.png)
ランサムウェアを阻止するための脆弱性の評価
で 以前の投稿、ランサムウェアやその他のマルウェアを封じ込めるための第一歩として、リスクベースの可視化を検討しました。
この記事では、これらの脆弱性を接続パターンと照らし合わせる方法、つまり、アプリケーションとプロセスが相互に、またネットワークを介してどのように通信するかについて説明します。
これは、ランサムウェアの拡散を積極的に阻止および防止する前に必要な最後のステップです。
コミュニケーションに関する豊富なデータによる可視性の向上
一般的な本番環境では、サブネット、VLAN、ゾーン内のアプリケーションやマシンなど、ほとんどすべてが他のすべてと通信できます。これにより、ビジネスシステムはデータを共有したり、外部と通信したりしながら作業を行うことができます。しかし、これは問題も生み出します。このような環境のどこかにマルウェアが感染すると、あっという間に拡散する可能性があります。
本番環境へのマルウェアの拡散を阻止するには、あるアプリケーションまたはマシンから別のアプリケーションまたはマシンへの移動に悪用されるポートをブロックする必要があります。ただし、システムが必要な処理を実行し続けるためには、どのポートを開いたままにしておくべきかも知っておく必要があります。
そのため、ランサムウェアやその他のマルウェアの拡散を阻止するには、資産間の通信をリアルタイムで可視化する必要があります。結局のところ、ポートを識別できなければ、不必要に開いているポートを閉じることはできません。
さらに、どのポートが最大の潜在的リスクを抱えているかを判断する必要があります。そうして初めて、このインテリジェンスを手元に置いて、ビジネスを停止させないプロアクティブでリアクティブなコントロールを実装できます。そうすれば、業務に悪影響を及ぼすことなく、侵害にさらされるリスクをネットワークの侵入地点だけに限定できます。
そのような リスクベースの可視性 また、インシデントが発生する前にパッチの優先順位を決めることもできます。
大規模ネットワークを担当するIT部門は、すべてのシステムに常にパッチを適用し続けることはできないため、優先順位付けが不可欠です。一部のパッチは、必ず他のパッチよりも先に対処されます。明らかに、最も潜在的なリスクを伴うシステムの修正を優先したいと思うでしょう。問題は、どのシステムなのかということです。
その質問への回答は、主にネットワーク接続に依存します。
完全に隔離された状態で稼働しているサーバー上の脆弱性は、他の何千ものユーザーがアクセスできるデータセンターの真ん中にあるマシンの脆弱性よりもはるかに脅威が少ないと考えてください。また、開いているポートの中には、ネットワーク資産にとって他のポートよりも大きな危険をもたらすものもあることも考慮してください。
必要なのは、特定のシステムにおける特定の港湾がもたらすリスクと、それらのシステムが相互に、またより広いインターネットにどのように接続されているかを定量化する方法です。
最もリスクの高い港の特定
実際のところ、一部の港は他の港よりもリスクが高いです。リスクの高いポートには、Microsoft Active Directory やその他のコアサービスで使用される高度に接続されたポートが含まれます。IT インフラストラクチャに関するシステムポーリングやレポート作成には、さらにリスクが伴います。
ピアツーピアポートは、リモートデスクトップ管理やファイル共有アプリケーションなどのサービスで使用されるポートを含め、重大なリスクを伴います。多くのソーシャルメディアアプリケーションもこの方法で機能します。これらは、セキュリティ担当者が夜も眠れないような、多対多のトラフィックパターン向けに特別に設計されています。これらのポートはいたるところに存在し、通常はオープンで、勝手に「話す」ため、マルウェアがこれらのポートを標的にすることが多いため、セキュリティ専門家が心配しています。
最後に、FTPやTelnetなどの古い通信プロトコルは、組織のポリシーに従って誰も使用していなくても、デフォルトでは有効なままになる傾向があり、よく知られた脆弱性です。そのため、特に魅力的な標的となっています。
しかし、一部の港が他の港よりもリスクが高いことを知っていることは一つのことです。広大な企業ネットワーク全体にわたってポートを見つけて定量化するのは別のことです。また、これらすべての資産がどのようにつながっているかを知る必要もあります。
そこで、Illumioが提供するビジュアライゼーションの出番です。
接続リスクの定量化
イルミオは、Rapid7やQualysなどの脆弱性スキャナーからのデータをイルミオの上に重ね合わせます アプリケーションのマップ そしてそれらがどのように結びついているか — 形成 脆弱性マップ。
