.png)
ランサムウェアの保護、コンプライアンスなどにリスクベースの可視性を使用する方法
ランサムウェアに関して確かなことが 1 つあります。それは、規模の大小、セキュリティに精通しているかどうかに関係なく、あらゆる組織が攻撃を受ける可能性があるということです。注目度の高い攻撃は、攻撃を実行するためのターンキーソフトウェア、匿名化された暗号通貨による支払い、ますますデジタル化が進むインフラストラクチャ、リモートおよびハイブリッド作業環境の増加によって増加しています。
幸いなことに、ランサムウェアやその他のマルウェアがネットワークを通じて拡散するのを防ぐ強力な戦略が存在します。それはセグメンテーションです。ゼロ トラスト セグメンテーションでは、悪意のあるものが侵入しても、拡散したり、損害を与えたりすることができず、組織が攻撃を受けていることがニュースで報道されることもありません。
効果的なセキュリティ戦略と同様に、セグメンテーションは可視性から始まります。具体的には、リスクの評価に基づく可視性です。
ここでは、システム管理者がアプリケーション間の通信をマッピングし、脆弱性を評価し、それらの脆弱性が環境全体でどのように露出につながる可能性があるかを判断するために、 リスクベースの可視性 がどのように機能するかを説明します。
オープン環境の問題
データセンターにとってセキュリティは最優先事項ですが、多くのデータセンターはサブネット、VLAN、ネットワークゾーン内の壁に十分な注意を払っていません。言い換えれば、セーフガードは侵害から保護しますが、多くの場合、発生する侵入を封じ込めるためのセグメンテーションはあまり行われていません。それは部分的には意図的なものです。環境は、多くのビジネスシステムが相互に簡単に接続してデータを交換し、日常業務を実行するのに役立ちます。
このような大規模でオープンな環境の問題は、マルウェアが 1 台のマシンまたはゾーンに感染した場合、数秒で環境全体にはるかに迅速に拡散する可能性があることです。
一般的な攻撃ベクトルの 1 つは、疑いを持たない許可されたユーザーを介したものです。この場合、自宅のラップトップを使用している従業員が不審なリンクをクリックします。このリンクは、マルウェアをバックグラウンドでサイレントに起動し、既存の検出ツールでは検出できない可能性があります。そこから、他の資産に広がろうとします。
しかし、ネットワークを介した ラテラルムーブメント が不可能であれば、マルウェアは拡散できません。これにより、検出やその他のソフトウェアが機能するための貴重な時間が稼ぎます。また、ユーザーやセキュリティ専門家は、感染したマシンに何か問題があることに気づき、他の資産やデータに損害を与える前に行動を起こす時間が増えます。
つまり、その重要な時間枠を自分で買えば、 ランサムウェア やその他のマルウェア攻撃を封じ込める上で大きな違いを生む可能性があります。攻撃を 1 台のマシンに分離して駆除し、後で数十台、数百台、さらには数千台の侵害されたマシンを管理し、運用や評判に打撃を与えるのを試すことができます。すべては、リスクベースの可視性から始まります。
リスクベースの可視性の構成要素
リスクベースの可視性とは、過剰で不必要な通信、さらには非準拠のデータフローによって、どのシステムやアプリケーションが脆弱であるかを特定することを意味します。
そのため、イルミオからのランサムウェア保護は、アプリケーションの依存関係 マップを作成することから始まります。これらのマップにより、システム管理者は IP アドレスのごちゃごちゃだけでなく、アプリケーション トポロジのトップレベル ビューを表示できます。つまり、すべてがきちんと整理され、見やすくなり、アプリケーションが他のアプリケーションと、ネットワーク間でどのように通信するかを示す明確に識別された関係が示されます。
きめ細かなビューから高レベルのビューまで、アプリケーション依存関係マップを使用すると、管理者は環境全体を上から下まで調べることができます。これには、個々のプロトコルが本番環境全体でどのように機能するか、または開発環境と本番環境の間で特定のデータ フロー セットがどのように動作するかが含まれます。
Illumio は脆弱性データを使用してこの可視性を強化します。脆弱性と脅威のフィード データをリアルタイムのトラフィック フローと統合することで、アプリケーションまたは各 アプリケーション ワークロード の 定量的なリスク スコア を取得できます。このスコアにより、どのアプリケーションが脆弱なポートに接続しているか、また脆弱性によってどの程度の全体的なリスクが発生しているかを簡単に把握できます。このコンテキストは、環境内のリスクを軽減する上で非常に重要です。重要度に基づいてパッチを適用するか、補償制御としてセグメンテーション ポリシーを実装します。
