ランサムウェアからネットワークを保護するためのベストプラクティスを最新のSOPHOSのソリューションをご紹介しながら解説します。
出典ソフォスホワイトペーパー「ランサムウェアからネットワークを保護するためのベストプラクティス 2022年版」
この記事の目次
ネットワークのマイクロセグメント化
ネットワークのマイクロセグメント化により、脅威のラテラルムーブメントを制限できます。攻撃者はネットワークに侵入した後に、データセンターや IT 環境にアクセスし、盗んだログイン情報を使用して正規ユーザーになりすまします。より深くシステムに侵入することで、価値の高い情報にアクセスします。この攻撃に対してはマイクロセグメント化が有効です。マイクロセグメント化とは、細かくセグメントで分離することで非常にきめ細かなセキュア ゾーンを構築することです。仮想化されたサーバ機を一台ずつセグメンテーションを分離することで、各サーバが仮想的なファイアウォールを設けて自らを隔離したような状態になります。
また、ネットワークをマイクロセグメント化することで可視性を高め、セキュリティ脅威の影響を受ける恐れのあるセグメントの分離やアクセスなどの遮断といった対応が容易になります。
さらに、セグメンテーション ルールをアプリケーションにまで適用することで、攻撃領域を限定し、攻撃者により侵害されたアプリケーションから別のアプリケーションに水平移動するリスクを軽減できます。
SOPHOSの推奨サービス
- Sophos ZTNAを使用して、ネットワークアプリケーションへのアクセスをマイクロセグメント化します。
- Sophos FirewallとSophos Switchを使用して、内部ネットワークリソースをマイクロセグメント化します。
- Sophos SDREDを使用して、リモートデバイスやリモートロケーションをセグメント化し、安全に接続します。
リモートアクセスVPNをZTNAに置き換える
2022年8月末に公開された、情報処理推進機構 (IPA) から2022年上半期の「コンピュータウイルス・不正アクセスの届出事例」では、ランサムウェア等により身代金を要求するサイバー攻撃を受けた事例として、 VPN 装置等の脆弱性が原因である事例が多く報告されています。そしてその対策として。脆弱性の管理は基本的かつ重要な対策であり、徹底することで多くの被害を避けることができるが、組織内の多数の機器を迅速かつ見逃しなくアップデートすることは簡単ではないと報告されています。
SOPHOSからの提案は、潜在的な脆弱性を持つ古い VPN クライアントを削除することで、一般的な攻撃経路を排除し、Sophos ZTNA などの最新の ZTNA ソリューションにアップグレードするとで、ソフォスの次世代エンドポイント保護と統合され、ユーザーデバイス、ID、アプリやデータ、ネットワークを単一のコンソールや単一のベンダーから管理される単一エージェントで適切に保護することを推奨しています。
可能な限り強力な保護を実装する
ファイアウォール、エンドポイント、サーバー、モバイルデバイス、リモートアクセスに最高レベルの保護を実装する必要があります。
- 最新のゼロデイ脅威から保護するために、ファイアウォールに TLS 1.3 インスペクション、次世代 IPS、機械学習やサンドボックスを使用したストリーミング DPI があることを確認してください。Sophos Firewallには、これらのテクノロジーがすべて含まれており、それらを緊密に統合して強力な保護とパフォーマンスを提供しているため、ファイアウォールへの投資から最大限の価値を引き出すことができます。
- また、エンドポイントが、認証情報の盗難、エクスプロイト、ランサムウェアから守るための次世代の保護機能があることを確認します。ソフォスは、次世代エンドポイント保護ソリューションのトッププロバイダとして常に高い評価を受けています。エンドポイント、モバイルサービス、サーバー対応し、他のソフォス製品と同様に同じクラウド管理コンソールから管理することができます。
サイバー攻撃の攻撃対象領域を減らす
ファイアウォールのルールを見直し、VPN、NAT、ポート転送を介したあらゆるリモートアクセスや RDP システムアクセスを排除します。そして、すべてのトラフィックフローが適切に保護されていることを確認します。
Sophos Firewall は、優れた可視性、ダッシュボード、レポート、ルール管理機能により、これを容易に実現できます。
ファームウェアとソフトウェアを最新の状態に保つ
これは、ファイアウォール、リモートアクセスソフトウェア、クライアントなどのネットワークインフラストラクチャにとって特に重要ですが、以前に発見された脆弱性に対する重要なセキュリティパッチが含まれているため、すべてのシステムにとって同様に重要となります。
多要素認証(MFA)を使用する。
すべてのユーザーとデバイスが身元を確認することで常に信頼を獲得する必要があるゼロトラストモデルで、ネットワークが運用されていることを確認してください。また、強力なパスワード ポリシーを適用し、Windows Hello for Business などの認証ソリューションの採用を検討してください。
サイバー攻撃に即座に対応する
自動化テクノロジーと人間の専門知識を活用して、サイバーインシデント対応と修復を迅速化します。EDRやさらに進化したXDRで、ネットワークセキュリティインフラが、アクティブな攻撃に自動的に対応できるようにすることで、深刻な被害を引き起こす前に侵害されたホストが隔離できるようにします。
さらに、 Sophos MDR (Managed Detection and Response) サービスの導入により、組織のセキュリティ担当者に代わり専門チームが24時間365日無休で組織の情報システムを監視し、脅威への対処を行います。
さらに、Sophos Central Endpoint and Server製品の幅広い販売能力と高い技術的な製品知識を有していることをSophosが証明するSophos Central Endpoint and Server Partner認定企業です。