CISO Collective

ランサムウェアを阻止する最新のエンドポイント保護 / 検知 / レスポンス

投稿者 David Finger | 2021年6月17日

ランサムウェアの侵入経路は手法によって異なりますが、最終的にはデータが存在するエンドポイントデバイスが侵害されます。また、その被害は身代金の支払いによる経済的損失にとどまりません。身代金を支払ったところで、データの損失、運用のダウンタイム、ブランドイメージや評判の低下を免れることはできません。サプライチェーンや重要なインフラストラクチャを標的とした大規模なランサムウェア攻撃がニュースで報道されますが、実際には報道しきれないほど多くの攻撃が企業を狙い、毎日のように被害が発生しています。

これまで組織は階層化された防御に大きく依存し、多くの社員が使用するネットワーク、Eメール、サーバー、エンドポイントなどはエンタープライズクラスのセキュリティシステムで保護されていました。しかし、世界的なパンデミックにより、2020年3月に状況は一変しました。それまで境界内にいた社員の大半は突然、境界外に出ることを余儀なくされたのです。それをチャンスととらえ (または収益化に利用するため)、ランサムウェア攻撃は2020年の後半だけで7倍に増加しました。

巧妙なランサムウェア攻撃が急増し、業種や規模を問わず世界中のあらゆる組織が標的になっているため、多くの組織にとって攻撃の標的になるのは時間の問題です。

エンドユーザーのトレーニングだけでは阻止できないランサムウェア

社員が不正なメールを認識し、フィッシング攻撃を検出できるようにするトレーニングはランサムウェア防御戦略の重要な要素です。1人のユーザーが不正な添付ファイルを開いただけで組織全体が感染し、数日間にわたって業務が停止すれば、その被害は数千ドルから数百万ドルに上ることもあります。また、エンドユーザーの操作に依存せず、脆弱性を悪用してインストールするDearCryのようなランサムウェアも確認されています。

ただし、標的になることが避けられないからといってあきらめる必要はありません。ランサムウェア攻撃は適切な準備とテクノロジーがあれば阻止できます。

そのためには、キルチェーンの各段階でユーザー、プロセス、セキュリティを制御する包括的なセキュリティ戦略を採用します。また、重要なシステムのバックアップとコピーを作成し、保存、保護、検査をネットワークの外部に移行します。指揮系統、レスポンスチーム、伝達プロセスを決め、復旧戦略に従ってトレーニングを実施するのも効果的です。

ただし、これらの攻撃は最終的にエンドポイントデバイスに到達してしまうので、攻撃を阻止するには包括的な防止、検知、レスポンスの機能がリアルタイムで提供される高度なエンドポイントセキュリティが不可欠です。また、既知の脅威インテリジェンスと照合するのではなく、悪用されるリスクの高い新旧のエンドポイントデバイスの振る舞い分析をベースにした新しいアプローチが必要です。このようなアプローチの効果は実証されており、Solarwinds攻撃Hafnium攻撃はもちろん、Darksideランサムウェアキャンペーンの未知のコンポーネントでさえも発見したその日に阻止できます。

新しいエンドポイントセキュリティ

従来のエンドポイント保護プラットフォーム(EPP) は、脅威がデバイスに侵入して感染する前に阻止することを目的としています。このため、既知の脅威を検出してブロックするためにシグネチャの膨大なリストが毎日更新されて使用されます。しかし、未知の脅威についてはどうでしょう。検出を回避する新しい攻撃が出現したらどうでしょう。サイバー犯罪者は既存のアンチウイルス対策やエンドポイントセキュリティソリューションにアクセスして、シグネチャが検出されなくなるまで攻撃を調整することができます。そのため、マルウェアより先に最新のシグネチャを入手してインストールする必要があります。

それに対し、EPPとEDRを組み合わせた最新のエンドポイントセキュリティでは多くの攻撃をブロックできるだけでなく、これまでであればネットワーク内のデバイスに侵入し、場合によっては、実行されても検出されなかった脅威も継続的な検査によって検出することができます。また、脅威の侵入方法、ネットワーク内の攻撃範囲、現在の情況、脅威を排除する手順などの重要な情報がチームに提供されるため、インシデントレスポンスが加速され、攻撃による被害や影響範囲も最小限に抑えられます。

理想的なエンドポイントセキュリティソリューションには不審なプロセスを検出し、潜在する脅威を自動的にブロックしてリアルタイムで阻止する機能が必要です。そのような機能があれば、不審な振る舞いを停止させ、その間にその不審な振る舞いが攻撃であるかを自動的に分析し、ランサムウェアの暗号化、ラテラルムーブメント、ID情報の窃取、データ漏洩などを防止して攻撃を修正できます。その振る舞いが攻撃でないことが確認されたらシステムは通常の状態に戻ります。これらの作業は多くの場合、エンドユーザーに影響しません。

優れたソリューションには振る舞いベースのEPPとEDRの両方が統合されています。それらが統合されたソリューションでは包括的な保護が提供されます。今後、防御層を通過する高度な脅威が出現したときに備えるためにもEDRは不可欠です。

エンドポイントセキュリティに必要な機能

EDRに対応した最新のエンドポイントセキュリティソリューションで最も必要とされるのは、自動的なによる封じ込めと修正の機能です。これには不審なアクティビティの調査、プロセスの終了、不正なファイルまたは感染したファイルの削除、反復の防止、ユーザーへの通知、サポートチケット作成などが含まれます。振る舞いベースのEPP / EDRソリューションを組み合わせることでエンドポイントをリアルタイムで保護し、感染前と感染後の両方のインシデントレスポンス手順を標準化して、セキュリティと運用リソースを最適化できます。また、新旧のWindows、Mac、Linuxのシステムで暗号化されたファイルをリアルタイムで復元する機能も必要です。

振る舞いベースの自動化された統合アプローチ

脅威はますます巧妙化しているため、既知の脅威インテリジェンスではなく、振る舞いをリアルタイムで検出し、調査 / 対応できるアプローチが必要です。このアプローチなら高度な攻撃にも対処でき、ランサムウェア攻撃の標的になっても高可用性を確保できます。最近のMITRE ATT&CKの評価によると、多くの保護は静的分析と既知の脅威インテリジェンスに依存しているのに対し、振る舞いベースの検知とレスポンスではプロアクティブな保護が可能です。リアクティブなセキュリティモデルからプロアクティブなセキュリティモデルに移行する組織にとって、動的な振る舞い分析に基づいた最新のエンドポイントセキュリティのアプローチへのアップグレードは不可欠です。

タグ: