ランサムウェアを阻止する方法

このeBookでは、攻撃者の活動を検知し、ransomOpsとして知られるリコンサイルを行うことが、なぜランサムウェアを阻止するために重要なのか、また、今日のランサムウェアの手口にうまく対処するためにセキュリティ専門家が取っている多くのステップについて、あらゆる角度から掘り下げています。また、Vectra MDRサービスをご利用のお客様が、検知 アクティブな攻撃をほぼ即座に検知できるようになった方法や、すべての組織が知っておくべき課題、見解、推奨事項についてもご紹介します。

1つ確かなことは、ランサムウェアを阻止する際の成功と失敗の分かれ目は、レスポンス のスピードと迅速な行動にかかっているということだ！

何よりもまず、ランサムウェアはビジネスである

不愉快かもしれないが、ランサムウェア・ギャングとそのアフィリエイトはビジネスを営んでおり、他のビジネスと同じように、お金を稼ぐために存在している。彼らはROIマインドセットを持っており、自分の財産を返すために高額な金額を請求しながら、できるだけ早く盗むことができるシステムやデータに到達する能力でたまたま現金を得ているだけなのだ。

攻撃者を駆り立てる動機を理解することは、あらゆるセキュリティ戦略にとって重要な要素です。何が攻撃者を駆り立てるのかを知り、侵害された場合に混乱を引き起こすであろう環境のシステムやデータを明確に特定できれば、あなたの組織は攻撃が展開されるのを可能な限り困難にすることができる。

ここでは、なぜタブレットトップがこの点に焦点を当てるのに役立ち、レッドチームが現在の準備態勢を客観的に評価できるのかを見ていこう。

基本から始める

もちろん、最善の結果は、ランサムウェアのギャングがあなたの環境にアクセスできないようにすることだ。そして、予防は決して万全ではありませんが、ROIの考え方は有利に働きます。実際、認証衛生とパッチ適用の基本を正しく行うことで、リスクを劇的に減らすことができる。

というのも、攻撃者による最初のアクセスは、パッチが適用されておらずDMZに公開されている脆弱性、MFAが適用されていないアカウント、または同様の低空飛行の果実を介して行われることがほとんどだからです。基本的に、組織が基本的な予防方法をいくつか見逃していれば、攻撃者が高度で時間のかかる手口を使ってアクセスする必要はない。

最良の結果は、ランサムウェアのギャングがあなたの環境にアクセスできないようにすることだ。

VPNやIDP、その他の侵入経路でMFA（多要素認証）を有効にすることで、攻撃者が他人の家のドアをノックするのを難しくすることができる。パッチ管理も同様で、DMZ全体でパッチを適用するようにすれば、攻撃を防ぐことができる。どのような予防策も完全ではありませんが、予防のための賢明な投資は、攻撃者の侵入をより困難にします。

昼夜を問わないスピード対応

基本に忠実であれば、リスクは改善されますが、解消されるわけではありません。これには様々な理由があるが、実際のところ、アカウントのセットアップで1つのミスを犯すか、1つのパッチを見逃すか、1人のユーザーがクリックしてはいけないリンクをクリックするか......あるいは（ランサムウェアのエコシステムに注ぎ込まれる巨額の資金によって）選択したVPNで1つの新しい0-dayが突破されるだけだ。我々はそれをすべて見てきた。

そして、ランサムウェアの攻撃者があなたの環境に侵入した場合、彼らは素早く動くと予想されます。私たちは、数日かけてゆっくりと進行する攻撃に対応したこともありますが、攻撃の大部分が時間外の夕方1回で発生することも珍しくありません。ROIマインドを持つ攻撃者にとって、「時は金なり」であることを忘れてはならない。防御側に対応するための最小限の時間を与えるにせよ、単なる数合わせにせよ、通常、攻撃者がレーダーの下にとどまろうとする兆候はほとんど見られません。実際、ランサムウェア攻撃の世界的な滞留時間は、ここ数年で大幅に減少している。

