防止、封じ込め、回復：サプライチェーン向けのランサムウェア準備ガイド

ランサムウェアは、病院のネットワーク、地方自治体、およびより広範なサプライチェーンに影響を与える攻撃の数が増加していることから、サイバーセキュリティ業界の多くの人々にとって最重要事項となっています。企業に対するランサムウェア攻撃は、通常、一定期間データとシステムへのアクセスを失い、収益と復旧作業に費やされたお金の損失による経済的影響をもたらします。ランサムウェア攻撃がサプライチェーンの一部である企業に向けられた場合、1つのサービスプロバイダーだけが数百または数千の企業に直接影響を与える可能性があるため、はるかに広い影響を与える可能性があります。

ランサムウェアの脅威に対する組織の準備状況を理解することは不可欠であり、サプライチェーンのベンダーが準備状況にどのように影響するかを知ることは、全体的な戦略の重要な部分です。

すべての防御がカバーされ、ランサムウェア攻撃の影響を防止または軽減するためにできることをすべて実行したことを確認しようとすると、圧倒される可能性があります。強力な戦略は、アーキテクチャ、エンドポイント、ユーザーなどを網羅する、広範囲にわたる多層化されたものです。

では、どこから始めればよいのでしょうか。構造化された論理的なアプローチは、組織のランサムウェアの準備状況を理解するための秩序をもたらすのに役立ちます。これを支援するために、予防、封じ込め、回復という3つの主要なカテゴリを見てみましょう。

予防

私たちの主な目的は、ランサムウェアを環境から遠ざけ、最初から侵入しないようにすることです。この防御的な姿勢から、境界制御からエンドユーザーに至るまでインフラストラクチャを確認する必要があります。このトピックについて詳しく説明することもできますが、ランサムウェアが最も一般的に導入されているギャップに注目します。

• リモートデスクトッププロトコル（RDP）。 新しいテクノロジーや新しい攻撃ベクトルではありませんが、RDPは、脆弱性、構成の誤り、またはブルートフォース攻撃の影響を受けやすいため、通常のターゲットとなっています。最近のリモートワークフォースの増加とそれに対応するRDP使用量の増加により、攻撃者は新しいターゲットを使ってフィールドデーを過ごしています。ここでの防止活動には、開いているポートの数の制限、強力な認証制御（多要素認証を含む）、および強固な脆弱性管理プログラムが含まれます。
• フィッシング。 フィッシングメールは、セキュリティコントロールの多くをバイパスして、悪意のあるコンテンツを最も弱いセキュリティリンクであるエンドユーザーに直接配信できるため、特に危険です。フィッシングメールは通常、ユーザーの資格情報を取得しようとしたり、悪意のある添付ファイルやリンクを含めたりして、最終的に攻撃者に環境への直接パスを提供します。ここでの予防活動には、電子メールセキュリティソリューションの使用、エンドユーザー向けのセキュリティと認識のトレーニング、エンドポイントの検出と応答のソリューションが含まれます。

最終的に、推奨される予防技術は新しいものではありません。これらは、情報セキュリティコミュニティが以前から議論してきたものと同じ重要な原則です。インターネットからアクセスできるものを制限し、脆弱性スキャン、パッチを適用し、強力な認証制御を行います。

封じ込め

したがって、最善の努力にもかかわらず、ランサムウェアは環境に侵入します。どうすれば拡散を止めることができますか？建物内での火災について考えてみましょう。封じ込め戦略は、ファイアウォールや難燃性材料などを使用して実際の火災の前に行われます。ランサムウェアなどの攻撃についても同じです。 2つの主要な封じ込め戦略は次のとおりです。

• 特権アカウントの使用。 攻撃者は、システムやデータへの高レベルのアクセスと、悪意のあるコードを実行するために必要な権限を提供するため、特権アカウントを標的にするのが大好きです。パスワードの再利用、クリアテキストで保存されたサービスアカウントのパスワード、簡単に推測できるパスワードなどはすべて、アカウントの侵害に寄与する一般的な問題です。

特権アカウント管理への全体的なアプローチがここでの鍵です。これには、あなたが持っている特権アカウントと、それらがアクセスできるものを理解することが含まれます。それらがどのように使用されるか（例：ドメイン管理者とサービスアカウント）;そして、それらのアカウントへのアクセスと管理の方法（特権アカウント管理ソリューションの使用など）。

• ネットワークセグメンテーション。 フラットネットワークは、攻撃者にとって夢のシナリオです。クレデンシャルを取得すると、組織のネットワーク全体を自由に移動でき、システムやデータに自由にアクセスできます。少なくとも、セグメンテーションを使用して横方向の動きを可能な限り制限し、攻撃者がネットワークを通過して追加のシステムやデータにアクセスするのがはるかに困難になるようにする必要があります。

