この記事は、CatoクラウドのセキュリティスタックにおけるIPSセキュリティサービスが、ネットワーク内のリソースを悪意を持って暗号化しようとするランサムウェアの試みからどのようにネットワークを保護するかを説明しています。
WANトラフィックをブロックするためにIPSを有効にすると、ランサムウェアが横方向に移動してWAN上に拡散する試みから保護するのに役立ちます。
ランサムウェアは引き続き組織にとって最も危険な脅威の1つであり、これらの攻撃は被害者のデータをロックし、暗号化することができます。 その後、データをアンロックし、デクリプトするための支払い要求が行われます。 Catoはセキュリティスタックエンジンを活用して、可能な限り速やかに攻撃チェーンを遮断します。
-
侵入防御システム (IPS) – Catoの侵入防御システム (IPS)には、多数の脅威インテリジェンスソースからのデータが含まれており、潜在的なランサムウェアをブロックできます:
-
さまざまな脅威(マルウェアC&C、ランサムウェア、フィッシングなど)に関連する可能性がある疑わしいウェブサイトへのアクセス
-
ランサムウェアを広げようとする疑わしい悪意のあるホスト
-
ランサムウェアのために利用される脅威アクターによるWAN上の横方向トラフィック
-
-
インターネットファイアウォール – ユーザーがランサムウェアを含む可能性のある悪意のあるペイロードを誤ってダウンロードする可能性のある悪意のあるウェブサイト(マルウェアカテゴリーなど)へのアクセスから保護します。
-
マルウェア対策および次世代アンチマルウェア – 追加の保護層を提供し、Cato ZTNA(ゼロトラストネットワークアクセス)に貢献します。 これらのエンジンは、悪意のあるダウンロード試行を防止し、ユーザーのデバイスで実行される前に関連するランサムウェアをブロックします。
注意
注意: これらのCato保護は、アクションがブロックに設定されている場合に機能します。
Catoセキュリティチームは、ランサムウェア攻撃に関連するSMBトラフィックを検出するために、継続的にトラフィックアルゴリズムとヒューリスティックを開発および更新しています。 これらは、既知のランサムウェアキャンペーンに関するさまざまなプライベートおよびオープンソースの脅威インテリジェンスフィードからのマルウェアデータで補完されています。
Catoは以下の技術を使用して、WAN上で拡散しようとするマルウェア攻撃をブロックします:
-
ランサムウェアに感染し、その後他のホスト(WAN内)へランサムウェアを拡散しようとする単一ホストからのトラフィックをブロックする
-
信頼性が低く、潜在的にランサムウェアである可能性があるファイル拡張子を持つトラフィックをブロックする
さらに、侵入防止システム(IPS)がランサムウェア攻撃を特定すると、感染したホストからのTCPポート445のすべてのトラフィックをブロックします。 これにより、攻撃が他のネットワーク資産に感染し、影響を与えるのを防ぎます。
ブロックされた疑わしいランサムウェア攻撃のイベントをホーム > イベントで確認し、アカウント内のセキュリティイベントを見つけることができます。 これらの攻撃はIPSとファイアウォールによってブロックされており、それぞれ異なるイベントサブタイプがあります。 IPSイベントでは、脅威の種類をランサムウェアとして分類できます。
これは、侵入防止システム(IPS)によってブロックされた疑わしいランサムウェア攻撃のイベント例です:
このIPS保護のロジックはカウンターに基づいており、短時間(数時間)内のSMBアクティビティをカウントしてランサムウェア攻撃を特定します。 この期間中に、侵入防止システム(IPS)エンジンがホストをランサムウェアの可能な発信元と特定した場合、このホストからのすべてのSMB WANトラフィック(ポート445)をブロックします。
IPSがランサムウェア攻撃を特定する際、ランサムウェアとして特定された振る舞いパターンと一致するトラフィックに基づくことがあります。 イベントが偽陽性であり、実際には正当なトラフィックである可能性があります。
IPSがランサムウェア攻撃をブロックしたことを発見した場合、内部の資源の一部がすでにランサムウェアによって攻撃されている可能性が高いです。 CatoのIPS保護は、ランサムウェアがWAN上で広がるのを防ぎ、エンドポイントは関連サイトのLANでの被害を最小化します。
このリストには、ランサムウェア攻撃によって影響を受けた内部リソースの次の手順が示されています:
-
感染したホストをネットワークから隔離します(WANおよびインターネットファイアウォールで)。
-
ランサムウェア攻撃のターゲットとなった資産を特定します。
-
サイナー証明書の拇印コードを 40 文字で入力してください。チーム識別子を入力してください。。 例えば:
-
攻撃によって影響または損傷を受けたファイルを特定します。
-
マルウェアファミリーまたは作成者のアイデンティティを確認します。
-
すべての企業デバイスにエンドポイント保護ソフトウェアがインストールされており、この攻撃に責任があるマルウェアを特定できる署名で更新されていることを確認します。
-
0件のコメント
サインインしてコメントを残してください。