finserv組織がランサムウェアにどのように取り組むべきか

ランサムウェアは、世界中の金融サービス（finserv）組織を苦しめ続けています。によると、2021 年には、フィンサーブ組織の 55% 以上がランサムウェア攻撃に見舞われました。 ソフォスの「金融サービス業界におけるランサムウェアの現状 2022」レポート — 2020年の 34% から大幅に増加しています。これらの攻撃は、リソースを浪費し、社会保障番号などの非常に機密性の高い顧客データを漏洩させることで、事業を停止させる恐れがあります。

攻撃者は、ランサムウェアの実行と規模拡大が非常に簡単であることを知っています。また、暗号通貨などの新しいデジタル決済方法により、身元を簡単に隠したり、紙の痕跡を埋めることができるため、finservのセキュリティ部門は警戒を強めています。ボストン・コンサルティング・グループによると、 フィンサーブ組織は300倍も可能性が高い サイバー攻撃の標的になる。

これらの攻撃の急増には、次のような複数の要因が考えられます。

• Finserv組織はより大きなリスクにさらされています。
  Finservの組織は、地球上で最も機密性の高いデータを保有しており、必要に応じて身代金を支払うための予算も最大規模です。脅威アクターはよく知っています。IBMのX-Force脅威インテリジェンス・インデックス2022によると、Finservは2021年に2番目に攻撃された業界でした。
• ランサムウェアはかつてないほど標的にされています。
  脅威アクターは、もはや非効率的な「スプレーして祈る」アプローチに頼る必要はありません。その代わり、特定のターゲットに対する攻撃計画を作成することで、より実践的なアプローチを取るようになりました。ソーシャルエンジニアリングにより、特定のターゲットに関する大量のデータを収集し、パーソナライズされたコンテンツを作成して、ユーザーまたはユーザーグループに悪意のあるリンクをクリックさせたり、悪意のある添付ファイルをダウンロードさせたりすることができます。
• ランサムウェアは目に見えないところに隠れることがあります。
  今日のランサムウェア攻撃は高度で回避性が高く、Java通信やVPNなどの一見無害な技術を利用してネットワーク全体に広がっています。脅威アクターは、ウェブブラウザを標的にして、「新種の脅威」という新しいカテゴリの脅威を標的にしています。 高回避型適応型脅威 (HEAT)従来のセキュリティ防御を迂回します。これらの HEAT 攻撃は次の目的で使用できます。 ランサムウェアペイロード そして、主に従業員の分散化、アプリの近代化、SaaS（Software as a Service）プラットフォームの普及によって生み出された今日の拡大している攻撃対象領域を活用し、目に見えないところに隠れることで、従来のセキュリティソリューションを回避することに長けています。
• ランサムウェアは非常に儲かります。
  脅威アクターはもはや少額の支払いでは満足していません。ソフォスによると、ランサムウェアの問題がますます巧妙化し、頻度が増し続けたため、2021 年には finserv 組織に対する身代金の支払い額が 128 ,000 ドルから 273,000 ドルへと倍増しました。残念なことに、Finserv 組織が多額の身代金を喜んで支払うようになったことで、自己永続的な悪循環が生じています。支払う金額が多ければ多いほど、攻撃の収益性が高まり、一見簡単に見えて報酬を得られる犯罪者が増えます。
• ランサムウェアのリスクは決してなくなりません。
  一度感染すると、再び悪用されるリスクがなくなることはありません。脅威アクターは、データやシステムからユーザーを遠ざけるだけでは満足しません。また、機密データを一般市民や競合他社に公開すると脅迫して、追加の支払いを要求します。これらは二重恐喝攻撃と呼ばれ、同じ事件で何度も攻撃を受ける恐れがあるため、たとえ身代金要求に屈したとしても、本当に安全とは言えません。