回復

インシデント対応計画とは別に、復旧作業を支援するための最も重要な計画は、ビジネスの回復力計画です。ビジネスはどのように機能し続けますか？強力な回復力計画は、コアビジネスシステムの機能を復元するのに役立ちます。

組織の一般的な攻撃ベクトルには、サプライチェーンのサードパーティベンダーが含まれます。では、ベンダーが提示するリスクをどのように特定して削減できるでしょうか。まず、次の重要な質問に答えます。

• あなたのベンダーは誰ですか？
• 各ベンダーは組織にどのようなサービスを提供していますか？

実際にベンダーを特定するのは簡単な作業ではありません。ネットワークやデータにアクセスできるベンダーがいて、それについて知らない可能性はありますか？絶対。現実には、クラウドベースのソリューションに直接アクセスする機能があり、クレジットカードと数回のマウスクリックだけで、データにアクセスできるベンダーができました。彼らが誰であるかわからない場合、組織に対する彼らのリスクを評価することは不可能です。彼らがしていることに関しては、あなたのサプライチェーンのベンダーはあらゆる種類のサービスを実行することができます。一部の企業は、アクセスできるデータまたは内部システムに基づいて、本質的に企業に高いリスクをもたらします。

これらの質問に答えることは、これらのベンダーに対して適切な評価活動を実行するための優れた出発点です。目標は、ベンダーが提供しているサービスに基づいてシステムまたはデータを保護するための適切な制御をベンダーが実施できるように、十分な快適さを確保することです。 SOCやISOなどの認証のレビュー、SIGなどの評価アンケート、侵入テストの結果など、活用できる多くの評価戦略があります。アプローチ方法に関係なく、ベンダーがこれらの管理を実施していることを検証することで、リスクを軽減できます。攻撃が発生した場合に組織が影響を受けます。

システムがより接続され複雑になるにつれて、攻撃者は依然として防御を介して何らかの方法を見つける可能性があります。ただし、ランサムウェア攻撃に備えることで、組織への影響と停止を大幅に減らすことができます。綿密な防御戦略と、適切な封じ込めおよび回復力の計画があれば、組織のサイバー強度は上昇するだけです。

Gary Brickhouseは、GuidePointSecurityの最高情報セキュリティ責任者です。

ランサムウェアは、病院のネットワーク、地方自治体、およびより広範なサプライチェーンに影響を与える攻撃の数が増加していることから、サイバーセキュリティ業界の多くの人々にとって最重要事項となっています。企業に対するランサムウェア攻撃は、通常、一定期間データとシステムへのアクセスを失い、収益と復旧作業に費やされたお金の損失による経済的影響をもたらします。ランサムウェア攻撃がサプライチェーンの一部である企業に向けられた場合、1つのサービスプロバイダーだけが数百または数千の企業に直接影響を与える可能性があるため、はるかに広い影響を与える可能性があります。

ランサムウェアの脅威に対する組織の準備状況を理解することは不可欠であり、サプライチェーンのベンダーが準備状況にどのように影響するかを知ることは、全体的な戦略の重要な部分です。

すべての防御がカバーされ、ランサムウェア攻撃の影響を防止または軽減するためにできることをすべて実行したことを確認しようとすると、圧倒される可能性があります。強力な戦略は、アーキテクチャ、エンドポイント、ユーザーなどを網羅する、広範囲にわたる多層化されたものです。

では、どこから始めればよいのでしょうか。構造化された論理的なアプローチは、組織のランサムウェアの準備状況を理解するための秩序をもたらすのに役立ちます。これを支援するために、予防、封じ込め、回復という3つの主要なカテゴリを見てみましょう。

予防

私たちの主な目的は、ランサムウェアを環境から遠ざけ、最初から侵入しないようにすることです。この防御的な姿勢から、境界制御からエンドユーザーに至るまでインフラストラクチャを確認する必要があります。このトピックについて詳しく説明することもできますが、ランサムウェアが最も一般的に導入されているギャップに注目します。

