/
ランサムウェアの封じ込め

ランサムウェアに対抗するにはファイアウォールだけでは不十分な理由

 

少し前まで、ネットワーク管理者とセキュリティ専門家は、セキュリティ侵害を封じ込めるために物理ファイアウォールまたは仮想ファイアウォールのみに依存していました。しかし、ネットワークの普及、クラウドの台頭、ランサムウェアやその他の攻撃の爆発的な増加により、組織は新しいアプローチを必要としています。

企業が今日必要としているのは、費用対効果が高く管理が容易な実施方法です マイクロセグメンテーション。言い換えれば、組織のIT環境全体にランサムウェアを拡散させないように、侵害されたマシン、ネットワーク、アプリケーションを隔離する方法が必要です。

ホストベースのセグメンテーションは、使いやすさ、拡張性、および手頃な価格の可能性により、今後の方向性を示します。その理由は次のとおりです。

セグメンテーションの 3 つのオプション

セグメンテーションは大きく分けて次の 3 つのカテゴリに分類されます。

  1. ネットワーク経由のセグメンテーション
  2. ファイアウォールによるセグメンテーション
  3. ホストベースのセグメンテーション

これまで、ネットワーク管理者はデータの保護をネットワークアーキテクチャに依存していました。ネットワーク内のアプリケーションとワークロードを分離して、データを共有しないようにしていました。この方法では、侵害されたマシンが別のネットワーク上のマシンやワークロードに干渉することはありませんでした。仮想ネットワークと仮想 LAN は、物理ネットワークと同様にこの機能を果たしました。

たとえば、管理者は財務システムを1つの仮想ネットワークに配置し、人事システムを別のネットワークに配置して、相互に通信できないようにすることができます。

このアプローチは線路に似ていると考えることができます。データはネットワークが通る場所にしか行きません。この方法は効果的ですが、ワークロードによるデータ共有が困難になるため、環境にあまり柔軟性が与えられません。

仮想ネットワークを接続することが、ファイアウォールの出番です。ここでは、管理者がどのポートを開いたままにする必要があるか、どの情報を他の資産に渡す必要があるか、新しい脅威に対応してどのルールを変更する必要があるかを把握する必要があるため、すぐに複雑になります。

それでも、ファイアウォールによるセグメンテーションのアプローチは、大規模組織の主要なセグメンテーション方法として残っています。これを利用するには、管理者はグループを作成し、「許可」リストと「拒否」リストの両方のルールを定義して、それらのグループ間の通信を制御します。ルールは、物理的、仮想的、または分散型のハイパーバイザーファイアウォールを通じて適用できます。

ファイアウォールはパスポートコントロールのように機能します。ユーザー、マシン、ネットワークを特定したら、そのユーザーや組織が何をしたいかに応じて、それらを通過させたりブロックしたりします。

組織は通常、時間の経過とともに多額のファイアウォール投資を積み上げてきて、新しい攻撃への対応に活用したいと考えているため、ファイアウォールアプローチは依然として一般的です。彼らのチームもその管理方法を知っており、自社のITポートフォリオにこれ以上製品やコストを追加したくありません。

しかし、今日のIT環境と脅威環境の性質は、従来のファイアウォールのセグメンテーション機能を上回っています。だからこそ、企業は今、ホストベースのセグメンテーションのスケール、スピード、パフォーマンスを必要としているのです。

ホストベースのセグメンテーションでは、管理者はワークロードごとに簡単なラベルを作成し、ラベルの組み合わせ間の通信ルールを作成します。このアプローチは、単独のファイアウォールよりも費用対効果が高く、セキュリティも強化されます。これは、ファイアウォールには多くの制限があるためです。

ファイアウォールの問題

ファイアウォールにはいくつかの重大な制限があります。

  • 可視性の欠如
  • より遅いスピード
  • アプリケーションリングフェンシングを実装できない
  • 複雑さ
  • 細分性の欠如
  • 費用
  • ランサムウェアに対する脆弱性

