ランサムウェアの攻撃者に支払う必要がありますか? マイクロソフトはノーと言います
5分。 読んだ
上で公開
この記事を共有する
このガイドを改善する
MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む
ランサムウェアは、大小さまざまなPCユーザーに影響を及ぼします。最近、多くの自治体が、データを暗号化し、コンピューティングインフラストラクチャを再び機能させるために支払いを要求するソフトウェアによって、数週間にわたって深刻な打撃を受け、機能不全に陥っています。 ランサムウェアはバックアップシステムも標的にすることが多く、正常なバックアップに復元することは不可能です。
身代金の需要に直面し、重要なインフラストラクチャと数十万人の無能力者の管理機能に直面したとき、多くの都市は身代金を支払うように誘惑され、実際に一部の都市は身代金を支払いました。
しかし、マイクロソフトは、テロリストに決して屈服しないようにという彼らのアドバイスを明確にしています。
ランサムウェアの被害者に、いかなる形の身代金要求を支払うことも決して勧めません。 身代金を支払うことは、多くの場合、費用がかかり、危険であり、攻撃者が操作を継続する能力を高めるだけです。 要するに、これは攻撃者の背中のことわざに相当します。 注意すべき最も重要なことは、ランサムウェアの復号化キーを取得するためにサイバー犯罪者にお金を払っても、暗号化されたデータが復元される保証はないということです。
残念ながら、マイクロソフトは代わりに何をすべきかを拡張せず、むしろ予防が治療よりも優れていることを示唆し、次のように述べています。
…すべての組織は、サイバーセキュリティインシデントを、発生するかどうかではなく、いつ発生するかという問題として扱う必要があります。 この考え方を持つことで、組織はそのようなインシデントが発生したときに迅速かつ効果的に対応できます。
マイクロソフトは、次の戦略を推奨しています。
1.効果的なメールフィルタリングソリューションを使用する
による 24年のマイクロソフトセキュリティインテリジェンスレポート第2018巻、スパムおよびフィッシングメールは、依然としてランサムウェア感染の最も一般的な配信方法です。 ランサムウェアをそのエントリポイントで効果的に停止するには、すべての組織が、組織に出入りするすべての電子メールコンテンツとヘッダーがスパム、ウイルス、およびその他の高度なマルウェアの脅威についてスキャンされることを保証する電子メールセキュリティサービスを採用する必要があります。 エンタープライズグレードの電子メール保護ソリューションを採用することにより、組織に対するほとんどのサイバーセキュリティの脅威は、入口と出口でブロックされます。
2.定期的なハードウェアおよびソフトウェアシステムのパッチ適用と効果的な脆弱性管理
多くの組織は、古くからあるサイバーセキュリティの推奨事項のXNUMXつと、サイバーセキュリティ攻撃に対する重要な防御策をまだ採用していません。
3.最新のウイルス対策およびエンドポイント検出および応答(EDR)ソリューションを使用します
ウイルス対策ソリューションを所有しているだけでは、ウイルスやその他の高度なコンピュータの脅威に対する適切な保護は保証されませんが、ウイルス対策ソリューションをソフトウェアベンダーに最新の状態に保つことは非常に重要です。 攻撃者は新しいウイルスやエクスプロイトの作成に多額の投資を行いますが、ベンダーはウイルス対策データベースエンジンの毎日の更新をリリースすることで追いつくことになります。 ウイルス対策ソリューションの所有と更新を補完するのは、エンドポイントから大量のデータを収集して保存し、リアルタイムのホストベースのファイルレベルの監視とシステムの可視性を提供するEDRソリューションの使用です。 このソリューションによって生成されたデータセットとアラートは、高度な脅威を阻止するのに役立ち、多くの場合、セキュリティインシデントへの対応に活用されます。
4.管理者および特権の資格情報を標準の資格情報から分離します
サイバーセキュリティコンサルタントとして、私が通常顧客に提供する最初の推奨事項のXNUMXつは、システム管理者アカウントを標準のユーザーアカウントから分離し、それらの管理者アカウントが複数のシステムで使用できないようにすることです。 これらの特権アカウントを分離すると、適切なアクセス制御が実施されるだけでなく、単一のアカウントの侵害がITインフラストラクチャ全体の侵害につながることはありません。 さらに、Multi-Factor Authentication(MFA)、Privileged Identity Management(PIM)、およびPrivileged Access Management(PAM)ソリューションを使用することは、特権アカウントの悪用に効果的に対抗する方法であり、クレデンシャル攻撃対象領域を減らす戦略的な方法です。
5.効果的なアプリケーションホワイトリストプログラムを実装する
ランサムウェア防止戦略の一環として、ITインフラストラクチャ内で実行できるアプリケーションを制限することは非常に重要です。 アプリケーションのホワイトリストは、組織によってテストおよび承認されたアプリケーションのみがインフラストラクチャ内のシステムで実行できることを保証します。 これは面倒で、いくつかのIT管理上の課題がありますが、この戦略は効果的であることが証明されています。
6.重要なシステムとファイルを定期的にバックアップします
既知の良好な状態に回復する機能は、情報セキュリティインシデントプラン、特にランサムウェアの最も重要な戦略です。 したがって、このプロセスを確実に成功させるには、組織はすべての重要なシステム、アプリケーション、およびファイルが定期的にバックアップされ、それらのバックアップが定期的にテストされて回復可能であることを確認する必要があります。 ランサムウェアは、遭遇したファイルを暗号化または破棄することが知られており、多くの場合、ファイルを回復不能にする可能性があります。 したがって、影響を受けるすべてのファイルを、ランサムウェア攻撃の影響を受けないセカンダリロケーションに保存されている適切なバックアップから簡単に回復できることが最も重要です。
マイクロソフトはまた提供します ランサムウェア攻撃をシミュレートするツール。 Microsoft Secure Scoreは、組織がユーザー、データ、およびデバイスの保護に役立つコントロールを決定するのに役立ちます。 また、組織は組み込みの機械学習を使用して、スコアを類似のプロファイルと比較できます。 攻撃シミュレーター エンタープライズセキュリティチームが、模擬ランサムウェアやフィッシングキャンペーンなどのシミュレートされた攻撃を実行できるようにします。 これは、従業員の応答を学習し、それに応じてセキュリティ設定を調整するのに役立ちます。
もちろん、Microsoftは、ユーザーデータの大量操作を検出し、その追跡を停止するように設計されたクラウドバックアップツールも提供しています。
