- 2022/07/26
- XDR
AI駆動型XDRによるランサムウェアの撃退法
Post by : Anthony M. Freed
2021年6月、私たちは『ランサムウェア 〜ビジネスにもたらす真のコスト〜』と題したレポートで、ランサムウェアが最終的に企業や組織にもたらすコストについて詳しく説明しました。このレポートでは、ランサムウェア被害者のうち3分の2が、攻撃後に大幅な収益減を経験したことが明らかにされています。
また、半数以上(53%)が、ランサムウェア感染によりブランドや評判が損なわれたと回答しています。これに続いて、ランサムウェア感染により被った影響として、経営幹部クラスの人材の辞任(32%)、従業員の解雇(29%)、業務の停止(26%)などが挙げられています。
これらのコストの背景にあるもの
ランサムウェア攻撃を受けた後、企業が上記のような悪影響を被ることになる主な原因として、ランサムウェアオペレーションが年々進化していることが挙げられます。
『RansomOps〜複雑なランサムウェアオペレーションの内側とランサムウェア経済〜」と題した当社のレポートでも詳述しているように、実際、ますます複雑なランサムウェアオペレーション(RansomOps)が普通になっています。これらの攻撃は、電子メールによるフィッシング攻撃を通じて、ランダムに個人を標的として少額の身代金を要求していた過去のコモディティ型ランサムウェア攻撃とは異なっています。
RansomOpsは、APTオペレーションに似た高度な標的型攻撃です。攻撃者は、ランサムウェアのペイロードを起動させる前に、可能な限り多くのネットワークにアクセスすることを望んでいます。この動機は、被害者にさらに高い身代金要求を提示できるように、最大限の被害を与えることです。
このことは、ランサムウェア被害者が身代金として支払っている金額を見ても明らかです。当社の調査によれば、3分の1以上(35%)の企業が35万ドル~140万ドルを攻撃者に支払っており、7%がそれを上回る額の身代金を支払っていると回答しています。
もちろん、このような高額な身代金の支払いは、攻撃者が被害者の環境をかつてないほどより広範囲にわたって暗号化しているという事実を反映しているだけではありません。それは、ランサムウェア攻撃者が企業や組織からさらに多くのものを盗むために、追加の脅迫を行っている証拠でもあります。
これは、攻撃者が暗号化を開始する前に被害者のデータを流出させ、ターゲットが身代金を払わない場合、その情報を漏洩または公開すると脅迫することから始まりました。その後、この方法は拡張され、今や追加の手法を含むようになっています。たとえば、攻撃者の中には、被害者が要求に応じなければ盗んだデータを競合他社や投資家に漏らすと脅す者もいれば、被害者が警察、データ復旧の専門家、プロの交渉人などに連絡すればデータを完全に削除すると脅す者もいます。
ランサムウェア対策における課題
RansomOpsの台頭は、企業や組織がランサムウェア対策を優先させる必要性を浮き彫りにしています。そのためには、企業や組織は、最新のランサムウェアの脅威から身を守る上で、従来のセキュリティ技術が役に立たないことをはっきりと認識する必要があります。いくつかの例を挙げて、その理由を説明しましょう。
まず、セキュリティ情報およびイベント管理(SIEM)を取り上げます。この種の技術は、企業や組織の環境全体にわたって脅威アラート情報を一元化するのには役立ちます。問題は、SIEMを使用すると、往々にしてセキュリティ担当者が大量のアラート(その多くが単なる誤検知)に振り回されてしまうことです。これにより、「アラート疲れ」がまん延し、セキュリティチームがアラートを完全に見過ごすようになる場合があります。その結果、企業や組織はランサムウェア攻撃に対してより脆弱になる可能性があります。
EDR(Endpoint Detection and Response)は、今や企業や組織にとって不可欠なツールです。EDRはエンドポイントレベルで動作するものであり、つまりエンドポイントエージェントのインストールをサポートしている特定のデバイス上でのみ動作します。またEDRは、従来のアンチウイルスやアンチマルウェアによるエンドポイントセキュリティ機能からは一歩前進しています。
一方で、ランサムウェア攻撃は、レガシーシステムやIoTデバイスに加えて、セキュリティチームがエンドポイントをインストールできないその他の資産にも広がっており、それらに影響を与える可能性があります。また、ランサムウェア攻撃は、エンドポイントレベルを越えて、企業や組織の環境におけるその他の部分にも影響を及ぼす可能性があります。
ゲームチェンジャーとしての人工知能と機械学習