ワークロードとそれに対応する脅威が拡大する時代において、ファイアウォールの実装が遅いことは非常に重要です。

大規模なファイアウォールは、1,000 以上のルールのリストに依存する場合があります。そのうちの 1 つを変更する場合は、その変更がリストの下にあるルールに影響しないようにする必要があります。そして、変更したルールをテストすることはできません。ただ展開して、何かが破られないことを願うだけです。そのすべてには時間がかかります。脆弱性が拡散し、ランサムウェアが拡散するまでの時間。

複雑さと時間がかかることを考えると、それも不思議ではありません 見積り ファイアウォールの設定ミスによるファイアウォール違反の数は 99% とされています。

対照的に、ホストベースのセグメンテーションは時間が大幅に短縮され、ルールを書き換えるプロセスの複雑さが軽減されます。そのためには可視性が欠かせません。

ホストベースのセグメンテーションの仕組み

ワークロードベースのセグメンテーションは、ランサムウェア攻撃時にルールリストを急いで書き換える必要がなく、プロアクティブな機能とリアクティブな機能の両方を提供して、チームが脅威を把握できるようにします。

ホストベースのセグメンテーションにより、セキュリティチームとITチームはすべてのコミュニケーションフローを確認してリスクを特定できます。

Illumioは、ネットワーク、マシン、ワークロード間の接続のアプリケーション依存関係マップを提供します。ユーザーはマップ内のリンクをクリックするだけでテストでき、すぐに環境全体にルールを適用できます。

そこから、組織はマルウェアや攻撃者の水平移動を制限するために、不要なアクセスルートやリスクの高いポートを迅速かつ簡単にブロックしたり、トラフィックをセグメント化するためのその他の積極的な措置を講じたりすることができます。

他の方法がすべて失敗すると、セグメンテーションは大きな赤い緊急ボタンのように機能します。これを押すと、ランサムウェアが脆弱なワークロードに広がるのを即座に阻止できます。

イルミオによるマイクロセグメンテーション

クラウドは従来のファイアウォールにさらなる課題をもたらします。サービスをクラウドに移動すると、インターネットゲートウェイもクラウドに移行するため、所有者はもう所有しなくなります。そして、セグメンテーションを行っていたファイアウォールもそれに追随するので、とにかくその機能については別のソリューションを考え出す必要があります。イルミオはそのソリューションになることができます。

Illumioは既存のホストベースのファイアウォールと連携して、クラウド、オンプレミス、ハイブリッド構成を問わず、IT環境全体をリアルタイムで可視化し、保護します。また、拡張性も備えているため、サーバーが 2 台あっても 200,000 台あっても同じように機能します。

もちろん、複雑な環境はすぐに視覚化するのが難しくなります。スパゲッティの入った大きなボウルのようなものの中で何が起こっているのかを理解するのは困難です。Illumio がビジュアライゼーションをわかりやすいマップに分割しているのはそのためです。たとえば、アセットを地理やクラウドサービスごとに表示できます。

米国内のデータがどうなっているか知りたいですか?ヨーロッパでは何が起きているのか?それともAWS、アズール、グーグルで?オーストラリアのサーバーとドイツの水槽のサーモスタットとの不審な通信はどうでしょう?

Illumio では、ワークロード内の実際のプロセスから情報を取得できるため、すべてを簡単に視覚化できます。そこから、外部のファイアウォールではなく、ワークロード自体を使用してセグメンテーションを行うことができるため、現在の脅威がどこで発生しても対応するために必要なスピード、柔軟性、応答性が得られます。

ファイアウォールのコスト計算とホストベースのセグメンテーションの比較

ファイアウォールのコストはあっという間に膨れ上がります。ファイアウォールの価格は、次のような要因によって規模によって異なります。

  • スループット — つまり、アドレス指定するイーサネットインターフェースの合計です。
  • 仮想ファイアウォールの実行にはプロセッサコアが必要です。通常、サーバーのリソースの約 25% を消費します。
  • ソケット数 — サーバーがサポートできるワークロードの数を決定します。

