IllumioでRDPベースのランサムウェア攻撃を阻止する方法
によると、ランサムウェア攻撃の90%以上は防止可能ですガートナー。また、攻撃者はほんの一握りの脅威ベクトルのいずれかに従う傾向があるため、ある程度は予測可能です。最も多いのはリモートデスクトッププロトコル (RDP) の悪用で、2021 年第 3 四半期の攻撃のほぼ半分を占めていました。1つの見積もり。
肝心なのは、あなたの組織がもっとうまくやめることができるかどうか ランサムウェア攻撃 RDPを使用すると、サイバーリスクを全面的に最小限に抑える可能性が高くなります。
幸いなことに、Illumioは、組織が最も必要としている場所、つまり最も危険にさらされている場所を理解し、RDP通信を制限するポリシーを大規模に展開するという、組織が最も必要とする領域を可視化および制御できることです。
RDP とは何ですか?
RDPは、コンピューターユーザーがPCやサーバーにリモートで接続できるようにするMicrosoftプロトコルです。すべての Windows サーバー上で動作し、どこにでもあるため、攻撃の主な標的にもなっています。
RDP攻撃はパンデミック時に急増し、在宅勤務者によるリモートアクセスソリューションの使用も急増しました。によると 1 つの研究、標準ポートでRDPをパブリックインターネットに公開しているデバイスの数は、1か月で40%以上増加しました。
RDP はどのように悪用されているのでしょうか?
RDP の理由を説明する要因はいくつかあります。 ランサムウェア攻撃 とても成功しています。
多くの組織は、ITネットワークインフラストラクチャの可視性が低いです。つまり、開いている RDP 経路がいくつあるかわからない可能性があります。攻撃は、効果的なパッチやパスワードの管理など、企業の一般的なセキュリティ上の課題も悪用します。
仕組みは次のとおりです。
- 攻撃者がスキャンする ウィンドウズサーバー パブリック IP アドレスとオープンポート 3389 (一般的には RDP に使用) を使用します。
- これらが見つかると、脅威アクターは次の方法で公開されているサーバーを侵害しようとします。
- Microsoftの脆弱性を悪用して、RDP認証をバイパスしたり、接続を介してマルウェアを直接実行したりする可能性があります。
- ブルートフォース RDP アカウントは脆弱な認証情報でのみ保護されています。このような自動パスワード推測が試みられることもあります。実施されます警報が鳴らないように何日もかけてね
- 初期アクセスが達成されると、攻撃者はRDPやその他の手法を使用して次のことを行えるようになります。 横方向に移動 他の資産やデータへ。最終的には、広範囲に及ぶランサムウェアを展開したり、機密データを盗んで強要したりするのに十分な規模の拠点を被害者のネットワークに築くことができるようになります。
RDP ランサムウェア攻撃の阻止
RDPランサムウェア攻撃を防ぐには、システムを最新のパッチで保護することと、パスワードクラッキングの試みを軽減するために多要素認証を有効にすることが一因です。
しかし、もっと根本的に重要なのは、まず組織全体でRDPが実行されている場所と、ビジネスプロセスや生産性に影響を与えずに連携を断ち切ることができる場所を理解することです。これらのサーバーでポート 3389 をブロックすることでうまくいきます。
このように攻撃対象領域を減らすことで、潜在的な侵入ポイントの数を最小限に抑えることができます。また、攻撃者が RDP を利用してネットワーク内を移動する機会も減ります。これにより、ベストプラクティスの認証ポリシーで監視および保護の対象となる残りのサーバーの数が少なくなります。
イルミオがどのように役立つか
イルミオはすでに、世界最大かつ最も要求の厳しい企業で使用されています 組織 ランサムウェアの脅威を軽減するため(フォーチュン100企業の 10% 以上を含む)きめ細かなサービスを提供します 可視性 RDP 通信が発生している場所と、必要に応じて通信をブロックする制御方法を理解する必要があります。
RDPランサムウェアのリスクを最小限に抑えるためのIllumioのシンプルな3段階のアプローチは次のとおりです。
- すべての RDP サーバーと接続をマッピング
- 必要不可欠なRDPコミュニケーションと非必須のRDPコミュニケーションを特定
- シンプルで迅速なポリシー展開で行動を起こし、重要でないコミュニケーションを大規模に制限する
ランサムウェアのリスク軽減に関するベストプラクティスのアドバイスや、Illumioが脅威のブロックにどのように役立つかについては、新しい電子書籍をご覧ください。ランサムウェア攻撃を阻止する方法。