適切な意見を適切な人々に届けることも重要です。これは、効果的なリスクベースの可視性は、担当者が自分に関連するセキュリティとコンプライアンスの質問に答えるために必要な情報を入手できるかどうかにかかっているためです。これは、信頼できる唯一の情報源である地図によって可能になりました。
適切な視覚化にリアルタイムでアクセスできると、誰もが真実について正確に合意できるため、運用上のリスクが軽減されます。アプリケーション チームの誰かが、アプリケーション トポロジとデータ フローの全体像を把握する必要がありますか?今ならそれができる。ネットワーク セキュリティチームにはコンプライアンス データが必要ですか?同じデータの独自のビューを見ることができます。ネットワーク運用および DevOps チームのメンバーも、同じ画面で必要な情報を確認できます。そして、誰もが、自分が見ているものが、まさに特定のアプリケーションがどのように動作するかということに同意するでしょう。
このような信頼できる唯一の情報源は、コラボレーションを改善します。また、50年前にインストールされた可能性のあるソフトウェアの研究プロジェクトに固有の時間と退屈さを人々に省き、他のより価値の高い優先事項に集中できるようになります。
これらはすべてセキュリティの向上に大いに役立ち、 セグメンテーションを通じてランサムウェアやその他のマルウェアを封じ込めるための基礎を築きます。
コンプライアンスの可視性
リスクベースの可視性の利点は、マルウェアの封じ込めに限定されません。また、チームが準拠していないデータフローを特定できるようにすることで、コンプライアンスの境界を検証するのにも役立ちます。
たとえば、包括的な可視性により、ペイメント カード業界データ セキュリティ標準 (PCI-DSS)、SWIFT 顧客セキュリティ管理フレームワーク、医療保険の相互運用性と説明責任に関する法律 (HIPAA) などの規制フレームワークに反して、他のアプリケーションからデータを収集しているアプリケーションが明らかになる可能性があります。これは、データ収集と処理の範囲内で何が対象で、何が対象外であるかが非常に重要である規制された業界で活動する組織にとって非常に重要です。
規制遵守以外にも、ほとんどの組織にはリモートアクセスに関するポリシーがあります。たとえば、組織内のほとんどの従業員はデータ センターへのすべての管理アクセスを必要としないため、アクセスが制限されます。また、フルアクセスが必要な場合は、ジャンプホストを使用してリモートサーバーとデータセンターサーバー間の通信を制御する必要があることがよくあります。しかし、ジャンプ ホストはせっかちなユーザーの速度を低下させ、ユーザーをバイパスするインセンティブを与える可能性があります。
視覚化を使用すると、ジャンプ サーバーに関する次のような重要な質問に答えることができます。人々は実際にジャンプ サーバーを使用していますか?それとも、少し遅いジャンプホストをバイパスしてアプリに直接接続できるほど上級であると信じている管理者がいますか?
そのアクティビティが確認できれば、これらのセキュリティリスクを強化するために何をすべきかがわかります。
この種の重要な可視性を得るには、多くの場合、膨大なデータ フロー テーブルを入念に調べて、特定の境界やネットワーク範囲内にあるか外れているかを判断する必要があります。この時間と困難なタスクにより、多くの組織ではリアルタイムはおろか、包括的な可視性が手の届かないところに置かれています。対照的に、コンプライアンスエリアの周囲の境界を明確に示すビジュアライゼーションでは、エンドポイント、データセンター、サーバーに出入りするデータフローを明確に把握できます。
このような視覚化により、社内外の利害関係者の時間を大幅に節約し、コンプライアンスの境界と統制に関するマネージャーと監査人の間で簡単な会話を行うための準備が整います。
可視性、セキュリティへの第一歩
可視性は、データセンターとクラウド資産へのアクセスを制御するための最初のステップであり、ユーザー、アプリケーション、サーバー間の制御を強化するために必要な洞察を提供します。
現実には、ランサムウェアは誰にとっても問題です。しかし、リスクベースの可視性の助けを借りて、予防的で対応的な戦略の実装を開始して、被害を最小限に抑えることができる場所でそれを封じ込めることができます。
詳細については:
- 電子書籍「ランサムウェア攻撃を阻止する方法」をお読みください。
- リスクベースの可視性の実際の動作については、ウェビナー「 ランサムウェアの発生」をご覧ください。私たちはそれが広がるのを阻止します:リスクベースの可視性を得る方法。
