Weitere ähnliche Inhalte
Ähnlich wie Ransomware Prevention Best Practices (20)
Mehr von Takeo Sakaguchi ,CISSP,CISA (20)
Kürzlich hochgeladen (11)
Ransomware Prevention Best Practices
- 1. ©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
Innovation-Leading Company
Ransomware Prevention Best Practices
Refer CISA and MS-ISAC Release Ransomware Guide
Refer NCSC's GUIDANCE Mitigating malware and ransomware attacks
作成日;2020年10月02日
日商エレクトロニクス株式会社
セキュリティ事業本部
坂口 武生,CISSP,CISA
- 3. Innovation-Leading Company
2©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
オフラインで暗号化されたデータのバックアップを維持し、定期的にバックアップをテストする
•ランサムウェアはアクセス可能なバックアップを探し出して削除しようとするため、バックアップはオフラインで維持することが重要
クラウド同期サービス(Dropbox、OneDrive、SharePoint、Google Driveなど)は、唯一のバックアップとして使用しない。これは、ファイル
が「ランサムウェア化」された直後に自動的に同期される可能性があり、同期されたコピーも失われてしまうから
重要なシステムの「ゴールドイメージ」を定期的に更新しておく
•事前に設定されたOSと関連するアプリケーションを含むイメージの「テンプレート」を維持
バックアップハードウェアを保持する
•プライマリシステムの再構築が好ましくない場合にシステムを再構築するため
該当するソースコードや実行ファイルが利用できるようにしておく
•異なるハードウェアやプラットフォームに正しくインストールされないイメージもあるため
ランサムウェアインシデントへの対応と通知手順の作成、維持、実行
•サイバーインシデント対応計画と関連する通信計画を作成、維持、実行
備えあれば憂いなし
- 4. Innovation-Leading Company
3©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
感染経路:
インターネットに面した脆弱性と設定ミス
定期的に脆弱性スキャンを実施する
定期的にパッチを当て、アプリケーションやOSを最新版に更新する
デバイスが適切に設定され、セキュリティ機能が有効になっていることを確認する
(使用されていないポートやプロトコルを無効にする)
RDPやその他のリモートデスクトップサービスの利用にベストプラクティスを採用する
(RDP を使用しているシステムについてネットワークを監査し、未使用の RDP ポートを閉じ、指定された回数の試行後にアカウントのロックアウトを実施し、
MFAを使用して、RDP ログイン試行をログに記録)
SMBプロトコルのアウトバウンドを無効化またはブロックし、
古いバージョンの SMB を削除または無効化する
(無効にすると壊れる可能性のある既存の依存関係[既存のシステムやアプリケーションの側]を軽減する作業を行った後、内部ネットワーク上のSMBv1とv2を無効
にします。またはアップグレードと再構成により依存関係を削除します。SMBv3[または最新バージョン]にアップグレードし、SMB署名を行います。UDPポート
137-138およびTCPポート139の関連プロトコルでTCPポート445をブロックすることで、SMBのすべてのバージョンがネットワークから外部にアクセスできない
ようにブロックします)
- 5. Innovation-Leading Company
4©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
感染経路:
フィッシング
フィッシングなど疑わしい活動やインシデントを特定して報告する方法についてのガイダンスを
含む、サイバーセキュリティユーザの意識向上とトレーニングプログラムを実施する
(組織全体でフィッシングテストを実施し、ユーザーの意識を測定し、悪質な可能性のある電子メールを特定することの重要性を強化する)
メールゲートウェイにフィルタを実装して、既知の悪意のある件名などの悪意のある指標を持つ
メールをフィルタリングし、ファイアウォールで不審なIPアドレスをブロックする
(悪意のある電子メールをブロックし、実行可能な添付ファイルを削除する。受信すると予想されるファイルタイプのみを許可するフィルタリングを実施する)
有効なドメインからのなりすましや改ざんされたメールの可能性を減らすために、
ドメインベースのメッセージ認証、報告、および適合性(DMARC)ポリシーと検証を実装する
