通常、ランサムウェア インシデントには、セキュリティ チームが識別できる個別の警告兆候が表示されます。 他のマルウェアの種類とは異なり、ランサムウェアは通常、インシデントを宣言する前に最小限の調査を必要とする非常に明らかなインジケーターを生成します。 これらの信頼度の高いトリガーは、エスカレーションの前に広範な分析を必要とする、より微妙な脅威とは対照的です。 ランサムウェアが攻撃したとき、証拠は多くの場合、明白です。
一般に、このような感染は、基本的なシステム動作、主要なシステムまたはユーザーファイルの欠如、身代金の要求から明らかです。 このような場合、アナリストは、攻撃を軽減するための自動化されたアクションを実行するなど、インシデントを直ちに宣言してエスカレートするかどうかを検討する必要があります。
ランサムウェア攻撃の検出
Microsoft Defender for Cloud は Extended Detection and Response (XDR) とも呼ばれる高品質の脅威検出と対応機能を提供します。
VM、SQL Server、Web アプリケーション、および ID に対する一般的な攻撃を迅速に検出して修復します。
一般的なエントリ ポイントの優先順位付け –ランサムウェア (およびその他の) 使用者は、エンドポイント/電子メール/ID + リモート デスクトップ プロトコル (RDP) を好みます。
- 統合 XDR - Microsoft Defender for Cloud などの統合された Extended Detection and Response (XDR) ツールを使用して、高品質のアラートを提供し、応答中の摩擦と手動の手順を最小限に抑えます。
- ブルートフォース - パスワード スプレーなどのブルート フォースの試行を監視します。
セキュリティを無効にする敵対者を監視 - 多くの場合、人間が操作するランサムウェア (HumOR) 攻撃チェーンの一部です
イベント ログのクリア - 特にセキュリティ イベント ログと PowerShell の操作ログ。
- (一部のグループに関連付けられている) セキュリティ ツールとコントロールの無効化。
市販のマルウェアを無視しない - ランサムウェア攻撃者は、ターゲット組織へのアクセス権をダーク マーケットから定期的に購入しています。
プロセスに、Microsoft インシデント応答チーム (旧 DART/CRSP) など、外部の専門家を統合して専門知識を補完します。
オンプレミス デプロイで Defender for Endpoint を使用して、侵害されたデバイスを迅速に隔離します。
ランサムウェア攻撃への対応
インシデントの宣言
ランサムウェアの感染が成功したことが確認されたら、アナリストは、それが新しいインシデントを表しているかどうか、または既存のインシデントに関連しているかどうかを確認する必要があります。 現在開かれているチケットの中で、類似したインシデントを示すものを探します。 その場合は、チケットシステム内の現在のインシデントチケットを新しい情報で更新します。 新しいインシデントの場合は、関連するチケットシステムにインシデントを登録し、適切なチームまたはプロバイダーにエスカレーションして、インシデントを封じ込め軽減する必要があります。 ランサムウェア インシデントの管理には、複数の IT チームとセキュリティ チームによる対応が必要になる場合があることに注意してください。 可能であれば、ワークフローをガイドするために、チケットがランサムウェア インシデントとして明確に識別されていることを確認してください。
封じ込め/軽減
一般に、さまざまなサーバー/エンドポイントのマルウェア対策、電子メールのマルウェア対策、ネットワーク保護ソリューションは、既知のランサムウェアを自動的に含め、軽減するように構成する必要があります。 ただし、特定のランサムウェアバリアントがこのような保護をバイパスし、ターゲット システムに正常に感染できる場合があります。
Microsoft では、Azure のセキュリティに関する上位のベスト プラクティスに基づいて、インシデント対応プロセスの更新に役立つ広範なリソースを提供しています。
マルウェア対策システムによって実行される自動アクションが失敗したランサムウェアに関連する宣言されたインシデントを含めたり軽減したりするために推奨されるアクションを次に示します。
- 標準的なサポート プロセスを通じてマルウェア対策ベンダーと連携する
- マルウェア対策システムに、マルウェアに関連付けられているハッシュやその他の情報を手動で追加する
- マルウェア対策ベンダーの更新プログラムを適用する
- 修復可能になるまで、影響を受けたシステムを封じ込める
- 侵害されたアカウントを無効にする
- 根本原因分析を使用する
- 影響を受けたシステムに関連するパッチと構成の変更を適用する
- 内部および外部のコントロールを使用してランサムウェアの通信をブロックする
- キャッシュされたコンテンツを削除する
回復のための行程
Microsoft 検出および対応チームは、攻撃からユーザーを保護するのに役立ちます
ランサムウェアのターゲットにとって、最初に侵害の原因となった根本的なセキュリティ上の問題を理解し、修正することが優先されるべきです。
Microsoft インシデント応答など、外部の専門家をプロセスに統合して専門知識を補完します。 Microsoft インシデント応答は世界中のお客様と連携し、攻撃が発生する前に攻撃に対する保護と強化を支援すると共に、攻撃が発生したときに調査して修復します。
お客様は、Microsoft Defender ポータル内で、セキュリティの専門家と直接やり取りして、タイムリーで正確な回答を得ることができます。 専門家は、組織に影響を与える複雑な脅威を深く理解するために必要な分析情報を提供します。この分析情報は、アラートの問い合わせ、侵害された可能性のあるデバイス、疑わしいネットワーク接続の根本原因などから取得し、継続的な高度な脅威キャンペーンに関する追加の脅威インテリジェンスに提供されます。
Microsoft は、会社が安全な業務に戻ることができるように支援する準備ができています。
Microsoft は、何百ものセキュリティ侵害からの回復を実行し、実証済みの方法論を持っています。 より安全な状況に移行させるだけでなく、状況に反応するだけではない、長期的な戦略を検討する機会を提供することができます。
Microsoft では、高速ランサムウェア復旧サービスを提供しています。 これに基づいて、ID サービスの復元、修復とセキュリティ強化、監視のデプロイなど、あらゆる領域で支援が提供されます。これらは、ランサムウェア攻撃のターゲットが最短の時間で通常のビジネスに戻るために役立ちます。
この高速ランサムウェア復旧サービスは、エンゲージメント期間中は "機密" として扱われます。 高速ランサムウェア復旧エンゲージメントは、Azure Cloud & AI ドメインの一部である侵害回復セキュリティ プラクティス (CRSP) チームによって独占的に提供されます。 詳細については、「Request contact about Azure security(Azure のセキュリティについての問い合わせ)」で CRSP にお問い合わせください。
次は何ですか
「ランサムウェア攻撃に対する Azure の防御 ホワイト ペーパー」をご覧ください。
このシリーズの他の記事: