目次:
ランサムウェアは、最も破壊的なマルウェアの亜種の1つであることがわかっています。 間違ったリンクをクリックして、組織のデータを暗号化された意味不明なものに変えたり、サーバーのオペレーティングシステム(OS)やその他の重要なファイルを1日で消滅させたりすることについて話しています。 あなたは身代金を支払うことができますが、それは高価であるだけでなく、悪者があなたのデータを返してくれるという保証もありません。
ランサムウェア攻撃を回避する方法
最初のステップは、エンドポイント検出および応答ソフトウェア開発者Cybereasonの最高情報セキュリティ責任者(CISO)であるIsrael Barakが「ITおよびセキュリティ衛生」と呼ぶものです。 これは、脆弱性を回避し、電子メールとWebトラフィックをフィルタリングすることを意味します。 また、ユーザートレーニングを提供し、OS、アプリケーション、およびセキュリティ製品のパッチが完全に最新であることを確認することも意味します。
2番目のステップは、ビジネスの継続性と回復の戦略を立てることです。 これは、物事がうまくいかないことを望んでいるのではなく、物事がうまくいかないときに実際に計画を立てることを意味します。 Barak氏によると、これにはバックアップの実施とテスト、影響を受けるサービスの復旧方法の把握、復旧用のコンピューティングリソースの入手先の把握、実際にテストを行ったために完全な復旧計画が機能することの把握が含まれます。
3番目のステップは、マルウェア対策保護を設定することです。 Barak氏によると、これには、ネットワークに侵入するマルウェアに対する保護と、システム上で実行されるマルウェアに対する保護が含まれます。 幸いなことに、マルウェアの作者は成功したルーチンを頻繁に共有するため、ほとんどのマルウェアを見つけるのはかなり簡単です。
ランサムウェアが異なる理由
残念ながら、ランサムウェアは他のマルウェアとは異なります。 ランサムウェアはコンピューター上に一時的にしか存在しないため、暗号化が完了してランサムウェアメッセージを送信する前に検出を回避することは難しくありません。 さらに、他の種類のマルウェアとは異なり、ファイルの暗号化を実際に実行するマルウェアは、暗号化が開始される少し前に被害者のコンピューターに届く可能性があります。
比較的最近の2種類のマルウェア、RyukとSamSamは、人間のオペレーターの指導の下でシステムに侵入します。 リュークの場合、そのオペレーターは恐らく北朝鮮にあり、イランのサムサムと一緒です。 いずれの場合も、攻撃はシステムへの侵入を許可する資格情報を見つけることから始まります。 オペレーターは、システムのコンテンツを調べ、暗号化するファイルを決定し、権限を昇格させ、マルウェア対策ソフトウェアとバックアップへのリンクを探して非アクティブ化し、暗号化するか、場合によってはバックアップを非アクティブ化します。 次に、おそらく数か月の準備の後、暗号化マルウェアがロードされて起動されます。 それは数分で仕事を終えるかもしれません-人間のオペレーターが介入するには速すぎます。
「サムサムでは、従来のフィッシングを使用しませんでした」と、サイバーセキュリティソリューション開発者のコモドサイバーセキュリティ担当副社長兼元ホワイトハウスCIOのカルロス・ソラーリは説明しました。 「彼らはWebサイトを使用し、人々の資格情報を盗み、ブルートフォースを使用してパスワードを取得しました。」
ソラリ氏によると、マルウェアは最後まで関与していないため、これらの侵入は頻繁に検出されません。 しかし、彼は適切に行われ、この時点で攻撃を止める方法があると言いました。 通常、犯罪者はネットワークのディレクトリサービスを追跡し、攻撃のステージングに必要な管理レベルの権限を取得できるように攻撃します。 この時点で、侵入検知システム(IDS)が変更を検出し、ネットワークオペレータが何を探すべきかを知っている場合、システムをロックダウンして侵入者を追い出すことができます。
「彼らが注意を払っていれば、彼らは誰かが内側にいることに気付くでしょう」とソラーリは言った。 「内部および外部の脅威インテリジェンスを見つけることが重要です。システムの異常を探しています。」
自分を守る方法
中小企業の場合、Solariは、企業がサービスとしてManaged Detection and Response(MDR)セキュリティオペレーションセンター(SOC)を見つけることを提案します。 彼は、大企業がマネージドセキュリティサービスプロバイダー(MSSP)を見つけたいかもしれないと付け加えました。 どちらのソリューションでも、主要なランサムウェア攻撃の前のステージングなど、セキュリティイベントを監視することができます。