防御側にとって朗報なのは、適切な検知技術があれば、攻撃はスピードで明らかになるということだ。Vectra のように、最初のアクセスから2分以内にクリティカルなホストが発見されている。しかし、攻撃の進行速度が速いため、ランサムウェアが展開される前に脅威を阻止するためには、迅速かつ果断に対応する準備が極めて重要になります。

残念ながら、このような迅速な対応能力は営業時間内に限定されるものではない。初期段階の偵察や横の動きは、ランサムウェアの実行者が時間を持て余したときに、四六時中行われているように見える。日中であることもあれば、夜間、週末、あるいは休日であることもある。しかし、私たちの観察によると、流出と暗号化への最終的なプッシュは、インシデントレスポンス の能力が最も弱い夜中や週末、休日に行われる可能性が高い。

現実的に言えば、これは24時間365日の監視が必須であることを意味する。

ゲームプランを持つレスポンス

ランサムウェアの脅威に対応するための最初のステップは、検知 、お客様の環境における敵対者を特定することです。攻撃を阻止するために様々なシナリオで何をするかを知ることも同様に重要だ。どこまでやるつもりですか？レスポンス の時間を稼ぐために、インターネットからシステムを完全に切り離すという一瞬の決断を下さなければなりませんでした。幸いなことに、それはうまくいった。

そのチームがランサムウェア攻撃を受ける寸前まで追い込まれたように、このシナリオはそれほど珍しいものではない。もしあなたの組織が同じ状況に陥ったら、あなたはどうするだろうか？このレベルの混乱はビジネスにとって受け入れられるだろうか？リモート・セキュリティ・スタッフの接続がなくても、効果的に対応できるだろうか？他に購入しなければならないレスポンス オプションはあるか？

私たちは、プレッシャーの下での迅速かつ果断な行動が、レスポンス 成功の鍵となる要素であることを見てきた。必要な前にゲームプランを知り、実践することが、すべてを変える可能性がある。

ランサムウェアを止めるには、ランサムウェアを探すな

最近のランサムウェア攻撃（まさにransomOps）は、攻撃の最後の最後までランサムウェアのバイナリを展開しない。つまり、ランサムウェアそのものを見ても手遅れになる可能性が高い。

というのも、このような攻撃を未然に防ぐには、ランサムウェアが展開される前に、検知 、対応する必要があるからだ。現実には、敵やその最終的な手口を完全に把握できないまま運用することになるのはほぼ間違いない。多くの場合、急速に進行する攻撃を目の当たりにし、ツールやC2インフラに何らかの兆候を見出すことで、何が起きているのかを推測することができます。

ここでは、レスポンス 、より一般的なクラスの侵入と攻撃の進行に焦点を当てる必要がある。そして、最終的な結末はあくまで確率であり、確実なものではないことを理解する必要がある。

アカウントと管理ツールが鍵

最初のアクセスや、時には横の動きに悪用されることもある。しかし、最近の攻撃のほとんどがそうであるように、管理者アカウントやサービスアカウントといった認証情報に焦点が当てられています。管理者プロトコルと組み合わせることで、これらは事実上すべてのランサムウェア関連会社が好む手口です。

多くの攻撃と同様に、攻撃の最終段階を開始するために、ドメインコントローラーのドメイン管理者に到達することが意図されている。この視点から、最も貴重なデータにアクセスするのは簡単だ。また、GPOを含む管理者ツールを使って、ランサムウェアを驚異的な速さで展開することも可能だ。

クレデンシャルを重視するため、すべての特権アカウントの使用を注意深く監視することが絶対的な鍵となる。

ランサムウェアの一般的な動作

Vectraのアナリストは、さまざまな顧客に共通するユーザー、プロセス、セキュリティの課題をまとめました。

初期アクセス

• 攻撃者は、一般に公開されているインターネット上のサービスやシステムの脆弱性を探し続けている。
• RDP、FTP、またはVPNを実行しているサーバーは、エンタープライズやクラウドへの初期アクセスを提供する人気のターゲットです。
• MFAの欠如はよく狙われるギャップである。
• 攻撃の進行は、最初の侵入から数時間かかったケースもあれば、数日、あるいは数週間かかったケースもある。セキュリティ・チームが検知 、早期に対応する時間はあるが、24時間365日の警戒が必要である。

