新しい ID 保護アプローチは、ランサムウェアによって引き起こされる重大な脆弱性を防ぎます。 ただし、配信と実行の防御を回避した後は、ランサムウェア ペイロードの自動拡散をプロアクティブに防止できる組織はほとんどありません。 Silverfort の DACH リージョナル セールス ディレクター、Martin Kulendik からのコメント。
ランサムウェアのサイバー恐喝は、依然として企業が直面している最大のセキュリティ脅威の XNUMX つです。 今日のサイバーセキュリティの一般的な方法は、これらの攻撃の配信および実行フェーズから保護することです。 しかし、配信と実行の防御をすり抜けてしまうと、ランサムウェア ペイロードの自動拡散をプロアクティブに防止できる組織はほとんどありません。 ランサムウェアは、単一のエンドポイントへの感染と企業データの一括暗号化に大きな違いをもたらすため、これを防止できないことは重大なセキュリティの脆弱性です。 そのため、ランサムウェア攻撃の各フェーズ (配信から実行、自動配信まで) に対する保護対策を以下で説明します。
ランサムウェア配信から保護するための対策
配信段階で、攻撃者はランサムウェアのペイロードを被害者のコンピューターに配置します。 サイバー犯罪者が使用する最も一般的な方法には、フィッシング メール、侵害された RDP (リモート デスクトップ プロトコル) アクセス、従業員が頻繁にアクセスする Web サイトにサイバー犯罪者が感染する水飲み場攻撃などがあります。
電子メールをスキャンしてユーザー操作の前に危険なコンテンツを検出して削除する電子メール セキュリティ ゲートウェイ、潜在的なマルウェアのダウンロードを防止するエンドポイント保護プラットフォーム、RDP 接続用の多要素認証 (MFA) によって保護が提供され、攻撃者が侵害された資格情報で接続するのを防ぎます。
ランサムウェアの実行を防ぐための対策
実行フェーズでは、ワークステーションまたはサーバーに正常に配信されたランサムウェア ペイロードが、コンピューター上のデータ ファイルを暗号化する目的で実行されます。
企業は、ワークステーションとサーバーでエンドポイント プロテクション プラットフォーム (EPP) を使用して、この問題から身を守ります。 EPP は、ランサムウェアとして検出されたプロセスの実行を停止し、悪意のある暗号化を完全に防止することを目的としています。
ランサムウェアの自動配布に対する保護
伝播フェーズでは、ランサムウェアのペイロードが、侵害された資格情報を使用した悪意のある認証を介して、企業環境内の他の多くのコンピューターにコピーされます。 最も脆弱な攻撃面の XNUMX つは、共有 (共有) フォルダーです。 企業環境では、各ユーザーは少なくともいくつかのフォルダーにアクセスできます。 これにより、ランサムウェアが拡散する道が開かれます。
前述したように、これは最もダメージが大きい段階です。 ただし、このフェーズは現在、企業のセキュリティ防御の盲点です。 現在、ランサムウェアの自動拡散をリアルタイムで防止できるセキュリティ ソリューションはありません。 実際には、これは、配布と実行のためにセキュリティ対策を回避するランサムウェアの亜種 (およびこれらの亜種の一定の割合は常に回避する) が企業環境内に拡散し、到達したすべてのマシンを暗号化できることを意味します。 また、EPP が新しいマルウェアに対する防御力を向上させたとしても、攻撃者はより優れた回避方法とよりステルスなペイロード (ロード) を開発しており、そのような回避が非常に可能性の高いシナリオになっています。
保護の挑戦
この脆弱性の原因をよりよく理解するために、ランサムウェアの自動拡散がどのように機能するかを見てみましょう。
ランサムウェアのペイロードが最初に実行された「患者ゼロ」と呼ばれるエンドポイントがあります。 領域内の他のコンピューターに拡散するために、マルウェアは侵害された資格情報を使用し、他のコンピューターに有効な (ただし侵害された) ユーザー名と資格情報を提供することで基本認証を実行します。 このアクティビティは、そのコンテキストでは 100% 悪意がありますが、環境内の正当な認証と本質的に同じです。 ID プロバイダー (この場合は Active Directory) がこの悪意のあるコンテキストを検出する方法はありません。 したがって、彼は接続を承認します。