• リモートデスクトッププロトコル（RDP）。 新しいテクノロジーや新しい攻撃ベクトルではありませんが、RDPは、脆弱性、構成の誤り、またはブルートフォース攻撃の影響を受けやすいため、通常のターゲットとなっています。最近のリモートワークフォースの増加とそれに対応するRDP使用量の増加により、攻撃者は新しいターゲットを使ってフィールドデーを過ごしています。ここでの防止活動には、開いているポートの数の制限、強力な認証制御（多要素認証を含む）、および強固な脆弱性管理プログラムが含まれます。
• フィッシング。 フィッシングメールは、セキュリティコントロールの多くをバイパスして、悪意のあるコンテンツを最も弱いセキュリティリンクであるエンドユーザーに直接配信できるため、特に危険です。フィッシングメールは通常、ユーザーの資格情報を取得しようとしたり、悪意のある添付ファイルやリンクを含めたりして、最終的に攻撃者に環境への直接パスを提供します。ここでの予防活動には、電子メールセキュリティソリューションの使用、エンドユーザー向けのセキュリティと認識のトレーニング、エンドポイントの検出と応答のソリューションが含まれます。

最終的に、推奨される予防技術は新しいものではありません。これらは、情報セキュリティコミュニティが以前から議論してきたものと同じ重要な原則です。インターネットからアクセスできるものを制限し、脆弱性スキャン、パッチを適用し、強力な認証制御を行います。

封じ込め

したがって、最善の努力にもかかわらず、ランサムウェアは環境に侵入します。どうすれば拡散を止めることができますか？建物内での火災について考えてみましょう。封じ込め戦略は、ファイアウォールや難燃性材料などを使用して実際の火災の前に行われます。ランサムウェアなどの攻撃についても同じです。 2つの主要な封じ込め戦略は次のとおりです。

• 特権アカウントの使用。 攻撃者は、システムやデータへの高レベルのアクセスと、悪意のあるコードを実行するために必要な権限を提供するため、特権アカウントを標的にするのが大好きです。パスワードの再利用、クリアテキストで保存されたサービスアカウントのパスワード、簡単に推測できるパスワードなどはすべて、アカウントの侵害に寄与する一般的な問題です。

特権アカウント管理への全体的なアプローチがここでの鍵です。これには、あなたが持っている特権アカウントと、それらがアクセスできるものを理解することが含まれます。それらがどのように使用されるか（例：ドメイン管理者とサービスアカウント）;そして、それらのアカウントへのアクセスと管理の方法（特権アカウント管理ソリューションの使用など）。

• ネットワークセグメンテーション。 フラットネットワークは、攻撃者にとって夢のシナリオです。クレデンシャルを取得すると、組織のネットワーク全体を自由に移動でき、システムやデータに自由にアクセスできます。少なくとも、セグメンテーションを使用して横方向の動きを可能な限り制限し、攻撃者がネットワークを通過して追加のシステムやデータにアクセスするのがはるかに困難になるようにする必要があります。

回復

インシデント対応計画とは別に、復旧作業を支援するための最も重要な計画は、ビジネスの回復力計画です。ビジネスはどのように機能し続けますか？強力な回復力計画は、コアビジネスシステムの機能を復元するのに役立ちます。

組織の一般的な攻撃ベクトルには、サプライチェーンのサードパーティベンダーが含まれます。では、ベンダーが提示するリスクをどのように特定して削減できるでしょうか。まず、次の重要な質問に答えます。

• あなたのベンダーは誰ですか？
• 各ベンダーは組織にどのようなサービスを提供していますか？

実際にベンダーを特定するのは簡単な作業ではありません。ネットワークやデータにアクセスできるベンダーがいて、それについて知らない可能性はありますか？絶対。現実には、クラウドベースのソリューションに直接アクセスする機能があり、クレジットカードと数回のマウスクリックだけで、データにアクセスできるベンダーができました。彼らが誰であるかわからない場合、組織に対する彼らのリスクを評価することは不可能です。彼らがしていることに関しては、あなたのサプライチェーンのベンダーはあらゆる種類のサービスを実行することができます。一部の企業は、アクセスできるデータまたは内部システムに基づいて、本質的に企業に高いリスクをもたらします。

これらの質問に答えることは、これらのベンダーに対して適切な評価活動を実行するための優れた出発点です。目標は、ベンダーが提供しているサービスに基づいてシステムまたはデータを保護するための適切な制御をベンダーが実施できるように、十分な快適さを確保することです。 SOCやISOなどの認証のレビュー、SIGなどの評価アンケート、侵入テストの結果など、活用できる多くの評価戦略があります。アプローチ方法に関係なく、ベンダーがこれらの管理を実施していることを検証することで、リスクを軽減できます。攻撃が発生した場合に組織が影響を受けます。

システムがより接続され複雑になるにつれて、攻撃者は依然として防御を介して何らかの方法を見つける可能性があります。ただし、ランサムウェア攻撃に備えることで、組織への影響と停止を大幅に減らすことができます。綿密な防御戦略と、適切な封じ込めおよび回復力の計画があれば、組織のサイバー強度は上昇するだけです。

Gary Brickhouseは、GuidePointSecurityの最高情報セキュリティ責任者です。