スループットが高いほど、必要なコア数が増えます。つまり、より多くのソケットとより高価なサーバーが必要になります。このようなコストはあっという間に積み重なってしまいます。

これらの総所有コストの計算には、製品のコスト、通常1週間に必要な変更の数、変更を実装する人件費などの要素が含まれます。

セグメンテーションの未来

Illumioは複雑なレイヤーを抽象化することで、管理者がネットワークの設定方法を気にすることなく、プロアクティブに、または脅威に直接対応して資産を可能な限り簡単にセグメント化できるようにします。

これが今日のIT環境に必要なことです。と同じように ネットワークセグメンテーション それ自体がファイアウォールに取って代わられたワークロードベースのセグメンテーションは、これまでのものをさらに発展させるために必要な次の技術的ステップです。

クラウドワークロードと拡大する脅威の時代において、今必要なのは、ワークロードに基づく可視性とセグメンテーションです。すべては、以下を提供することです。 ゼロトラスト 今日の企業にとって不可欠なセキュリティへのアプローチ。

また、ワークロードに基づくマイクロセグメンテーションにより、IT プロフェッショナルはファイアウォールルールを手間をかけて書き直すよりも生産的な作業から解放されます。そして、企業が追いつくために猛烈なスピードでデジタルトランスフォーメーションを進めなければならない厳しい労働市場において、企業は決定的な競争上の優位性を得ることができます。

の詳細はこちら マイクロセグメンテーションのメリット または 当社の専門家にご相談ください ランサムウェアやその他のサイバー攻撃から組織を保護するのにどのように役立つかについて説明します。

関連トピック

関連記事

ゼロトラストセグメンテーションでランサムウェアを発生源から封じ込める
ランサムウェアの封じ込め

ゼロトラストセグメンテーションでランサムウェアを発生源から封じ込める

ランサムウェアの脅威がなぜそれほど深刻なのか、そしてゼロトラストセグメンテーションでランサムウェアを封じ込める方法を学びましょう。

イルミオの新しいランサムウェア保護ダッシュボードでランサムウェアリスクを軽減する3つのステップ
ランサムウェアの封じ込め

イルミオの新しいランサムウェア保護ダッシュボードでランサムウェアリスクを軽減する3つのステップ

イルミオのランサムウェア保護ダッシュボードと改善されたユーザーインターフェイス (UI) がどのようにランサムウェアのリスクを明確に把握できるかをご覧ください。

.Net アセンブリを使ったランサムウェア手法の解明:5 つの主なテクニック
ランサムウェアの封じ込め

.Net アセンブリを使ったランサムウェア手法の解明:5 つの主なテクニック

Learn about 5 ransomware techniques using the .Net software framework.

ランサムウェア対策にイルミオを使う9つの理由
ランサムウェアの封じ込め

ランサムウェア対策にイルミオを使う9つの理由

Illumioのリアルタイムの可視性とシンプルな制御により、未使用のRDPポートやSMBポートなど、ランサムウェアの最大のリスク源を迅速に減らす方法

ランサムウェアの拡散を阻止する 3 つのステップ
ランサムウェアの封じ込め

ランサムウェアの拡散を阻止する 3 つのステップ

Discover the steps to stop ransomware from spreading by limiting connections, expanding visibility, and improving response time.

IllumioでClopランサムウェアバリアントを阻止する方法
ランサムウェアの封じ込め

IllumioでClopランサムウェアバリアントを阻止する方法

ランサムウェアを取り巻く環境は、複雑で不安定な領域です。バリアントは現れたり消えたり、開発者はお互いに借りたり盗んだりし、アフィリエイトは独自のカスタマイズを追加します。

Assume Breach.
影響を最小限に抑えます。
レジリエンスを高めます。

Ready to learn more about Zero Trust Segmentation?