(DMARCは、広く展開されている送信者ポリシーフレームワークとDomain Keys Identified Mailプロトコルをベースに構築されており、送信者と受信者が不正な
電子メールからドメインを保護するための改善と監視を可能にするレポート機能を追加している)
電子メールで送信されるMicrosoft Officeファイルのマクロスクリプトを無効にすることを
検討する
- 6. Innovation-Leading Company
5©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
感染経路:
前駆体マルウェア感染
アンチウイルスおよびアンチマルウェアソフトウェアとシグネチャを最新にする
(両方のソリューションの自動更新をオンにする)
アプリケーションディレクトリの許可リストを使用して、許可されたソフトウェアのみが
実行できるようにし、許可されていないソフトウェアはすべて実行できないようにブロックする
(Microsoft Software Restriction Policy または AppLocker を使用して、アプリケーションディレクトリの許可リストを有効にします。アプリケーションは
PROGRAMFILES、 PROGRAMFILES(X86)、および SYSTEM32 から実行できますが、例外が認められない限り、他のすべての場所を許可しません)
マウントされたメディアの自動実行を無効にする
(リムーバブルメディアが不要な場合は、リムーバブルメディアの使用を防ぐ)
ランサムウェアの展開に先立って発生するコマンド&コントロール活動やその他の潜在的な悪意の
あるネットワーク活動を検出するために、侵入検知システム(IDS)の導入を検討する
(既知の悪質なウェブサイトをブロックする)
- 8. Innovation-Leading Company
7©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
重要システムにアクセスするアカウントについては、 可能な限り全てのサービスにMFAを導入する
•強力なパスワードを使用し、複数のアカウントでパスワードを再利用しない。デフォルトのパスワードを変更する。
指定された回数のログインを試みた後にアカウントのロックアウトを強制する。システム管理者は、マルウェアが高度なシステム権限で実行され
るのを防ぐために、管理者アカウントを電子メールやウェブブラウジングに使用しないようにする
すべてのシステムとサービスに最小特権の原則を適用し、ユーザーが自分の仕事を遂行するために
必要なアクセスのみを持つようにする
•アプリケーションのインストールと実行のために、ユーザーの権限を制限する。不要なアカウントやグループを削除し、ルートアクセスを制限す
る。Windows ドメインの Protected Users Active Directory グループを利用して、パスザハッシュ攻撃から特権ユーザアカウントを保護する。
定期的にユーザーアカウントを監査し、特に公開されているリモート監視と管理のアカウントを監査する。これには、MSPに与えられた第三者ア
クセスの監査が含まれる
クラウド環境と連携したセキュリティ設定を可能する
•ベストプラクティスを活用し、Microsoft Office 365などのクラウド環境と連携したセキュリティ設定を可能する
General Best Practices and Hardening
- 9. Innovation-Leading Company
8©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
システムとデータの流れを記述した包括的なネットワーク図を作成し、定期的に更新する
•定常状態で有用であり、インシデント対応者がどこに力を注ぐべきかを理解するのに役立つ
ネットワーク・セグメンテーションの論理的または物理的な手段を使用して、組織内のさまざまな
ビジネス・ユニットや部門のITリソースを分離したり、ITとOTの分離を維持したりする
•侵害の影響を抑制し、悪意のある攻撃者による横方向への動きを防止または制限することができる
ホストベースのファイアウォールとネットワークファイアウォールを設定し、デフォルトで受信接続を許可しないようにする
General Best Practices and Hardening
- 10. Innovation-Leading Company
9©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
組織の IT 資産を、論理的(データ、ソフトウェアなど)と物理的(ハードウェアなど)の両方を
理解し、インベントリを作成する。安全衛生、収益創出、その他の重要なサービスにとって
最も重要なデータやシステム、および関連する相互依存関係を理解する
•インシデントが発生した場合の復旧の優先順位を決定する際に役立つ。重要資産に対して、より包括的なセキュリティ管理または安全策を適用す
る。これには、組織全体の調整が必要である
グループポリシーを使用して、ケースバイケースで特定のユーザーにPowerShellの使用を制限する
•通常は、ネットワークまたは Windows OS を管理するユーザーまたは管理者のみが PowerShell の使用を許可される。PowerShellインスタンス
