米国のコロニアル パイプラインに対する DarkSide ランサムウェア攻撃は、セキュリティが IT だけの問題ではなく、戦略的な計画と管理の問題であることを示す世界的な例の 5 つにすぎません。 ソフォスの専門家による XNUMX つの洞察。
東海岸のディーゼル、ガソリン、ジェット燃料の約 45% を供給している Colonial の燃料パイプラインに対する DarkSide ランサムウェア攻撃は、現在 60 を超える既知のケースに加わっている 2021 つの例です。 アイルランドの医療サービス、Toshiba Europe、エッセンに本拠を置く化学会社の Brenntag も被害者とされています。 インシデントのフォレンジックは、インシデントの前にすでに存在し、攻撃に対する脆弱性の原因となった IT ネットワーク内の問題を何度も指摘しています。 その結果、影響を受けた人々が考えられるすべてのセキュリティ対策を実行しなかった理由と、ランサムウェア攻撃の時点で専任のサイバーセキュリティ担当者が組織に存在していたのかという疑問が生じます。 ソフォスのシニア セキュリティ アドバイザーである John Shier が、XNUMX 年 XNUMX 月以降の攻撃から得られた上位 XNUMX つのポイントをまとめています。
IT セキュリティの優先事項
今日のリスク状況では、企業や組織は、現在のリスク状況を監視し、セキュリティに精通し、会社の経営会議に参加する人物、最高情報セキュリティ責任者 (CISO) を必要としています。 専任の CISO を配置することを正当化するのが難しい企業もあるかもしれませんが、IT セキュリティの優先順位を正しく設定する方法を知っていて、それを実施する適切な人物が必要です。 たとえば、上院での植民地公聴会では、過去 200 年間に約 XNUMX 億米ドルが IT に投資されたことが判明しましたが、実際にどれだけが IT セキュリティに流れ込んだかについての正確な情報はありませんでした。
組織内でサイバーセキュリティに優先順位を付ける能力、十分な予算を持つこと、優先順位を実施するために必要な権限を持つことは、サイバーセキュリティの重要な側面です。
使用されるセキュリティ基準
Sophos Rapid Response チームが調査した多くのケースでは、ネットワークへの最初のエントリ ポイントは、主にリモート サービス用の XNUMX つの盗まれたパスワードです。 Colonial の場合、攻撃者は盗んだパスワードを使用して、多要素認証 (MFA) が有効になっていない VPN サービスにアクセスしました。 パイプライン オペレーターは、この VPN プロファイルは使用されていないと考えており、おそらくあまり注意を払っていませんでした。これは、専門家が何度も観察している典型的な状況です。 攻撃者が以前の侵入によってパスワードを取得し、後でランサムウェア攻撃で使用した可能性は十分にあります。 これは、XNUMX つの非常に重要な結論につながります。MFA などの利用可能なセキュリティ テクノロジは常にアクティブにする必要があります。また、セキュリティ スペシャリストは、より大きな攻撃の前兆となる可能性があるため、マイナーな過去のセキュリティ インシデントを真剣に受け止めるべきです。
ネットワーク イベントの可視性
ソフォスのラピッド レスポンス チームは、ランサムウェアが実際に起動され、データが暗号化されるまで、被害者がランサムウェア攻撃に気付かないことがよくあります。 ただし、攻撃者は通常、ランサムウェアがアクティブになるずっと前からインターネット上にいます。 攻撃者は、最大の損害を与えたり利益を強要したりする準備をするのに、数日から数か月かかることもあります。 ソフォスは Active Adversary Playbook 2021 で、攻撃者が被害者のネットワークに平均 XNUMX 日間滞在すると想定しています。. また、Colonial は、攻撃者を早期に特定するために必要な透明性と可視性を備えていなかった企業の XNUMX つでもありました。 したがって、エンドポイントの検出と対応 (EDR) ツールは、攻撃を防止するだけでなく、組織が潜在的な脅威を探すことを可能にするために非常に価値があります。
緊急時の計画
特に、大企業や重要なインフラストラクチャの運用者は通常、生産中のイベント、欠陥、事故、およびその他の従来の古典的なイベントに対する適切な緊急計画を立てています。 しかし、サイバーの危険性がそのような計画に根付いていることはまだめったにないようです - これはコロニアルにも当てはまります. 緊急時対応計画は、生き残るために不可欠です。 あらゆる規模の組織がセキュリティ評価を実施し、潜在的なインシデントに対応する方法を計画する必要があります。 評価の一部は内部で実施でき、その他は外部の専門家が実施できます。 次に、a) 最も脆弱な領域をより適切に保護するための計画を立てます。b) 何か問題が発生した場合に備えてプロセスを整備し、c) 改善および対応計画に対する軽減策をテストします。
特に重要な分野の企業や組織については、情報共有分析センター (ISAC) などの情報源からの情報も含める必要があります。 これらの組織は、脅威インテリジェンスを収集、分析、配布し、リスクを軽減して回復力を向上させるツールを提供します。
払うか払わないか
企業は、緊急事態が発生した場合、常に攻撃者に高額の身代金を支払う傾向があります。 バックアップが破損しているか失われているために、企業が準拠を余儀なくされた例は数多くあります。 できるだけ早くネットワークを復旧して稼働させたいと考える人もいれば、ネットワークを復元するコストよりも安いと思われるという理由で支払いを選択する人もいます。 もう XNUMX つの一般的な理由は、盗まれたデータが販売または公開されるのを防ぐことです。 コロニアルはまた、支払いの正当化としてこれらの理由の XNUMX つを挙げました。
評価の本質
攻撃者の犯罪の激しさ、創造性、および知性の増加を抑えることはできません。 ただし、潜在的なリスクを軽減するために、未使用の可能性が数多くあります。
「企業や組織がサイバーセキュリティを強化するために攻撃を受けるべきではありません。 時間とリソースを使って治安状況を評価し、最高レベルの能力を備えた内部および外部の専門家とともに、可能な限り優れた早期防御を確立する必要があります」と John Shier 氏は要約しています。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。