したがって、ここにランサムウェアに対する保護の盲点があります。一方では、認証をリアルタイムでブロックできるセキュリティ製品はなく、他方では、これを可能にする唯一の製品である ID プロバイダーは区別できません。正当な認証と悪意のある認証の間。
Unified Identity Protection は、ランサムウェアの自動拡散を防止します
Unified Identity Protection は、エンタープライズ環境の ID プロバイダーとネイティブに統合されたエージェントレス テクノロジであり、オンプレミスおよびクラウド リソースへのすべてのアクセス試行の継続的な監視、リスク分析、およびアクセス ポリシーの適用を実行します。 このように、統合された ID 保護ソリューションは、リスクベースの認証と多要素認証を、以前は保護できなかったリソースとアクセス インターフェイスに拡張します。これには、ランサムウェアの自動伝播が依存する Active Directory コマンドライン リモート アクセス インターフェイスが含まれます。
積極的に攻撃を防ぎます
これにより、侵害された資格情報を悪用して企業リソースにアクセスする攻撃 (ランサムウェアの自動配布など) を事前に防ぐことができます。 これは、マルウェアが侵害された資格情報認証を使用してターゲット環境に拡散し、特に共有フォルダーを好むためです。
ランサムウェアの自動配布に対するリアルタイムの保護を強化するために、Unified Identity Protection は次のアクションを実行します。
1. 継続的なモニタリング
Unified Identity Protection は、ユーザー アカウントの認証とアクセス試行を継続的に分析し、通常のユーザーとマシンのアクティビティの非常に正確な動作プロファイルを作成します。
2. リスク分析
自動化されたランサムウェア配布の場合、単一のマシンとユーザー アカウントから複数の同時ログイン試行が行われます。 Unified Identity Protection Platform のリスク エンジンは、この異常な動作を即座に検出し、ユーザー アカウントとコンピューターの両方のリスク スコアを上げます。
3. アクセス ポリシーの適用
Unified Identity Protection を使用すると、リアルタイムのリスク評価を使用して、MFA による認証の強化やアクセスの完全なブロックなどの保護手段をトリガーするアクセス ポリシーをユーザーが作成できます。 ランサムウェアの自動配布に対するポリシーでは、ユーザー アカウントのリスク評価が「高」または「緊急」の場合は常に MFA が必要であり、すべてのアクセス インターフェイス (Powershell、CMD、CIFS、ネットワーク フォルダーでの共有アクセス用の特別な (専用) プロトコル) に適用されます。
このポリシーが有効になっている場合、ランサムウェアが別のコンピューターに拡散しようとしても、資格情報が侵害された実際のユーザーに対して MFA 検証が行われない限り、接続は許可されません。 これは、拡散が防止され、攻撃が最初に感染した単一のエンドポイント「患者ゼロ」に限定されることを意味します。
したがって、この特別な ID 保護アプローチは、ランサムウェア攻撃の最も致命的な要素である自動拡散を防ぐことができます。 統合された ID 保護ソリューションを使用することで、企業は最終的に防御におけるこの重大な盲点をカバーし、ランサムウェア攻撃の試みに対する回復力を大幅に向上させることができます。
詳細は Silverfort.com をご覧ください
シルバーフォートについて Silverfort は、エンタープライズ ネットワークとクラウド環境全体で IAM セキュリティ制御を統合して ID ベースの攻撃を軽減する、初の統合 ID 保護プラットフォームを提供します。 Silverfort は、革新的なエージェントレスおよびプロキシレス テクノロジーを使用して、すべての IAM ソリューションとシームレスに統合し、リスク分析とセキュリティ制御を統合し、自社開発およびレガシー アプリケーション、IT インフラストラクチャ、ファイル システム、コマンド ラインなど、以前は保護できなかった資産に対象範囲を拡大しました。ツール、マシン間アクセスなど。