をバージョン5.0以降にアップデートし、それ以前のバージョンのPowerShellをすべてアンインストールする。PowerShell のログには、過去の
OS とレジストリの相互作用、脅威のアクターが PowerShell を使用する際に考えられる戦術、テクニック、手順など、貴重なデータが含まれて
いる。PowerShellの活動を記録するログは、「PowerShell」Windowsイベントログと「PowerShell運用ログ」の2つ。これらのログは定期的に
チェックして、ログデータが削除されていないか、ログがオフになっていないかを確認する必要がある。組み込みツールの悪用を防ぐ。
General Best Practices and Hardening
- 11. Innovation-Leading Company
10©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
セキュアドメインコントローラ(DC)
•DCへのアクセスはAdministratorsグループに制限する必要がある。DC ホストのファイアウォールは、インターネットアクセスを防止するよう
に構成されている必要がある。認証資格情報を標的させない。認証には Kerberos のデフォルトプロトコルが推奨されるが、それを使用しない場
合は、NTLM 監査を有効にして、ネットワーク上で NTLMv2 レスポンスのみが送信されるようにする。可能であれば、LM および NTLM レスポ
ンスが拒否されるように対策を講じるべきである。ローカル・セキュリティ認証のための追加保護を有効にして、システムからクレデンシャルを
取得することができるコード注入を防止する。ネットワーク上でのリプレイ攻撃の利用を防ぐために、ホストとDC間でSMB署名が必要であるこ
とを確認する。環境内の他の場所でのこれらの攻撃に対する追加の防御として、SMB 署名をドメイン全体で実施する必要がある。
ネットワークデバイスとローカルホストの両方からのログを保持し、適切に保護する
•ログを分析してイベントの影響を判断し、インシデントが発生したかどうかを確認する。サイバーセキュリティイベントのトリアージと
修復をサポート
ベースラインを設定し、数ヶ月間のネットワーク活動を分析して行動パターンを決定する
•正常で合法的な活動と異常なネットワーク活動(例:正常なアカウント活動と異常なアカウント活動)をより簡単に区別できるようにする
General Best Practices and Hardening
- 13. ©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
Innovation-Leading Company
12
1.
影響を受けたシステムを特定し、直ちに隔離する
複数のシステムまたはサブネットが影響を受けているように見える場合は、スイッチレベルでネットワークをオフラインにします。
インシデント中に個々のシステムを切断することは現実的ではない場合があります。ネットワークを一時的にオフラインにすること
がすぐに不可能な場合は、ネットワークケーブルを見つけて、影響を受けるデバイスをネットワークから抜くか、Wi-Fiから取り外
して感染を封じ込めます。最初の侵害の後、悪意のある攻撃者は、組織の活動や通信を監視して、その行為が検出されたかどうかを
把握することがあります。システムを協調的に隔離し、電話などの帯域外の通信手段を使用して、アクターに発見されたことや緩和
措置が実施されていることを知られないようにしてください。そうしないと、アクターがアクセスを維持するために横方向に移動し
たり、ネットワークがオフラインになる前にランサムウェアを広範囲に展開したりする可能性があります。
2.
ネットワークからデバイスを切断できない場合のみ、ランサムウェア感染の拡大を防ぐためにデバイスの電源を切断する
注:ステップ2では、揮発性メモリに保存されたランサムウェア感染のアーティファクトや潜在的な証拠を維持することができなく
なります。他の手段でネットワークを一時的にシャットダウンしたり、影響を受けたホストをネットワークから切断したりすること
ができない場合にのみ実施してください。
3.
影響を受けたシステムの復旧のためのトリアージ
復旧のための重要システムを特定して優先順位を付け、影響を受けたシステムに格納されているデータの性質を確認します。安全衛
生、収益創出、またはその他の重要なサービスに不可欠な情報システムと、それらに依存するシステムを含む、事前に定義された重
要資産リストに基づいて、復旧と復旧の優先順位を決定します。影響を受けていないと思われるシステムやデバイスを記録しておく
ことで、復旧やリカバリーのために優先順位をつけておくことができます。これにより、組織はより効率的にビジネスに復帰するこ
とができます。
- 14. Innovation-Leading Company
13©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
4.
チームと協議して、初期分析に基づいて発生したことの初期理解を作成し、文書化する
5.