ランサムウェアを防ぐ方法

ランサムウェアを防止するには、フィンサーブ組織が従来の検出と対応のアプローチから次のアプローチに移行する必要があります。 ゼロトラスト 考え方。この先を見越した予防的アプローチは、モバイル端末や分散型エンドポイントや、管理されていないことが多いエンドポイントを保護し、ネットワークへの攻撃の横方向への拡散を阻止し、セキュリティオペレーションセンター (SOC) チームへの負担を軽減します。

さらに、フィンサーブ組織は、インターネットとユーザーのデバイス間のクラウド内の抽象レイヤーとして機能する分離技術によってセキュリティを強化できます。すべてのコンテンツは、を経由してルーティングされます。 セキュア Web ゲートウェイ (SWG)、クラウド内のエラスティックサンドボックスで実行されます。これにより、悪意のあるコードか否かを問わず、すべてのコードがエンドポイントで実行されるのを防ぎ、悪意のある攻撃者がネットワークにアクセスすることを事実上遮断できます。現在、私たちの多くが1日の約4分の3をWebブラウザを使用して過ごしていることを考えると、隔離することで、悪意のあるペイロードの配信からユーザーをHEAT攻撃から守ることもできます。すべての Web 通信を瞬時に認証できるため、場所を問わずデバイス、アプリケーション、およびユーザーを保護するゼロトラストアプローチによるセキュリティが可能になります。

隔離技術を搭載したゼロトラストがランサムウェア攻撃を阻止するのに役立つ3つの方法を次に示します。

1。隔離は脆弱性を自動的に閉じます。

ランサムウェアは、開いている RDP ポートやセキュリティで保護されていない VPN など、既存のネットワーク構成の脆弱性を利用することを好みます。残念なことに、攻撃対象領域が拡大しているため、セキュリティチームがこれらの侵入口を完全に遮断することは事実上不可能です。それらは数が多すぎ、分散しすぎ、忘れられがちです。しかし、分離技術では、疑わしいかどうかにかかわらず、すべてのトラフィックがクラウドの分離層を経由するため、これらのポートが閉じていても閉じていなくても問題ありません。トラフィックはエンドポイントで実行されないため、ランサムウェアがネットワークに侵入することはできません。

2。隔離は異常動作の検出に役立ちます。

クラウド内の抽象化されたレイヤーを介してすべてのトラフィックをルーティングすることで、finserv組織は、表面上は無害に見えるかもしれない異常な動作を特定して阻止するために必要な可視性を得ることができます。たとえば、適切な認証情報を持つユーザーは、サーバー上の財務情報にアクセスできるはずです。しかし、ユーザーがアルバニアからログインしている場合はどうなるでしょうか。あるいは、給与データベース全体を未知の Google ドライブにダウンロードしようとした場合はどうなるでしょうか。エンティティ、その場所、実行中のコマンドを可視化することで、サイバーセキュリティへのゼロトラストアプローチが可能になります。

3。隔離により復旧計画を実行できます。

ほとんどのランサムウェアは、人間の誤りやすさに依存しています。誰かがリンクをクリックしなければなりません。誰かが壊れた Web サイトにアクセスしなければなりません。誰かが偽の Web フォームに認証情報を入力しなければなりません。間違いが起きた場合、組織は状況を評価して次善の策を決定するための復旧計画を立てることが極めて重要です。「失われたデータを回復できるか」などの質問への回答、「これは運用にどのような影響を与えますか？」、「私たちは他の場所で脆弱ですか？」そして、最も重要なのは、「身代金を支払うべきか？」ネットワークのコンテキストと可視性が必要です。これを可能にするのが分離技術です。

今すぐ行動を起こしましょう

ランサムウェアは、フィンサーブ組織の最大の懸念事項であり、特に攻撃者の間でHEAT攻撃が人気を集め続けているため、今後もランサムウェアはセキュリティチームを悩ませ続けるでしょう。隔離技術を活用したセキュリティに対してゼロトラストアプローチを採用することが、しばしば成功する破壊的な攻撃に対する最善の防御策となります。