ブログ
/
ランサムウェアの封じ込め

ランサムウェアの拡散を阻止する 3 つのステップ

イルミオエディトリアル
December 20, 2021
23 最小読取り

以前の投稿、可視性の概念と、それが潜在的な道筋を見つけるのにどのように役立つかを探りました ランサムウェア その他のマルウェアが拡散する可能性があります。 [次へ]、脆弱性によるリスクを視覚化、定量化、軽減する方法を概説しました。

これらの要素が整ったので、これで停止する準備が整いました。 ランサムウェア 事前対策と事後対策の両方を駆使して、順調に実施しています。

ランサムウェアはなぜそれほど効果的なのか?

A 2020 年の分析 ランサムウェア攻撃によるダウンタイムにより、企業は210億ドルの損失を被ったことが示されています。この数字だけでも、ランサムウェアの戦術がいかに効果的かがわかります。ランサムウェアが犯罪者にとってこれほど儲かる理由は何でしょうか?人間の弱点は簡単に悪用できる脆弱性であり、セキュリティ上の脅威を認識すればさらに強化できます。ランサムウェア犯罪者が恩恵を受けるもう1つの脆弱性は、時代遅れのハードウェアとソフトウェアです。

ランサムウェアを非常に効果的にする重要な考慮事項の1つは、多くの企業が直面している技術的防御策の欠如です。幸いなことに、適切な戦略とテクノロジーを導入すれば、ランサムウェアの拡散を防ぐことができます。

その方法は次のとおりです。

ランサムウェアを阻止するためのベストプラクティス

ランサムウェアは、あらゆる主要業界の規模の大小を問わず企業に大混乱をもたらします。しかし、攻撃には弱点があります。通常は非常に予測可能なパターンで動きます。

まず、マルウェアは脆弱な経路を通じて組織のIT環境に侵入します。その後、チェックしないままにしておくと、多くの場合、数週間または数か月にわたって、ネットワーク、デバイス、およびサーバー全体にスパイダーウェビングが蔓延します。最後に、いったん配置されると、誰かがスイッチを切り替えて起動すると、ランサムウェアはどこからともなく現れたように見えます。

ファイアウォールは通常、保護するシステムの近くではなく、データセンターの最上部に設置されるため、ほとんどの環境を水平方向に移動するのが比較的簡単であるため、このようなプロセスが発生する可能性があります。

ランサムウェア、マルウェア、その他のサイバー攻撃の拡散を阻止するには、次の3つのステップが必要です。

1。ランサムウェアがシステムへの最初の侵入に利用する可能性のある危険なポートやベクトルを遮断します。

2。マルウェアが環境内に侵入した場合に、マルウェアが環境内を横方向に移動するのを防ぐためのバリアを設けてください。

3。インシデント対応用に有効にする二次ポリシーを設定することで、侵入後の対応を改善できます。

1。不要な接続を排除

すべては以下から始まります 隔離する 不要なコミュニケーションを排除することによる重要な資産

たとえば、ビデオ会議を考えてみましょう。通常、会議主催者のラップトップが RDP または SMB ポート経由で会議にログインしている別のデバイスと直接通信する正当な理由はありません。そのため、管理者は環境内の他の部分に影響を与えずに、両方のデバイスのポートを自由に閉じることができます。別の例として、ほとんどの場合、環境内の古くて非常に脆弱な FTP プロトコルと Telnet プロトコルをシャットダウンできます。

必要な通信のみを許可し、デバイスとネットワーク間の不要なパスを排除することで、ワークフローとマシンを以下のように制限できます。 ランサムウェアを含む

これは、上記の例のように、単一のアプリケーション、地理的な場所内、またはネットワーク全体で、個々のポート間のすべての通信をブロックすることで実現できます。

最良の結果を得るには、このような制御を事前にも事後的にも実装する必要があります。

  • 先を見越して行動するということは、攻撃が発生する前にデータセンターやその他のエリアの未使用のポートを閉鎖することです。これは、夜寝るときに玄関のドアに鍵をかけるのと同じです。
  • 事後対応型の行動とは、環境内のどこかにマルウェアが存在することがわかっている場合や、その疑いがある場合に有効化できるポリシーを設定してインシデントに対応することを意味します。

まずは、最も価値の高い用途や資産の周りに保護リングを取り付けることから始めましょう。そうすれば、マルウェアが環境内のデバイスやネットワークに侵入しても、その侵入は小さな領域にとどまり、残りは影響を受けずに済みます。

私たちが探求したように 以前の投稿、一部の港は他の港よりもリスクが高いため、閉鎖を最優先する必要があります。これらには、データセンター内の他のシステムとの通信に使用するサーバーはおそらくほんの一握りのサーバーしか使用しない、高度に接続されたポートが含まれます。

ほとんどの場合、非管理サーバーは、ピアツーピア通信を可能にするRDPポートやSMBポートなどの脆弱なポートを絶対に使用しないでください。幸いなことに、このようなポートで問題が生じます。 最も マルウェアの攻撃ベクトルのつまり、RDP、SMB、Win RMなどの侵入口を制限すれば、ニュースに出てくるマルウェアのほとんどを排除できるということです。

また、データベースやコアサービスで使用される既知のポートについても検討してください。このリストには、Linux ディストリビューションに一般的にバンドルされているアプリケーションとサービスが含まれています。これらの多くは核となる部分が非常に古く、長年にわたって脆弱性が蓄積されています。

