脅威アクターの先を行くのはいたちごっこであり、多くの場合、攻撃者が優位に立っています。 2023 年、LockBit は世界中で最も多く導入されたランサムウェアの亜種でした。そしてその前年、LockBit は、データ漏洩サイトでの被害者数という点で、最も活発な世界的なランサムウェア グループおよび RaaS プロバイダーであることが知られていました。
ランサムウェアが増加し、進化し続けるにつれて、新しい種類も開発されています。最新の ロールシャッハという名前のランサムウェア株がその証拠です。これは、今日のランサムウェア市場で最も急速に発生するものの 1 つです。
で Check Point による 6 コア マシン上の 22,000 個のファイルのテストでは、すべてのファイルが 4.5 分以内に部分的に暗号化されました。これまで最速のランサムウェアの 1 つとみなされていた LockBit の場合は 7 分でしたが、ロールシャッハはすぐにシステムを侵害しました。
ファイルが部分的に暗号化されているのはなぜですか?断続的暗号化と呼ばれる新しい暗号化スキームは、ファイルの一部のみを暗号化し、読み取り不能にします。
ファイルの暗号化に必要な時間を大幅に短縮することで、セキュリティ ソフトウェアと担当者が攻撃を防ぐ時間を制限できます。結果は同じで、被害者はファイルにアクセスできなくなります。
暗号化速度は、ユーザーまたは IT 組織がセキュリティ侵害に対応するまでの時間を短縮するため、非常に重要です。これにより、攻撃が成功する可能性が高まります。
たとえば、ロールシャッハ ランサムウェアは、攻撃が最初に 1 台のマシンだけをターゲットにしていたとしても、成功すると、ドメイン内のすべてのマシンにランサムウェアを展開するグループ ポリシーを作成できます。
そこで問題となるのは、増え続ける脅威から防御するためのベスト プラクティスは何でしょうか?以下は、ロールシャッハのような攻撃からあなた自身とあなたの組織を守るための 6 つの重要な手順です。
サイバー犯罪から組織を守る
1. アクセス制御
組織を保護するための最初のステップの 1 つは、各ユーザーが必要なレベルのアクセスのみを行えるようにすることです。 RBAC (役割ベースのアクセス制御) や ABAC (属性ベースのアクセス制御) などの戦略を実装すると、ユーザーや侵害されたアカウントがその範囲外のデータにアクセスできないことが保証されます。
適切な制御を導入すると、アカウントが許可された権限を超えてアクションを実行したときを監査でき、高速なオンボーディングとオフボーディングによりセキュリティ イベントに迅速に対応できます。
2. パスワードポリシー
基礎となるアカウントは適切なパスワード ポリシーです。これには、次のような業界標準への準拠が含まれる場合があります。 NIST 800-63B 、または以前に侵害されたアカウントのパスワードを確認します。
業界標準と侵害されたパスワード保護に準拠するのは困難ですが、侵害されたパスワード保護を備えたSpecops Password Policyなどのソフトウェアは、そのプロセスを容易にするのに大いに役立ちます。
ユーザーがパスワードを変更する際にポリシーに準拠し、以前に侵害されたパスワードを使用しないようにすることで、組織が確実に保護されます。
3. 多要素認証 (MFA)
アカウントの侵害が発生する可能性がありますが、2 要素 (2FA) または多要素認証を重ねることで、このリスクを軽減できます。強力なパスワードと第 2 レベルの認証を組み合わせることで、アカウントを侵害した攻撃者が盗んだパスワードを使用できなくなる可能性があります。
MFA (多要素認証) は、パスワードが盗まれた場合でもアカウントのセキュリティを強化するため、特権アカウントにとって特に重要です。
データ侵害が一般的であるため、時間ベースのワンタイム (TOTP) 番号や指紋などの生体認証要素など、複数の方法を使用すると、攻撃者の仕事がはるかに困難になります。
4. ゼロトラストアーキテクチャ
業界における最近のセキュリティ戦略の 1 つは、ゼロトラスト アーキテクチャへの移行です。暗黙的な信頼の代わりに、すべての接続とアクションが承認および認証される必要があります。
ゼロトラストでは、ネットワーク内のすべてのものに暗黙的に含まれるデフォルトの信頼を削除することで、アカウントが侵害された場合でも、それ以降のアクセスをほぼ即座に無効にすることができます。
5. 侵入テスト
適切な予防策がすべて講じられているにもかかわらず、本当にプロアクティブに行動し、セキュリティが不足している可能性のある状況を発見するには、侵入テストを実行することが重要です。インフラストラクチャの侵害と攻撃を積極的に試みることで、脅威アクターが攻撃する前にセキュリティの脆弱性を迅速に発見できます。
6. データのバックアップ
最後に、ランサムウェア攻撃の場合でも、インフラストラクチャ全体をカバーする適切な包括的なデータ バックアップを作成することが重要です。これにより、最悪の事態が発生した場合でもインフラストラクチャを迅速に復旧し、サービスと機能を確実に復元できるようになります。
迅速に回復することで、ランサムウェア攻撃が成功した場合の影響を軽減し、何が侵害された可能性があるかを知ることができます。
組織を保護する
これまでの 6 つの手順は確実なセキュリティを保証するものではありませんが、ロールシャッハのようなますます巧妙化する脅威から保護することはできます。このランサムウェアは暗号化を高速化するために独自のコードを使用していますが、将来的には多くの機能強化が行われる可能性があります。
これらの攻撃者は、以前に侵害されたパスワードなど、簡単に実行できる成果をターゲットにすることが多いため、より強力なパスワード ポリシーを適用してそのような攻撃を防ぐと、攻撃者は別の場所に目を向けざるを得なくなる可能性があります。
無料ダウンロードを実行して、Active Directory をスキャンして、 9 億 4,000 万を超える侵害されたパスワードを検出することもできます。ユーザーがすでに盗まれた認証情報を使用していないことを確認してください。
プロアクティブなセキュリティを優先し、最前線の防御を保護するためのセキュリティ対策を実装することで、組織はあらゆる脆弱性を悪用しようとする攻撃者に先んじて対処することができます。
Specops Softwareが後援および執筆
Comments