ランサムウェア脅威の被害を最小限にする3つの観点からの対策
脆弱性対策
攻撃者はシステムの脆弱なポイントを探し出し、それを悪用して侵入を試みます。侵入が成功すると、あとは内部で自由に動き回ってマルウェアを拡散させ、攻撃対象を拡大していきます。特に昨今では、複数の脆弱性を順に悪用することで成功する攻撃が多く発生しています。したがってランサムウェア攻撃による被害を最小限にするためには、それぞれの脆弱性に加え、複数の脆弱性を組み合わせた場合のリスクも調査した上で、徹底した脆弱性対策を行うことが重要です。
初期アクセスやラテラルムーブメントで悪用されるRCE(リモートコード実行)可能な脆弱性を解消します。新たに発見された脆弱性に関して、影響の有無、影響範囲、リスク、他の脆弱性との組み合わせた脆弱度、クレデンシャル情報を不正取得される可能性などを判断し、対応を決めます。
具体的には定期的な脆弱性アセスメントを実施し、システムに脆弱性が内在していないかチェックするとともに、定期的なOSやアプリケーションなどのパッチ適用を行います。また、正式パッチが提供されるまでの対策として、仮想パッチが適用できる環境をあらかじめ整備しておきます。
エンドポイント/ワークロードでの対策
エンドポイントでのランサムウェア対策は、そのワークロードにおいて何が実行されたのかを把握することが基本となります。疑わしい振る舞いが行われたのはどのプロセスなのか、そのプログラムはいつどこから来たものなのか、他のエンドポイントに拡散してないかどうかなど、ワークロード上で何が起こったのかをチェックします。
既知の脅威を素早く検出するととともに、未知の脅威検出にも対応できる仕組みを導入します。さらに侵害された際に備えて、リモートからフォレンジックできる環境を整備しておきます。
また、エンドポイントに関しても脆弱性管理が可能な調査手法を導入し、仮想パッチが適用できる環境をあらかじめ整備しておくことが重要です。
ネットワークでの対策
まずリモートワーク環境について、従来のようにVPNで接続してID/Passwordで認証を行うだけでは脆弱です。そのため、多要素認証を導入するとともに、デバイスポスチャを取得してデバイス自体の状態を都度確認し、その状態に合わせた認可を行います。また、トラフィックは常にセキュリティチェックの対象とし、インターネット上のアクセス先の管理やレピュテーションに基づいた制御、CASBでの管理、C&Cリストの更新などを行い、不正な通信が発生していないことを監視します。
次にデータセンター内やクラウド、社内ネットワークについて、既知の脅威検出に加えて未知の脅威検出も行い、境界ポイントでのセキュリティ強化を図るとともに、下記に示す対策を行います。
- 侵害の恐れがある設定ミスのチェック、クラウドならCSPMやCWPPなどで対応
- ラテラルムーブメントへの対応と備え
- 侵害に備えたネットワークトラフィック解析による脅威解析
- 侵入型はMITRE ATT&CKのフレームワークベースで管理する
- 仮想パッチが適用できる環境をあらかじめ整備しておく
また、定期的なバックアップを隔離環境にとっておくことも重要で、ランサムウェア攻撃による破壊が行われた場合でもある時点までデータを戻すことが可能となります。
VMware が提供するセキュリティソリューション
脅威への対策は短時間であることが重要で、常にあらゆるサイバー攻撃に対してリアルタイムな検知と対処を行います。すべての攻撃を防御できればよいのですが、できない場合も企業全体を捉えたインシデントレスポンスとして短時間で対処していきます。
ヴイエムウェアでは、これを実現するさまざまな技術をVMware Securityという体系のもとで取り揃えています。
このVMware Securityの一環として提供しているのが、NDR(Network Detection and Response)とEDR(Endpoint Detection and Response)です。前項で示したようなランサムウェア対策を単一のソリューションで網羅するのは、現実的な側面から困難です。そこでVMware Securityのビジョンでは、ネットワーク側からのアプローチであるNDRと、エンドポイント側からのアプローチであるEDRの2つのソリューションを有機的に連携・連結させることで、効率的で近代化したSOC(Security Operation Center)の運用を支えていくことを基本としています。
NDRとは
ガートナー社の定義によればNDRとは、シグネチャを利用せず、機械学習などの解析技術を用いて、不審なトラフィックを検出する技術です。継続的にパケットやフローデータを収集し、標準的なネットワークの振る舞いを表すモデルを構築し、不審なトラフィックパターンを検出したら攻撃の一部である恐れがあるため、アラートの候補とします。他のネットワークセキュリティの検出技術であるIDS/IPSやネットワークサンドボックスの解析結果をまとめてAIエンジンで解析します。AIエンジンでの解析の結果、アラートの候補としていた不審な振る舞いが攻撃の一部であると判断すると、アラートの候補からアラートへとプロモーションします。これによりネットワークを経由した攻撃、いわゆるサイバーキルチェーンのすべてを網羅して可視化することが可能となります。
ヴイエムウェアでは、VMware NSXを通じてこのNDRの機能を提供しています。
EDRとは
EDRはあたかも監視カメラのようにエンドポイントの動作を記録し、マルウェアの侵入が疑われる際に、エンドポイントで何が起きたかを巻き戻して確認することができます。これによりインシデントの原因の迅速な調査と対応を行うことが可能となります。
前述のNDRによりどのホストがマルウェアの侵入に関与したのか把握できるため、そのホストに対してEDRを用いて詳細な解析を行います。
ヴイエムウェアでは、VMware Carbon Black Cloudを通じてこのEDR機能を提供しています。
まとめ
NDRとEDRを連携させることで、まずネットワーク全体を捉えて問題を明らかにして絞り込み、エンドポイント上で的確な対処を迅速に行うというランサムウェア対策の大きな流れを確立することができます。
ランサムウェアについて詳しくはこちらの資料をご覧ください。
ランサムウェア : VMwareで実現する多層防御
近年、もっとも頻繁に発生し、甚大な被害をもたらしているサイバー攻撃の1つがランサムウェアです。通常、ランサムウェア攻撃は特定の業種ではなく、世界中のあらゆる企業が広く標的となります。ランサムウェア攻撃を受けると、組織のシステムやデータが暗号化され、さらにバックアップも削除または暗号化されてしまうため、従来のリカバリ戦略が役に立ちません。どの組織も、ランサムウェアやその他のサイバー攻撃に対する防御を早急に強化する必要があります。
VMware Security Summit 2022
ランサムウェアとその対策について詳しくは、VMware Security Summit 2022 のセッションのオンデマンド配信をご覧ください