企業や組織は、SIEM、EDR、およびその他の従来型ソリューションを越える何かを必要としています。ここで、人工知能(AI)および機械学習(ML)テクノロジーを活用するXDR(Extended Detection and Response)の出番となります。これらのテクノロジーは、検知と修復の自動化を実現するものであり、エンドポイント、クラウドワークロード、アプリケーション、ユーザーID、およびその他のさまざまな資産から収集したテレメトリを互いに関連付けることで、攻撃を検知します。
XDRを導入すると、セキュリティチームは、さまざまソリューションから生成される各種のアラートを手動でトリアージして調査する必要がなくなります。そのような時間のかかる操作は、ランサムウェアアクターにネットワーク上でのラテラルムーブメントや情報の流出を行わせる時間的な余裕を与えるものでした。XDRを導入することで、セキュリティチームは、ランサムウェアの攻撃をできるだけ早く停止させることに集中できるようになります。
AI駆動型XDRの優位性
AI駆動型XDRソリューションにより、企業や組織は、セキュリティに対するオペレーション中心のアプローチを採用できるようになります。これにより、すべてのネットワーク資産におけるセキュリティ体制に自信を持つために必要な可視性を提供できるようになるほか、攻撃の進行を初期段階で阻止するために必要となる自動対応を実現できるようになります。
XDRは、次に示す3つの方法で、企業や組織の持つセキュリティスタックを最適化します。
- セキュリティスタック全体における統合を最大限に達成:XDRを使うと、セキュリティスタック全体に取り込まれたテレメトリから、実用的でコンテキストリッチなインテリジェンスを生成することを自動化できるため、アナリストが発行されたすべてのアラートをトリアージする必要はなくなり、時間と労力を削減できます。電子メール、生産性ツール、アイデンティティおよびアクセス管理、およびクラウド環境とのネイティブな統合を通じて、アナリストは侵害の初期兆候を迅速に把握し、悪意あるオペレーションを迅速に阻止できます。これがXDRにおける“X”のパワーです。
- 悪意あるオペレーション全体を検知:XDRの持つ相互関連付けのパワーを利用すると、セキュリティチームは、影響を受けるすべてのデバイス、システム、およびユーザーに関して、MalOpTTM(悪意ある操作)全体を根本原因から明らかにすることで、オペレーション中心の検知アプローチを採用できます。XDRを使用すると、アナリストは、進行中の攻撃を終了させることに集中できるようになります。アナリストは、攻撃者のアクションや活動を手動でまとめるのに貴重な時間を費やす必要がなくなるほか、さまざまなセキュリティツールにより生成された整理されておらず相互に関連付けられていない大量のアラートを分類する必要もなくなります。これがXDRにおける“D”のパワーです。
- 予測的な自動対応の実現:オペレーション中心のアプローチにより、攻撃者の振る舞いの意図と、それらが組織のネットワークのさまざまな要素にどのように関連しているかを完全に理解することで、アナリストは、攻撃者の次の動きを予測できるようになるほか、セキュリティポリシーに応じて自動化されたまたはガイド付きの修正を行うことで、攻撃の進行を先制的にブロックできるようになります。攻撃者の滞留時間を数カ月から数分に短縮できるのは、オペレーション中心のアプローチだけです。これがXDRにおける“R”のパワーです。
- プロアクティブな脅威ハンティング:XDRを使うと、企業や組織はプロアクティブな脅威ハンティングを行えるようになります。これは非常に重要なアクティビティであり、これにより企業や組織は、疑わしい振る舞いの連鎖を検索することで、攻撃を早期に表面化させ、それらのオペレーションが引き起こす可能性のある損害を最小限に抑えることができます。XDRを使用すると、セキュリティチームは、複雑なクエリを作成しなくても、イベント間でのピボットや脅威の探索が行えるようになります。また、セキュリティチームは、成功したハンティングから学んだ教訓を、オペレーション中心のアプローチに基づいて、さらなる脅威ハンティングのためのカスタム検知ルールとロジックに取り入れることができます。これが、XDRの持つ3つの側面のすべてを1つのソリューションに統合することのパワーです。
さらに、AI駆動型のXDRソリューションを使うことで、防御者は、企業全体(エンドポイント、ネットワーク、アイデンティティ、クラウド、アプリケーションワークスペースを含む)におけるサイバー攻撃を予測および検知した上で、それに対応できるようになります。
【グローバル調査結果】2022年版 ランサムウェア 〜ビジネスにもたらす真のコスト〜
サイバーリーズンでは、2021年に続いて2022年もランサムウェアがビジネスに及ぼす影響に関するグローバル調査を実施しました。
本レポートでは、ランサムウェアがビジネスにどのような影響を与え続けているかなどについての調査結果とランサムウェア攻撃に対する効果的な対策について解説しています。
https://www.cybereason.co.jp/product-documents/survey-report/8548/
