
• コミュニケーションフローとリスクデータの統合ビューを作成して、すべての運用チームが作業できるようにすることで、社内の摩擦を減らすことができます。

2。 ランサムウェアブロック機能の構築

単にコミュニケーションフローをマッピングし、どのアセットをクローズできるかを理解するだけでは十分ではありません。攻撃対象領域を減らし、進行中の襲撃を阻止するための対策を講じる必要があります。

次の方法で行います。

• リスクの高い経路をできるだけ多く閉鎖し、未開の経路をリアルタイムで監視します。
• 開く必要のないポートをすべて閉じて、自動スキャンで公開されたアセットが見つかる可能性を減らします。
• 攻撃が発生した場合にネットワーク通信を制限するために、数秒で起動できる緊急封じ込めスイッチを作成します。

3。重要な資産を分離

最終段階は、攻撃者が重要な資産にアクセスするのを防ぎ、攻撃者は検出しやすいアクションを実行して攻撃を進めさせることです。

これには以下が含まれます。

• 高価値資産が危険にさらされるのを防ぐためのリングフェンシングアプリケーション。
• 信頼できない IP へのアウトバウンド接続を閉じ、承認された IP 上の接続のみを許可する」許可リスト。」
• 重要な資産を保護し、攻撃の拡大を防ぐための侵害後のセキュリティ対策を開発します。

反撃はここから始まります

現在、100% のセキュリティ侵害防止を実現できる組織はありません。攻撃者は、そのための決意が強すぎ、リソースも豊富で、数が多すぎます。しかし、ネットワークの可視性、ポリシー制御、セグメンテーションに的を絞れば、組織を構築できます。 よりスマートなセキュリティアーキテクチャ 脅威を切り分ける可能性が高い。

ほとんどの脅威アクターは、迅速で簡単なROIを求めて、日和見主義者です。これらの3つのステップを実行して彼らの計画を中断させれば、重大な妥協を回避できる可能性が高まります。

さらに詳しく:

• 電子書籍の各ステップを詳しく見ていきましょう。 ランサムウェア攻撃を阻止する方法
• イルミオがどのように役立つかをご覧ください。 ランサムウェア対策にイルミオを使う9つの理由