NetFlowやjFlowを実行しているルーター、スイッチ、クラウドシステム、オペレーティングシステム接続テーブルなどのソースから接続データを取り込むことで機能します。次に、この情報を脆弱性スキャナーのデータと組み合わせます。
次に、Active Directory、構成管理データベース、セキュリティ情報管理システム、IP アドレス管理システムなどのソースからユーザーとマシンの ID 情報を取り込みます。
作成されたマップでは、すべてのシステムについて、リスクを調整したビューをリアルタイムで確認できます。オペレーティングシステム、ユーザーノートパソコン、クラウドアプリケーションとそのコンテナ、メインフレーム、ロードバランサー、ネットワークデバイス、ファイアウォールなどが含まれます。その結果、エンドツーエンドの可視性が得られ、リスクを明確に理解できるようになります。
たとえば、データベースサーバーは、接続する必要があるマシンが 10 台だけなのに、サブネット上の 300 台のマシンへのオープン接続を維持しているのでしょうか。イルミオのマップでは懸念事項として強調表示されるため、対策を講じることができます。
Illumioは、資産がネットワークやデータセンター内でデータを交換する方法に加えて、資産が外部と通信する量と頻度を知ることができます。この知識は、どのマシンにどのような制御を適用し、どのパッチに優先順位を付けるかを決定するのに役立ちます。
脆弱性露出スコアが業務効率を向上させる仕組み
リスクの評価をさらに簡単にするために、Illumioは脆弱性、接続、およびセグメンテーションポリシーの情報を組み合わせて、すべてを次のようにまとめています。 脆弱性露出スコア。この単一の数値により、実行中のアプリケーションのコンテキストにおける相対的なリスクの影響をすばやく理解できます。
イルミオのお客様の多くは、すべてのパッチを常に最新の状態に保つことができないことを補う方法として、この指標だけでシステムをセグメント化するために必要なものが得られると感じています。セグメンテーションとは、最も脆弱なポートを可能な限り小さな半径に減らすことです。つまり、通信できる他の資産はできるだけ少なくします。
Illumioの脆弱性スコアにより、問題のある領域にすばやく焦点を合わせて、まず運用を中断することなく可能な限りセグメンテーションによってそれらを分離し、次に現実的に維持できるスケジュールに従ってパッチを適用できます。つまり、脆弱性スコアとセグメンテーションにより、脆弱性修復の効果的な優先順位付けが可能になります。
イルミオでは、環境全体をリスクベースで包括的に把握できます。アクティブなフローを確認したり、マルウェアが使用しているオープンポートに基づいてリスク分析を重ねたり、そのリスクを定量化したりできます。環境に変更を加えたら、繰り返し確認してリスクスコアが時間の経過とともにどのように変化するかを確認できるため、IT チームとセキュリティチームは、リスクに関する報告や脆弱性の優先順位付けを行うための強力なツールを手に入れることができます。
危険なポートをブロックするポリシーの作成
Illumioは、パッチを適用する前や、影響を受けるシステムにアクセスできない場合に、ワークロード間のポートをブロックすることで、リスクを積極的に軽減することもできます。ワークロードにパッチを適用できるようになるまで、データフローにパッチを適用するようなものと考えてください。
さらに、Illumioは、という組み込みワークフローの一部として、ポートをブロックするためのポリシーを提案できます。 ポリシージェネレーター。
推奨ポリシーを保存して、Illumio にアプリケーション全体にプロビジョニングさせることができます。このツールを使えば、パッチの展開に何日も、何週間もかけて面倒な作業をしなくても、わずか数秒で数回クリックするだけで環境を保護できます。
脆弱性を評価するための強力なツール
全体として、Illumioは、ITおよびセキュリティの専門家がすべてのアプリケーション通信をリスクベースで詳細に可視化し、ランサムウェアの拡散を阻止するためにリスク調整ベースで通信をブロックできるようにします。
イルミオは、予防的統制の導入に加えて、ランサムウェアを未然に防ぐためのアクティブなセグメンテーションポリシーにより、インシデント対応能力を強化できます。
さらに詳しく知るには:
- 電子書籍を読んで、 ランサムウェア攻撃を阻止する方法。
- ウェビナーで実際に使われている脆弱性マップをご覧ください。 ランサムウェアが発生する。拡散を阻止します:脆弱性を評価しましょう。