ネットワークを監視することに加えて、犯罪者ができるだけ住みにくいようにネットワークを構築することも重要です。 Malwarebyte LabsのディレクターであるAdam Kujawa氏によると、重要なステップの1つは、ネットワークをセグメント化して、侵入者が単にネットワークを移動してすべてにアクセスできないようにすることです。 「すべてのデータを同じ場所に保管しないでください」とKujawa氏は言います。 「より深いレベルのセキュリティが必要です。」
しかし、ランサムウェア攻撃の前に侵入段階を検出しなかったことが判明した場合、別のレイヤーまたは応答があります。これは、ファイルの暗号化を開始するときのマルウェアの動作検出です。
「追加したのは、ランサムウェアに典型的な動作に依存する動作メカニズムです」とBarak氏は説明します。 このようなソフトウェアは、ファイルの暗号化やバックアップの消去など、ランサムウェアが何をしているのかを監視し、その後、損害を与える前にプロセスを強制終了するアクションを実行すると述べました。 「これまで見られなかったランサムウェアの株に対して、より効果的です。」
早期警告と保護
早期警告の形式を提供するために、BarakはCybereasonが別の一歩を踏み出すと言いました。 「私たちがやったことは、例外メカニズムを使用することです」と彼は言いました。 「Cybereasonソフトウェアはエンドポイントで実行されると、ランサムウェアが最初にそれらを暗号化しようとするハードドライブ上のフォルダーに配置される一連のベースファイルを作成します。」 彼は、これらのファイルへの変更はすぐに検出され、
その後、MalwarebytesのCybereasonのソフトウェアまたは同様のソフトウェアがプロセスを終了し、多くの場合、マルウェアをコンテナー化し、それ以上の損害を与えないようにします。
そのため、ランサムウェア攻撃を防ぐことができるいくつかの防御層があり、それらすべてが機能的で適切な場所にある場合、成功する攻撃は発生するために一連の失敗に従う必要があります。 そして、あなたはチェーンに沿ってどこでもそれらの攻撃を止めることができます。
身代金を支払う必要がありますか?
しかし、身代金を支払い、すぐに操作を復元することにしたと仮定しますか? 「一部の組織にとっては、実行可能なオプションです」とバラク氏は言います。
業務中断のコストを評価して、運用に戻るコストが復元コストよりも優れているかどうかを判断する必要があります。 Barakは、ビジネスランサムウェア攻撃については、「ほとんどの場合、ファイルを取り戻す」と述べています。
しかし、バラクは、身代金を支払うことが可能であれば、他の考慮事項があると言いました。 「サービスを取り戻すためのコストを交渉するメカニズムを持つために、事前にどのように準備しますか?どのように支払いますか?そのタイプの支払いを仲介するメカニズムをどのように作りますか?」
Barakによると、ほぼすべてのランサムウェア攻撃には攻撃者との通信手段が含まれており、ほとんどの企業は、ランサムウェア攻撃者が通常開いている取引を交渉しようとします。 たとえば、暗号化されたマシンの一部のみを必要とし、それらのマシンの返却について交渉するだけでよいと判断する場合があります。
- 2019年の最高のランサムウェア保護2019年の最高のランサムウェア保護
- SamSamランサムウェアハッカーのレーキ$ 5.9ミリオンSamSamランサムウェアハッカーのレーキ$ 5.9ミリオン
- 2サムサムランサムウェア攻撃の背後にあるイラン人、米国の主張2サムサムランサムウェア攻撃の背後にあるイラン人、米国の主張
「計画は事前に実施する必要があります。どのように対応し、誰が通信し、身代金をどのように支払うのですか?」 バラクは言った。
支払いは実行可能なオプションですが、ほとんどの組織にとっては、最終的な選択肢であり、すぐに対応できる選択肢ではありません。 そのシナリオでは制御できない多くの変数があります。また、一度支払っただけで、将来より多くの現金を求められないことを保証することはできません。 より良い計画は、ほとんどのマルウェア攻撃をそらし、成功する数少ないマルウェアを打ち負かすのに十分に困難な堅固な防御を使用することです。 しかし、あなたが決めるものは何でも、事実上すべての解決策はあなたが宗教的にバックアップすることを必要とすることを覚えておいてください。 すぐに実行し、頻繁に実行し、頻繁にテストして、ピンチでスムーズに動作することを確認します。
