ランサムウェア。それは新たなデジタルの厄介者である。アラブ首長国連邦(UAE)で2021年6月に実施された業界調査では、同国(ひいてはより広い地域)がどの程度ランサムウェアにさらされているかが示された。回答者の約37%が、過去2年間に被害に遭ったと答えている。なんと84%が身代金の支払いを選択したが、そのほとんど(支払った人の90%)が、同じ悪質業者による2度目の攻撃に苦しむことになった。
さらに懸念されるのは、特に昨年、業界ではRansomOpsが増加していることだ。ランサムウェア攻撃が「スプレー・アンド・祈り」モデル(WannaCryを思い浮かべてほしい)に従うのに対し、RansomOpsはより洗練された、高度に標的化されたAPTスタイルの攻撃であり、しばしば国家と関連付けられるが、特定の標的に対する金銭的影響を最大化しようとする悪質業者の手口である可能性もある。5月だけでも、米国のコロニアル・パイプライン事件、アイルランドの保健省に対する攻撃、ドイツの化学品販売会社Brenntagに対するDarkSideの攻撃などがあり、同社は440万米ドルを支払っている。さらに最近では、米国を拠点とするKaseyaの仮想システム管理者(VSA)サービスが、定期的なアップデートによって複数のマネージド・サービスプロバイダーと潜在的に数千の下流顧客に感染するというサプライチェーン攻撃によって、Revilランサムウェアに感染した。
CISOがハイブリッドワークの拡大に対応し続ける中、ランサムウェアにとって魅力的な侵入経路となるマルチネットワーク環境と未検証の個人用マシンに対処しなければならない。あなたがこれを読んでいる間にも、何千もの悪質業者が、試行錯誤を重ねたランサムウェアの系統を活用したり、次の亜種を設計したりして、無防備なターゲットから巨額の金銭を脅し取っている。彼らは時間をかけ、仕事を終わらせる。
ランサムウェア入門
悪質な攻撃者はまず、遠くから潜在的な企業を評価し、そのビジネスモデルを調査し、ダウンタイムが企業にとってどの程度の損害になるかを判断する。 このことから、攻撃者は支払いの可能性を推定し、最適な身代金レベルを計算する。侵入自体は外注するか、ダークウェブで300米ドル程度の「準備完了」状態で購入することができる。ターゲットの境界内に侵入すると、ランサムウェア攻撃者は評価を続け、暗号化するアプリケーションやデータを評価する。そして、痛みがやってくる。
デジタルの世界では、プロセスやファイルを完全に暗号化することは、このようなキャンペーンに見舞われた企業にとっては、業務が完全に停止することを意味する。セキュリティチームは直ちに行動を開始するが、多くの場合、苦戦を強いられることになる。デジタル業務を復旧させながら、進行中の攻撃を阻止しなければならない。それは容易なことではない。また、再発を防ぐために侵入元を特定するのも容易ではない。
また、身代金の支払いは暗号化キーの受け渡しを保証するものではない。要するに、ランサムウェア攻撃は、脅威対策の他のどの側面よりも、多くの組織の事業継続戦略を試すものなのだ。極めて健全なコンティンジェンシープランがなければ、ランサムウェアの被害者は長時間のダウンタイム、データ損失、財務的ショックに苦しむことになる。
緩和への道
被害軽減の鍵は早期発見である。感染したホストが速やかに隔離されれば、脅威ハンターはレプリケーションを助長するプロセスを殺す作業に取り掛かることができる。リアルタイムで人間が介入しても、ランサムウェアの伝播の速さを食い止めることはほとんどできないため、これは自動化ツールに任せるのが理想的だ。ネットワーク全体を監視しているプラットフォームは、被害や損失を防ぐのに効果的な自動判断を行うのに最も適している。
ランサムウェアの検知に成功しているネットワーク全体の重要な戦略の1つは、パケット・トラフィックやプロセスで既知のランサムウェア亜種を積極的に検索するのではなく、行動を俯瞰することです。この戦略はプロアクティブであり、ペイロードがドロップされるのを待つのではなく、悪意のあるアクターによる最初の偵察や侵入活動を発見することに重点を置いています。
さらに、ITインフラストラクチャの最も機密性の高い領域にアクセスできるのは、選ばれた少数のユーザーだけであることを保証するために注意が払われている場合は、堅牢なID管理ポリシーが流れを食い止めるのに役立ちます。ランサムウェアは、その起動を許可したユーザーやアプリケーションに発行された認証情報によって対処しなければならない。さらに、高い権限を持つアカウントの活動を厳重に監視していれば、セキュリティチームはランサムウェアの侵入を阻止するために、より迅速に行動することができる。
新たな戦術:AIによる脅威検知とレスポンス
これらのベストプラクティスは、脅威検知とレスポンスに対するAI主導のアプローチの一部です。ランサムウェアの問題に対してハイレベルで行動的な視点を取り入れることで、ランサムウェアそのものを探すという遅きに失した戦術から脱却します。このアプローチを提供するツールは、ネットワーク・トラフィックを深く分析し、オンプレミス、データセンター、IaaS、SaaS環境間を行き来する攻撃者の活動を追跡する機能を備えています。 機械学習モデルは、すでにセキュリティチームの専門知識を補い、強力な結果をもたらしている。このようなモデルだけが、大量のテレメトリを受け入れ、リスクのある活動を特定するためにリアルタイムで過去の膨大なデータと比較するスケールとパワーを備えています。
これらの振る舞いベースの脅威検知プラットフォームは、クラウド、データセンター、IoT、企業ネットワーク内の検知とレスポンスに特化しています。早期検知、誤検知の排除、アラート疲労の軽減がこの技術の主な特徴であり、MITRE D3FENDのような主要な業界標準の検証もこの技術の特徴である。
ランサムウェアはサイバー犯罪者にとって非常に有益であり、脅威のランドスケープからすぐに消えることはないだろう。迅速かつ正確な検知は、現在のところAIベースの脅威検知とレスポンスアプローチによってのみもたらされるものであり、地域のビジネス関係者がこの戦いにおいて持つことのできる最良の味方である。