社内外のチームや利害関係者を巻き込んで、インシデントの緩和、対応、および回復を支援するために何を提供できるかを理解する
あなたが自由に使える情報を共有し、最もタイムリーで関連性の高い支援を受けることができます。状況の変化に応じて定期的に更
新される情報により、経営陣やシニアリーダーに情報を提供します。関連する利害関係者には、IT部門、マネージドセキュリティサ
ービスプロバイダ、サイバー保険会社、部門や選出されたリーダーなどが含まれます。
6.
影響を受けるデバイスのサンプル(ワークステーションやサーバーなど)のシステムイメージとメモリキャプチャを取得する
さらに、関連するログ、「前駆体」マルウェアのバイナリのサンプル、関連する観測可能性や侵害の指標(疑わしいコマンドや制御
IPアドレス、疑わしいレジストリエントリ、検出されたその他の関連ファイルなど)を収集します。揮発性が高い、または保持が制
限されている証拠を保存して、紛失や改ざんを防ぐように注意してください(システムメモリ、Windowsセキュリティログ、ファ
イアウォールログバッファ内のデータなど)。
7.
セキュリティ研究者が既にいくつかのランサムウェアの暗号化アルゴリズムを解読しているため、
利用可能な復号器については法執行機関に相談する
- 15. Innovation-Leading Company
14©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
8.
特定のランサムウェアについての信頼できるガイダンス(政府、ISAC、評判の良いセキュリティベンダーなどの情報源から公表さ
れているもの)を調査し、追加で推奨される手順に従って、影響を受けることが確認されているシステムやネットワークを特定して
封じ込める
既知のランサムウェアのバイナリの実行を停止または無効にすることで、システムへのダメージと影響を最小限に抑えることができ
ます。その他の既知の関連するレジストリ値とファイルを削除します。
9.
最初の侵害に関与したシステムとアカウントを特定する
これには、メールアカウントも含まれます。
10.
上記で決定された侵害または危殆化の詳細に基づき、さらなる不正アクセスまたは継続的な不正アクセスのために使用される
可能性のある関連システムを把握
侵害は多くの場合、大量のクレデンシャルの流出を伴う。クレデンシャルに基づく継続的な不正アクセスからネットワークおよびそ
の他の情報源を保護するには、以下のアクションが含まれる。仮想プライベート・ネットワーク、リモート・アクセス・サーバ、シ
ングル・サインオン・リソース、およびクラウドベースまたはその他のパブリック・フェイシング資産を無効にする。
- 16. Innovation-Leading Company
15©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
11.
推奨される追加アクション(サーバー側のデータ暗号化の迅速な特定手順)
サーバー側のデータが感染したワークステーションによって暗号化されていることがわかった場合、
迅速な特定手順は次のとおりです。
a. 関連するサーバー上の「コンピュータ管理」>「セッションと開くファイル」のリストを確認して、
これらのファイルにアクセスするユーザーまたはシステムを特定します。
b. 暗号化されたファイルやランサムノートのファイルのプロパティを確認して、
ファイルの所有権に関連する可能性のある特定のユーザーを特定します。
c. Terminal Services Remote Connection Manager イベントログを確認して、
RDP ネットワーク接続が成功したかどうかを確認します。
d. Windows セキュリティログ、SMB イベントログ、および重要な認証イベントやアクセスイベントを特定する
可能性のある関連ログを確認します。
e. 影響を受けたサーバ上でWiresharkを実行し、ファイルの書き込みやリネームに関与しているIPアドレスを特定するための
フィルタをかけます(例: "smb2.filenameにcryptxxxが含まれている "など)。
- 17. Innovation-Leading Company
16©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
12.
既存の検知・防御システム(アンチウイルス、エンドポイント検知・応答、IDS、侵入防御システムなど)やログの調査
これにより、攻撃の初期段階で追加のシステムやマルウェアが関与している証拠が浮き彫りになることがあります。
13.
アウトサイドインとインサイドアウトの永続化メカニズムを特定するための拡張分析を行う
アウトサイドインの持続性には、不正なアカウントによる外部システムへの認証済みアクセス、境界システムへのバックドア、外部
の脆弱性の悪用などが含まれる可能性があります。インサイドアウトの持続性には、内部ネットワーク上へのマルウェアの移植や、
様々なリビングオフザランドスタイルの変更(例えば、Cobalt Strike のような商用の侵入テストツールの使用、PsExec を含む
PsTools スイートの使用によるマルウェアのリモートインストールと制御、Windows システムに関する情報収集やリモート管理の
実行、PowerShell スクリプトの使用など)が含まれます。識別には、EDRソリューションの導入、ローカルおよびドメインアカウ
ントの監査、集中ログシステムで見つかったデータの調査、または環境内の動きがマップアウトされた後の特定のシステムのより深
いフォレンジック分析が含まれます。
14.
可能であれば、事前に設定された標準イメージを使用して、重要なサービス(安全衛生や収益を生み出すサービスなど)の
優先順位付けに基づいてシステムを再構築する
15.
環境が完全にクリーンアップされ、再構築されたら(関連する影響を受けたアカウント、悪意のある永続化メカニズムの除去または
修復を含む)、影響を受けたすべてのシステムに対してパスワードのリセットを行い、関連する脆弱性やセキュリティまたは可視性
のギャップに対処する
これには、パッチの適用、ソフトウェアのアップグレード、およびこれまでに行われていないその他のセキュリティ対策が含まれま
す。※復旧に必要なシステムからロックされていないことを確認し、パスワードを含む資格情報(特に管理者用)をリセットする。
- 18. Innovation-Leading Company
17©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
16.
上記のステップを踏むこと、または外部の支援を求めたりするなど確立された基準に基づいて、
指定されたITまたはITセキュリティ機関は、ランサムウェアのインシデントの終了を宣言する
17.
重要なサービスの優先順位付けに基づいて、システムを再接続し、オフラインの暗号化されたバックアップからデータを復元します
・感染したデバイスを消去し、オペレーティングシステムを再インストール
・バックアップにマルウェアやランサムウェアが含まれていないことを確認し
バックアップがクリーンであるという確信がある場合にのみ、バックアップから復元
・クリーンなネットワークにデバイスを接続して、OSとその他のアプリケーションをダウンロード、インストール、アップデート
・セキュリティ対策ソフトをインストール、アップデート、実行
・ネットワークに再接続
・ネットワークトラフィックを監視し、セキュリティ対策スキャンを実行して、感染が残っているかどうかを確認
18.
インシデントとそれに関連する対応活動から得た教訓を文書化し、
組織の方針、計画、手順を更新し、改善するための情報を提供し、今後の同種の演習の指針とする
- 20. Innovation-Leading Company
19©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
ご参考;
最低限実装すべきサイバーセキュリティ施策とロードマップの指標
サイバーセキュリティ経営ガイドライン
実践状況の可視化ツールβ版
NISTサイバーセキュリティフレームワークに基づいた
NSA’S Top Ten Cybersecurity Mitigation Strategies
英国のナショナルサイバーセキュリティセンター
NCSC 10 steps to cyber security
1. リスク管理体制
2. ソフトウェア管理
3. 最新のハードウェアセキュリティ機能を活用する
4. アカウント管理と特権管理
5. システムと構成管理および復旧を計画する
6. ネットワークセキュリティー
7. 脅威評価サービスを統合する
8. インシデント管理
9. リムーバブルメディアコントロール
10.ユーザー教育と意識向上
日本、米国、英国のサイバーセキュリティのレギュレーションからサイバーセキュリティの
ベストプラクティスをステップバイステップで実装するための10のドメイン
日本
米国
英国
- 21. Innovation-Leading Company
20©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
ご参考;
オフェンシブな診断メニュー
ペネトレ
• 攻撃者にどこを狙われるのか?
• 設定不備含めた対策として
不十分な部分を明確化
• マルウェアを踏んだ後、
CSIRT/SOC側のディフェンス
能力診断
• 最近はVPNリモートアクセスに
対するペネトレの需要が多い
アクティブフォレンジック
• フォレンジック可能な状態で
あるかどうかの診断
• 重要なサーバ、経営層の端末、
資産データに対して攻撃により
何をされたのか?侵入経路は?
そのターゲット以外の影響は?
をフォレンジックできる状態に
あるかどうかを診断
• ログ取得の不備、そもそもログ
が生成できない、トレーサビリ
ティの対応度合いなど