ランサムウェア攻撃の防止:組織がすべきこと

ランサムウェアは、世界中のサイバーセキュリティ専門家を苦しめ続けています。によると、2021 年には 70% 以上の組織がランサムウェア攻撃に見舞われました。 2022年サイバーエッジサイバー脅威防御レポート —2018年の55パーセントからという驚異的な増加です。世界的パンデミック、ますます不安定化する地政学的緊張、およびサプライチェーンの危機からインフレ率の上昇に至るその他の混乱に世界が対処し続けている現在、これらの攻撃は企業を停止させ、公共インフラを混乱させ、組織に数十億ドルの身代金の支払いをもたらしています。

攻撃者は、ランサムウェアの実行と規模拡大が非常に簡単であることを知っています。また、暗号通貨などの新しいデジタル決済方法により、身元を簡単に隠したり、紙の痕跡を埋めることができるため、セキュリティ部門は警戒を強めています。では 最近の研究、サイバーセキュリティ専門家の22％が、ランサムウェアへの備えが最も重要なビジネス優先事項であると回答し、半数近く（46％）がランサムウェアへの備えがビジネス上の最優先事項のトップ5に入っていると回答しました。

これらの攻撃の急増には、次のような複数の要因が考えられます。

• ランサムウェアはかつてないほど標的にされています。
  脅威アクターは、もはや非効率的な「スプレーして祈る」アプローチに頼る必要はありません。その代わり、特定のターゲットに対する攻撃計画を作成することで、より実践的なアプローチを取るようになりました。ソーシャルエンジニアリングにより、特定のターゲットに関する大量のデータを収集し、パーソナライズされたコンテンツを作成して、ユーザーまたはユーザーグループに悪意のあるリンクをクリックさせたり、悪意のある添付ファイルをダウンロードさせたりすることができます。

• ランサムウェアは目に見えないところに隠れることがあります。
  今日のランサムウェア攻撃は高度で回避性が高く、Java通信やVPNなどの一見無害な技術を利用してネットワーク全体に広がっています。脅威アクターは、ウェブブラウザを標的にして、「新種の脅威」という新しいカテゴリの脅威を標的にしています。 高回避型適応型脅威 (HEAT)従来のセキュリティ防御を迂回します。これらの HEAT 攻撃は、ランサムウェアのペイロードを配信するために利用される可能性があり、主に従業員の分散化、アプリの近代化、SaaS（Software as a Service）プラットフォームの普及によって生み出された今日の攻撃対象領域の拡大を悪用できます。また、見えないところに隠れることで、従来のセキュリティソリューションを迂回する点にも優れています。

• ランサムウェアは非常に儲かります。
  脅威アクターは、もはやこの小さな魚には満足していません。巨額の報酬につながる主な標的は、大企業、医療ネットワーク、公益事業会社、さらには国家です。によると、標的が個人から資金の豊富な大規模組織に移ったため、過去2年間で、ランサムウェアの平均支払い額は12,000ドルから322,000ドルに急増しました。 2022年サイバーエッジサイバー脅威防御レポート。残念なことに、多額の身代金を支払う組織の意欲は、自己永続的な悪循環を生み出しています。組織が支払う金額が多ければ多いほど、攻撃の収益性が高まり、一見簡単に見えて報酬を得る犯罪者が増えます。

• ランサムウェアのリスクは決してなくなりません。
  一度感染すると、再び悪用されるリスクがなくなることはありません。脅威アクターは、データやシステムからユーザーを遠ざけるだけでは満足しません。また、機密データを一般市民や競合他社に公開すると脅迫して、追加の支払いを要求します。これらは二重恐喝攻撃と呼ばれ、同じ事件で何度も攻撃を受ける恐れがあるため、たとえ身代金要求に屈したとしても、本当に安全とは言えません。

ランサムウェアを防ぐ方法

ランサムウェアを防止するには、組織が従来の検出と対応のアプローチから次のアプローチに移行する必要があります ゼロトラスト 考え方。この先を見越した予防的アプローチは、モバイル端末や分散型エンドポイントや、管理されていないことが多いエンドポイントを保護し、ネットワークへの攻撃の横方向への拡散を阻止し、セキュリティオペレーションセンター (SOC) チームへの負担を軽減します。

さらに、組織は、インターネットとユーザーのデバイス間のクラウド内の抽象レイヤーとして機能する分離テクノロジーによってセキュリティを強化できます。すべてのコンテンツはを経由してルーティングされます。 セキュア Web ゲートウェイ (SWG)、クラウド内のエラスティックサンドボックスで実行されます。これにより、悪意のあるコードか否かを問わず、すべてのコードがエンドポイントで実行されるのを防ぎ、悪意のある攻撃者がネットワークにアクセスすることを事実上遮断できます。現在、私たちの多くが1日の約4分の3をWebブラウザを使用して過ごしていることを考えると、隔離することで、悪意のあるペイロードの配信からユーザーをHEAT攻撃から守ることもできます。すべての Web 通信を瞬時に認証できるため、場所を問わずデバイス、アプリケーション、およびユーザーを保護するゼロトラストアプローチによるセキュリティが可能になります。

隔離技術を搭載したゼロトラストがランサムウェア攻撃を阻止するのに役立つ3つの方法を次に示します。

1。隔離は脆弱性を自動的に閉じます。

ランサムウェアは、開いている RDP ポートやセキュリティで保護されていない VPN など、既存のネットワーク構成の脆弱性を利用することを好みます。残念なことに、攻撃対象領域が拡大しているため、セキュリティチームがこれらの侵入口を完全に遮断することは事実上不可能です。それらは数が多すぎ、分散しすぎ、忘れられがちです。しかし、分離技術では、疑わしいかどうかにかかわらず、すべてのトラフィックがクラウドの分離層を経由するため、これらのポートが閉じていても閉じていなくても問題ありません。トラフィックはエンドポイントで実行されないため、ランサムウェアがネットワークに侵入することはできません。

2。隔離は異常動作の検出に役立ちます。

クラウド内の抽象化されたレイヤーを介してすべてのトラフィックをルーティングすることで、組織は表面上は無害に見える異常な動作を特定して阻止するために必要な可視性を得ることができます。たとえば、適切な認証情報を持つユーザーは、サーバー上の財務情報にアクセスできるはずです。しかし、ユーザーがアルバニアからログインしている場合はどうなるでしょうか。あるいは、給与データベース全体を未知の Google ドライブにダウンロードしようとした場合はどうなるでしょうか。エンティティ、その場所、実行中のコマンドを可視化することで、サイバーセキュリティへのゼロトラストアプローチが可能になります。

3。隔離により復旧計画を実行できます。

ほとんどのランサムウェアは、人間の誤りやすさに依存しています。誰かがリンクをクリックしなければなりません。誰かが壊れた Web サイトにアクセスしなければなりません。誰かが偽の Web フォームに認証情報を入力しなければなりません。間違いが起きた場合、組織は状況を評価して次善の策を決定するための復旧計画を立てることが極めて重要です。次のような質問への回答」失われたデータを回復できますか？」、」これは業務にどのような影響を与えますか？」、」私たちは他の場所で脆弱ですか？」、そして、最も重要なのは、」身代金を支払うべきか?」には、ネットワークのコンテキストと可視性が必要です。これを可能にするのが分離技術です。

今すぐ行動を起こしましょう

ランサムウェアは今日の企業にとって最大の懸念事項であり、今後もセキュリティチームを悩ませ続けるでしょう。ゼロトラストは隔離によって強化され、それを通じて実現されます。 SASE フレームワーク は、こうした頻繁に成功する破壊的な攻撃に対する最善の防御策となります。