ゼロトラストセグメンテーションは、検出と対応のみの場合よりも4倍速くランサムウェアを阻止する方法
それは十分に文書化されています ゼロトラスト は考え方であり、基本原則は違反を想定することです。これは恐ろしいことのように聞こえるかもしれませんが、実際には、まだ侵害されていない組織であれば、侵害されている可能性が高いと考えるべきだということです。 だろう 起こる。セキュリティ体制は、受動的で待機的なものから、先を見越したハンティング態勢に変えなければなりません。なぜこれがこれまで以上に重要なのでしょうか。
ザの パンデミックはビジネストランスフォーメーションを加速させました、自動化と統合サプライチェーンの導入を推進し、ネットワークとシステムの従来の構造を打ち破り、新たなレベルのハイパーコネクティビティを生み出しています。今や病院に行くのは エンドツーエンドのデジタルエクスペリエンス。人間とやり取りしなくても、小売店や銀行の支店に出入りできます。
この変化は大きな変化をもたらしました 新しい攻撃ベクトルセット そしてサイバー犯罪者にとってのチャンス。より積極的なアプローチを促す「侵害を想定する」という考え方を採用することが、今や唯一の道です。
幸いなことに、このアプローチで組織を導くフレームワークは多数あります。そして、フレームワークのゴールドスタンダードは 米国国立標準技術研究所 (NIST) サイバーセキュリティフレームワーク (CSF)。
しかし、NIST CSFにプラクティスを導入することが、避けられない侵害の影響を抑えるのにどのように役立つのでしょうか。
Illumioは、攻撃的なセキュリティと侵入テストのリーダーであるBishop Foxに、一連のエミュレートされたランサムウェア攻撃を実行してその方法を定量的に測定するよう依頼しました。この投稿では、攻撃シナリオと主な結果をまとめます。レポートの全文が公開されています。ここに。
より安全なモデルの構築:識別、保護、検知、対応
NIST CSFフレームワークの最初の2つのステップは十分に確立されており、明白です。
識別
- 攻撃を受ける可能性が最も高い資産と、侵害された場合に最も大きな影響を受ける資産を特定します。
- データフローのマッピング ITとOTのすべてのデバイス間。
- 各デバイスの脆弱性を特定し、マッピングされた接続に基づいてそのデバイスのリスクを定量化します。
保護
- 未使用でリスクの高いポートとプロトコルをすべてブロックします。
- アセットとアプリケーションのリングフェンシングを実装し、最小限の権限に基づいてアクセスを許可します。
ステップ 3 (検出) そして ステップ 4 (応答) 物事が断片化しているところです。
機械学習、脅威フィード、行動異常検出の出現により、私たちはシグネチャの時代から大きな進歩を遂げました。いつ エンドポイント検出と対応 (EDR) 最初に爆発的に登場し、エンドポイントへのあらゆる攻撃への答えと見なされました。サイバー関連のあらゆるものと同様に、犯罪者は時間とリソースを費やしてこれらの新製品を回避しようと努めてきました。現在、最初にステップ 1 と 2 を実行せずに検知と対応に頼っている組織が多すぎます。
これまで、このアプローチの潜在的な弱点についての理解は、外典と口コミでした。
ゼロトラストセグメンテーションと EDR がランサムウェアに与える影響のテスト
攻撃エミュレーションの一環として、レッドチームは、検出と対応だけでなく、4つのステップすべてを実装することを比較し、確立された一連の方法を採用しました 戦術、技法、手順 (TTP) から マイターATT&CKとプレAT&CKフレームワーク 宿主への感染を試みるブルーチームは、検出および対応テクノロジーとイルミオのゼロトラストセグメンテーションを組み合わせて、アクティブなランサムウェア攻撃を封じ込める際の相対的な効果を測定しました。
攻撃シナリオの説明
テストシナリオには以下が含まれます。
- 検出のみ
- インシデント対応のための検出とゼロトラストセグメンテーション
- 検出とゼロトラストセグメンテーションにより、ランサムウェアが使用する既知のポートをプロアクティブにブロック
- 完全なアプリケーションリングフェンシングを積極的に実装する検出とゼロトラストセグメンテーション
各テストでは、攻撃を阻止できるかどうか、かかる時間、感染したホストの数、実行されたTTPの数を測定しました。シナリオは、Bishop Foxの2人のコンサルタントによって実行されました。1人はレッドチーム(攻撃側)、もう1人はブルーチーム(防御側)でした。
攻撃シナリオ結果
シナリオ 1 — 検出のみ: このシナリオには何もありませんでした ゼロトラストセグメンテーション レッドチームはその能力をフルに発揮し、大きな成功を収めました。彼らはすべてのTTPを実行でき、2時間28分後にすべてのホストに感染しました。
シナリオ 2 — インシデント対応のための検出とゼロトラストセグメンテーション: このモデルではIllumioが導入されていましたが、当初は可視モードで、SIEMシステムにアラートを送り、EDR、Active Directory、Sysmonなどからイベントデータを収集していました。異常なアクティビティが検出されると、ブルーチームは封じ込めポリシーを導入しました。攻撃は 38 分で停止しました。
シナリオ 3 — 検出とゼロトラストセグメンテーションにより、ランサムウェアが使用する既知のポートをプロアクティブにブロックします。このシナリオでは、ランサムウェアが使用する一般的なポートは、横方向の移動を減らすためにIllumioによってブロックされました。攻撃は 24 分後に停止され、侵害されたホストは 2 台のみでした。
シナリオ 4 — 完全なアプリケーションリングフェンシングを積極的に実装する検出とゼロトラストセグメンテーション: 完全なアプリケーションリングフェンシングが導入されたため、ランサムウェアは拡散せず、攻撃は10分以内に阻止されました。この結果は、事後対応型導入の4倍の速さでした。
その他のテストでは、Illumio Coreが、事前設定されたEDRアラートでは攻撃者の行動が適切に検出されない場所にあるEDRの盲点をカバーするのに「特に有用」であることが示されました。これは、ランサムウェアを封じ込めるための最新の回復力のあるセキュリティ戦略を構築する上で、検出および対応テクノロジーとゼロトラストセグメンテーションの両方の重要性を浮き彫りにしました。
これらの結果を組み合わせると、 EDRはゼロトラストセグメンテーションと組み合わせる必要があります ランサムウェアやその他のサイバー攻撃に対して最も効果的であること。
「侵害を想定する」というゼロトラストの考え方を採用することで、最小権限アクセスのみを許可」、EDRでゼロトラストセグメンテーションを導入した組織は、ランサムウェアに対する保護を大幅に強化できます。これは、サイバー攻撃を受けたときと、重大なビジネス障害が発生したときとで業務を遂行できるかどうかの分かれ目となる可能性があります。
詳細についてはレポート全文をダウンロードしてご覧ください。 ランサムウェアシナリオエミュレーション 2022: 評価レポート。