ロシア・ウクライナ危機:セグメンテーションでリスクを軽減する方法

ウクライナでの紛争により、世界中の組織が脅威モデリングの見直しとサイバーリスクの再評価を迫られています。バイデン大統領の 3 月 21 日の警告 米国の重要インフラに対する「ロシア政府は潜在的なサイバー攻撃の選択肢を模索している」ということで、全国の役員室で活発な活動が行われています。しかし、それ以外に、ウクライナ、ロシア、ベラルーシで事業を展開している組織についてはどうでしょうか。

このような立場にあるIllumioの顧客は、この地域からの脅威が米国やその他の地域に拠点を置くITシステムに広がるのを防ぐために何ができるかをすでに問い合わせています。一般的には、次の 2 つのグループから意見が寄せられています。

1. ウクライナ、ロシア、ベラルーシに拠点を置く多国籍組織は、悪意のある攻撃者がこれらの地域のIT財産を侵害するのではないかと心配しています。そのため、2017 年にウクライナから蔓延した悪名高い破壊的コンピューターウイルス NotPetya に似た方法で、攻撃者が横方向に移動して自宅に近い近くのネットワークに侵入する機会を与える可能性があります。
   
2. この地域に拠点を持たない人々でさえ、西側の制裁がロシアに与える可能性のある影響を懸念している。プーチン大統領は、これは紛争行為に似ているとすでに主張している。CISAのように 「シールドアップ」イニシアチブ 米国と同盟国のすべての組織は報復攻撃に備えるべきだと主張し、バイデン大統領の警告も主張している。これは特に、金融サービス、医療、公益事業、エネルギーなどの重要インフラ分野の企業に当てはまります。

幸いなことに、Illumioのきめ細かなネットワーク可視性と セグメンテーション機能 サイバー攻撃から組織を守るための強力なツール群を作りましょう。

Illumioのセグメンテーションがどのように役立つか

イルミオはどちらのシナリオでもお客様を支援できます。ウクライナ、ロシア、ベラルーシなどのリスクの高い国に資産やネットワークを持っている場合、デジタル資産を保護する方法は3つあります。

1. Illumioは、リスクベースの豊富な可視性とアプリケーション依存関係マッピングを提供して、危険な接続を個々のワークロードレベルまで浮き彫りにします。東ヨーロッパからのトラフィックを遮断することを決定する前から、顧客はウクライナ、ロシア、ベラルーシの資産と組織内の他の資産とのやりとりを明確に把握できます。
   
   たとえば、これまでに見たことのない新しいトラフィックフローや、これらの資産から送信されるデータ量の大幅な増加に気付く場合があります。その後、この情報を脅威の検出と対応のプレイブックに組み込み、緩和策を適用することができます。
   
2. イルミオがこれらの国以外の土地に展開されていて、その組織がウクライナ、ロシア、ベラルーシで運用しているIPアドレスを知っている場合、サイバーリスクの軽減はかなり簡単です。これらのネットワークに出入りするトラフィックをブロックするポリシーを Illumio に数分で実装できます。また、これらのシステムにフォレンジックアクセスできるように、例外を記述するのも簡単です。
   
   これはイルミオによって可能になりました 執行境界線これにより、組織はあらゆるポート、ワークロード、ワークロードグループ、またはIP範囲の周囲に保護境界を迅速かつ簡単に作成できます。数分で作成でき、大規模に適用して効果的に構築できます。」許可リスト」手間を最小限に抑えたルール。
   
3. イルミオがウクライナ、ロシア、ベラルーシに拠点を置く資産を含むすべての資産に導入されれば、顧客はラベルを使用して同じブロック機能を実現できます。「アセットがこれらの国にある場合は、そのトラフィックをブロックしてください」というポリシーを書くだけです。これも簡単で素早いアクションで、設定には数分かかります。

マイクロセグメンテーションによる保護

ウクライナでの紛争に直接さらされていないが、「波及」の可能性を懸念している組織にとって、今こそセキュリティポリシーの更新について考える良い機会です。

リスクにさらされていることを理解するには、境界レベルでの可視化だけでなく、デジタルハイブリッドインフラストラクチャの内部で何が起こっているかを把握することが重要です。結局のところ、断固とした攻撃者が、フィッシングや侵害された認証情報、その他の手法を使ってネットワーク境界を侵害することは、かつてないほど簡単になっています。

適切な制限を実施することで、セキュリティチームは疑わしいトラフィックフローを制限してラテラルムーブメントをブロックし、攻撃者による指揮統制コールを遮断することができます。これは、RDP、SMB、SSH など、ランサムウェアが一般的に使用するサービスのポートをブロックするのと同じくらいきめ細かくなる可能性があります。あるいは、価値の高いアプリケーションや資産を保護するために、よりきめ細かく設定することもできます。

DNS、認証システム、Active Directory などの重要な IT インフラストラクチャを分離するポリシーを作成することもできます。

ウクライナ、ロシア、ベラルーシに資産を持たない組織は、トラフィックをブロックするために使用できる特定のIPアドレスを持っていません。脅威フィード情報を活用すれば、セグメンテーションポリシーでより的を絞ったブロックを行い、複数の防御層を構築することで、すべての悪意のある IP を境界で全面的にブロックできるようになります。

ロシアが破壊的な攻撃を仕掛ける可能性があるだけでなく、コンプライアンスの観点からもリスク管理戦略を更新する必要性が緊急性を増しています。たとえば、米国連邦政府は最近、次のことを行いました。 それは法的要件です 重要インフラ事業者に対し、72時間以内にサイバー攻撃を開示するよう求めています。

Illumioのセグメンテーション機能がどのように役立つかについてもっと知りたいですか？ 組織を守るための、より強固な多層防御の構築 今日の増大するサイバー脅威から? お問い合わせ 今日。