幸いなことに、シンプルで、 リスクベースの統制 また、データセンター内のあらゆるマシンのインバウンド側で機能するポリシーは、マルウェアを阻止するためのこれらのよく知られた脆弱性を処理するのに役立ちます。

アウトバウンドポートに関しては、データセンター内のほとんどのサーバーでインターネットとの通信は行われていないか、特定の明確に定義された方法でのみ通信を行う場合があります。

権限のないデータが組織外に流出するのを防ぐために通信を強化することで、ランサムウェアの指揮統制機能が自宅に電話をかけ、致命的な暗号爆弾を仕掛けるのを防ぐことができます。

もちろん、クラウドシステムや過度に広範なユーザーアクセス権限でも同じことができます。アウトバウンドトラフィックを制限して、アプリケーション、デバイス、ユーザーがいつ、どのように広いインターネットと通信するかを制御するだけです。これにより、ランサムウェアの封じ込め戦略を迅速に実装できます。

感染した資産を隔離し、環境の他の部分を保護することがすべてです。また、環境の可視性が高いと、時間の経過に伴うパターンが明らかになり、さらに先へ進むことができます。

2。可視性を利用してランサムウェアからの保護を実現

私たちの 以前の投稿、イルミオがルーター、スイッチ、その他のオンプレミスインフラストラクチャ、クラウド、エンドユーザーシステムから接続データとフロー情報をどのように取り込むかを示します。

Illumioはその情報を使用して、ITプロフェッショナル向けのアプリケーション依存関係マップと、セキュリティ自動化用のAPIインターフェイスを作成します。

この情報により、管理者はどの資産を他の資産とやり取りすべきかについて、質が高く後悔の少ない決定を下すことができます。その後、マシン、クラウドネイティブのファイアウォール、ネットワークスイッチなどにわたって機能し、脅威からの保護に役立つ予防的なポリシーを策定できます。つまり、本質的には障壁を作り、重要な資産やシステムを封じ込めることができます。

要するに、2 人のユーザー間の侵害が、クラウドやデータセンター内の他のユーザーや資産に影響してはならず、可視性が高いと、攻撃の前にそのような潜在的な脆弱性が浮き彫りになります。

3。侵入後の対応を改善する

Illumioは侵入後の対応にも役立ちます。

たとえば、環境内で不審なアクティビティが発生しているのを発見したとします。その場合は、コアデータベースを保護するために障壁を設けたいと思うかもしれません。 PCI 決済システム、医療記録、取引情報、その他の機密資産

この場合に必要なのは、日常業務で実行したい制限よりも制限が厳しい場合がある封じ込め機能です。その目的は、マルウェアの拡散を発生源から阻止することです。

攻撃を受ける前に、IT管理者はインシデント対応ランブックの一部として有効にするセカンダリポリシーを作成したいと思うかもしれません。セキュリティ侵害につながる可能性のある接続を排除することで、システムを分離して保護するという考え方です。その代わり、封じ込めポリシーは、不要な RDP 通信を制限するなどして、マルウェアのさらなる拡散を阻止します。

Illumioは、管理者が予期しない方法で流れているトラフィックを発見し、望ましくない接続を遮断するポリシーを迅速に実装できるようにすることで、これをサポートしています。

ファイアウォールの枠を超えた移行

Illumioを使用すると、データセンター、クラウド、またはこれらの環境間(たとえば、Webワークロードとデータベースワークロード間)のいずれであっても、環境内で実行されているワークロードを確認できます。

このビジュアルマップを使用すると、安全でない交通への扉をすばやく閉めることができます。ランサムウェアがワークロード間を移動する一般的な方法の例として RDP を使用すると、そのトラフィックだけをブロックするルールを作成できます。また、さまざまなタイプのワークロードや物理的な場所のラベルなど、メタデータに基づいてバリアを定義することもできます。

これらの障壁は一種のリバースファイアウォールと考えることができます。これは、ファイアウォールでは通常、必要なトラフィックを定義するルールを作成し、それ以外はすべてデフォルトで許可されないためです。Illumio では、このワークフローを逆にして、最初に拒否トラフィックを定義できます。次に、例外を設けて個々のケースの通信を有効にします。

しかも、すべてが自動化されているので、緊急時のポリシーをすぐに作成して、数回クリックするだけで、あらゆる攻撃から環境を保護できます。

つまり、Illumioは、脆弱なワークロードやマシンを特定し、攻撃前に不要なポートをシャットダウンし、マルウェアの感染が広がる前に感染を隔離するために必要な可視性を提供します。この事前対応型と事後対応型の制御のワンツーパンチにより、攻撃がサイバー災害に発展するのを迅速に阻止できます。

イルミオがランサムウェアの拡散を阻止する方法の詳細をご覧ください。

関連トピック

アイテムが見つかりません。

関連記事

IllumioでRDPベースのランサムウェア攻撃を阻止する方法
ランサムウェアの封じ込め

IllumioでRDPベースのランサムウェア攻撃を阻止する方法

もっと読む
Kubernetes はランサムウェアの影響を受けないわけではなく、イルミオがどのように支援できるか
ランサムウェアの封じ込め

Kubernetes はランサムウェアの影響を受けないわけではなく、イルミオがどのように支援できるか

ランサムウェアがKubernetesにおける非常に現実的なサイバーセキュリティリスクであり、DevSecOpsアーキテクトが無視するわけにはいかない理由をご覧ください。

もっと読む
ランサムウェアの阻止:Illumio で脅威を確認
ランサムウェアの封じ込め

ランサムウェアの阻止:Illumio で脅威を確認

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく