ランサムウェアからの保護方法:4 つの基本原則
ランサムウェアからの保護は、これまで以上に困難になっています。
ここ数年の間に、インフラストラクチャは進化し、従来のセキュリティ境界は消滅し、従業員はハイブリッド環境で働いています。
同時に、ランサムウェアはこれらの変化を利用するように進化し、短期間で大量の資産を迅速に侵害することを学びました。
ランサムウェアが今日の最大の脅威となっているのも不思議ではありません。
- 4,000件を超えるランサムウェア攻撃 毎日起こる
- 身代金の平均サイズ 40倍に増加しました わずか2年で
- ザの 史上最大の身代金 — 4,000万ドル — 2021年に支払われました
- 1回の攻撃による最大の総被害は 3億ドル
明らかに、従来のセキュリティはランサムウェアからの保護に失敗しています。組織には以下が必要です。 新しいアプローチ。そして、このブログ記事ではそのアプローチの概要を説明しています。
ランサムウェアから組織を守るのに役立つ 4 つの基本原則について詳しく説明します。
- 社内のコミュニケーションフローを確認できるようにする
- まず、ランサムウェアのお気に入りの経路をブロックすることに焦点を当てる
- どんなことがあっても価値の高い資産を保護しましょう
- 適切なセキュリティツールを使用する
それぞれをさらに詳しく見ていきましょう。
原則 1: 社内のコミュニケーションフローを確認できるようにする
ほとんどのランサムウェアは隠れて何ヶ月も検出されず、システムをロックダウンし、データダンプを脅かし、身代金を要求した後にのみ検出されます。
それ以前は、ほとんどのランサムウェア攻撃は、できるだけ多くのシステムを危険にさらすのにできるだけ多くの時間を費やしていました。そのために、攻撃は多くの場合、組織が所有していることを知らないシステムに侵入し、組織がオープンであることを知らないシステム間の経路を移動し、攻撃が停止していることを認識するために検出、関連づけ、「集める」のが難しいデータの痕跡を残します。
要するに:多数 ランサムウェア攻撃 組織は手遅れになるまで、実際に起きていることや、何をしているのかさえわからないため、成功するのです。
ランサムウェアから身を守るためには、組織は開発を行う必要があります 可視性 ネットワーク内のシステム間の通信フローに流入します。そうすることで、攻撃が初めて環境に侵入したときに、または攻撃が実際に害を及ぼすほど広範囲に広がる前に攻撃を阻止できるほど早い段階で攻撃を検知できる可能性が高まります。
具体的には、組織は次のことができる必要があります。
- システム同士の通信方法を (リアルタイムで) 確認できます。
- システム間のどの経路が開いていて、どの経路を閉じることができるかを特定します。
- リスクデータの複数のソースを一元化して、複雑で微妙な攻撃を特定します。
原則 2: まずランサムウェアが好む経路をブロックすることに重点を置く
ほとんどのランサムウェア攻撃は、次のような共通の経路と脆弱性を標的にしています。 攻撃の 80% 以上 シンプルでよく知られたエクスプロイトをいくつか使用することで成功します。
特に、ほとんどのランサムウェア攻撃は、リモートデスクトッププロトコル(RDP)やサーバーメッセージブロック(SMB)など、リスクの高い一部の経路を標的にしています。これらのサービスはネットワーク内の多くのシステムで使用されており、必要のないときには開いたままにしておくことが多く、攻撃者はネットワークに簡単に侵入したり、ネットワークを越えたりできます。
攻撃者は通常、こうした経路を悪用するため、日和見主義的な態度をとります。攻撃者はしばしばインターネットをスキャンして、ネットワークの外部と通信するポートが開いている悪用可能なシステムがないか調べます。攻撃者がポートを見つけると、そのポートを侵害し、ネットワーク内の他の一般的なオープンポートを利用してシステムからシステムへと拡散し、すべてのポートを危険にさらします。
つまり、多くのランサムウェア攻撃が成功するのは、組織が、通常は気付かないうちに、一般的に悪用される経路の多くをネットワーク内で開いたままにしているためです。
ランサムウェアから身を守るためには、組織はまず次のことに焦点を当てる必要があります。 ブロックします これらの一般的に利用されている経路。そうすることで、攻撃者がネットワークに侵入したり、侵害が成功した後にシステム間で拡散したりする能力を制限できます。
具体的には、組織は次のことができる必要があります。
- リスクの高い経路のうち、開いたままにしておくべき経路と、閉鎖できる経路を特定します。
- リスクの高い経路をできるだけ多く閉鎖し、残りを監視してください。
- 進行中の攻撃を阻止するために環境をロックダウンしてください。
原則 3: 何があっても価値の高い資産を保護する
ほとんどのランサムウェアは、最初は小規模なものから始まり、最初は保護されていない価値の低い資産に感染し、その後、徐々にネットワークを経由して価値の高い資産に侵入します。
通常、ランサムウェア攻撃は、組織の価値の低い資産から価値の高い資産に移行するために、多くの段階を完了する必要があります。攻撃はネットワーク内をゆっくりと移動し、検出されないようにする必要があります。攻撃を推し進めるためのツールを引き出すには、インターネットに接続する必要があります (また、機密データをアップロードしてレバレッジを高める必要があります)。そして、攻撃を仕掛け、システムを暗号化し、身代金の支払いを要求する前に、脆弱で価値の高い資産が見つかるまで辛抱強く待たなければなりません。
つまり、多くのランサムウェア攻撃は、価値の高い資産が侵害されて初めて成功します。ターゲットの内部セキュリティにもよりますが、ランサムウェア攻撃者は数年、数か月、数週間、数日、数時間、さらには数分かかることもあります。
ランサムウェアから身を守るために、組織は攻撃者がネットワーク内のあるシステムから次のシステムに急速に拡散する能力を制限する必要があります。そうすることで、組織は攻撃者の速度を落とし、攻撃が成功する前に攻撃を検知する可能性を高め、価値の高い資産が侵害されるのを防ぎ、攻撃者が信頼できる要求を行うのに十分なレバレッジをかけないようにすることができます。
通常、組織は、環境を細分化し、これらの資産をリングやフェンスで囲んで隔離し、攻撃者が保護されていない低価値資産から十分に防御された高価値資産に移行するための明確な道筋がないように環境全体を分離することで、高価値資産を保護できます。
原則 4: 適切なセキュリティツールを使用する
従来、ほとんどの組織は手動ファイアウォールなどを使用してランサムウェアからの保護を試みてきました。 ネットワークセグメンテーション ツール。しかし、これらのツールは数十年前に異なるネットワークアーキテクチャとセキュリティパラダイム向けに作成されたものです。その結果、通常はランサムウェアから組織を保護できず、これらの新しい原則を実現するために利用することもできません。
具体的には、ファイアウォールやネットワークデバイスなどの従来のセキュリティツールは次のとおりです。
- コミュニケーションフローを視覚化できない: 内部の東西通信や南北通信に関する有用なデータは収集しません。収集するテレメトリは限られているため、リスクを特定できず、多くの場合、単一目的のポイントソリューションのスタックに分散してサイロ化されています。
- ランサムウェアのお気に入りの経路をブロックできない: 組織のネットワークでどの一般的な経路やエクスプロイトが開かれているかを一元的に把握することはできず、現代の環境ではこれらの経路を閉じ続けるのに苦労し、進行中の攻撃への対応には時間がかかりすぎます。
- 高価値資産を保護できない: 彼らは通常、システム間に何百万もの接続ポイントがある現代の環境には拡張できない手動のワークフローを使用して構成とセグメンテーションポリシーを管理します。彼らが実施しているセグメンテーションは、ネットワークが変化した瞬間に破棄されます。
つまり、組織は従来のセキュリティツールを使用してランサムウェアから保護することはできません。現代の環境を現代のランサムウェアの脅威から守るために設計された新しいツールが必要です。
イルミオに会う:ランサムウェアから身を守るための最新のアプローチ
Illumioは合理的でスケーラブルなポリシー管理を提供するため、環境の規模や規模に関係なく、ランサムウェアから保護するための新しいセキュリティアーキテクチャを簡単に構築できます。
イルミオは、これらの原則を簡単に実現できるようにします。
コミュニケーションフローを包括的に可視化
インストール後1時間以内に、Illumioは環境内のすべてのシステム間のすべての通信のリアルタイムマップを作成します。Illumio は、これらの通信のうちどれが必要で、どれを遮断できるかを確認できるように支援し、SIEM などの多くのチームやツールに信頼できる唯一の情報源を提供します。
ランサムウェアが悪用したがる経路を迅速に阻止
イルミオは、セキュリティポリシー管理のすべての重要なステップを自動化することで、環境内で開かれている一般的なランサムウェアの経路を示し、これらの経路を簡単に閉じられるようにします。最後に、Illumioでは、インシデント発生時にネットワークとシステムを数秒でロックダウンする「コンテインメントスイッチ」を作成できます。
スケーラブルなゼロトラストセグメンテーションを実行して高価値資産を保護する
イルミオが提供する包括的なセグメンテーションソリューションにより、大規模で現代的な環境にポリシーを適用し、横方向への広がりを制限し、価値の高い資産を簡単に分離できます。イルミオはこれらのポリシーを動的に適用し、ネットワークが発展しても常に維持します。
つまり、イルミオは従来のセキュリティツールとアーキテクチャの問題の多くを解決し、ランサムウェアから保護するための新しいアプローチを導入できるようにします。
今すぐランサムウェアから身を守ろう:Illumio を活用して身を守りましょう
Illumioは、ランサムウェアからの保護を目的として、世界最大かつ最も革新的な組織の多くで使用されています。Illumioを利用することで、アプリケーションレベルまでの完全なセグメンテーション制御が可能になり、通信フローを可視化し、最もリスクの高い経路を明確に理解できるようになります。
イルミオは現在、以下の資産を保護しています。
- フォーチュン100企業の 10% 以上
- 世界の大手銀行10社のうち6社
- 大手保険会社5社
- 大企業 SaaS 企業 5 社のうち 3 社
私たち 顧客 また、イルミオを使用して、さまざまな攻撃から身を守るための根本的に強力なセキュリティ体制を構築します。
イルミオをあなたの防衛に導く時が来ました。次の正しい一歩を踏み出してください。
- もっと深く: ランサムウェア攻撃を阻止する方法 eBook
- 自分で試してみてください。 イルミオエクスペリエンスハンズオンラボ
- チャットをスケジュールする: 無料相談とデモ