Command and Control (C2)

• Cobalt Strike が現在のお気に入りツールのようだ。
• 一般的なリモート・アクセス・ツールは、認可されているか否かにかかわらず、システムの制御にも使用されていた。あるケースでは、Cisco AnyConnectソフトウェアが、外部にいる人間によって、内部でマシンを制御するために使用されていることを検出しました。

偵察と横方向の動き

• ほとんどの場合、スキャンは積極的で、ネットワークマッピング、rDNSクエリ、共有の列挙が含まれていた。迅速なスキャンにより、通常、攻撃は最初のアクセスから数分以内に可視化された。
• LDAPクエリやクレデンシャル・ロケーションをマップするRPCコールなど、クレデンシャル関連のリコンも一般的であった。
• 初期の段階での横の動きには、一般的なエクスプロイトが含まれていた。後期は主に認証情報と管理者プロトコルに依存していた。

データ流出

• 分析用の偵察情報のアップロードには、無料のファイル共有サイトがよく使われた。Mega Upload（mega.com）やtemp.shなどである。

ランサムウェアの予防、検出、および対策に関する推奨事項レスポンス

私たちのチームは毎日セキュリティチームと密接に連携し、VectraAI主導の脅威検知およびレスポンスソリューションによって生成された重要なアラートに対応しています。私たちが最初に顧客と関わるとき、脅威がランサムウェアであるかどうかは明らかではありません。アラートの深刻度が増すにつれて、私たちは攻撃についてさらに明確な状況と文脈を把握し、それが実際にランサムウェアであるかどうかを判断することができるようになります。私たちは、敵対者がランサムウェア・キャンペーンを成功させることを困難にし、最終的に確実に阻止するためのセキュリティ・ツールやセキュリティ慣行の数々を発見しました。これには以下が含まれます。

予防

• 定期的に外部のセキュリティ体制を評価し、優先度の高い修正を実施する。特に、RDP や FTP などのリモート・アクセス・インフラや一般的に脆弱なサービスに重点を置く。
• あらゆる ID プロバイダまたはリモート・アクセス・インフラで、可能な限り MFA を有効にする。
• 一般的に、強力な予防的コントロール、ルール、ポリシーは、アクセス後でさえ特権をエスカレートさせることを難しくし、レスポンス のための時間を稼ぐ。
• 特に注目すべきは、特権アカウントである。運用面では難しいが、ジャンプサーバーや特権アカウント管理システムを通じて、利用を集中させることができればできるほど、エスカレーションの経路は難しくなる。

検知

• ランサムウェアの実行者がアクセス権を得た後、データが流出したりランサムウェアが展開されたりする前に、攻撃を阻止する時間はある。
• ネットワーク、アイデンティティインフラ、クラウド、エンドポイントにわたる脅威の検知とレスポンス に投資し、早期発見の確率を最大化する。

調査とレスポンス

• ランサムウェアの攻撃は、昼夜を問わず急速に進行する可能性があります。重要なアラートを24時間365日体制で確実に監視することは、社内チームを増強するにしても、マネージド検知およびレスポンス （MDR）またはMSSPサービスを活用するにしても、重要な鍵となります。
• ネットワーク、エンドポイント、クラウドのログからテレメトリーを統合することで、脅威を調査し、明確な根本原因に到達する上で、最高のコンテキスト、明快さ、充実感が得られる。
• OSINT と組み合わせることで、最初のアクセス以前に DMZ のスキャン活動の増加を振り返ることができ、脅威要因の可能性を早期に評価し、レスポンス をより明確にすることができる。