SlideShare ist ein Scribd-Unternehmen logo

Ransomware Prevention Best Practices

Als PPTX, PDF herunterladen
Takeo Sakaguchi ,CISSP,CISA
Takeo Sakaguchi ,CISSP,CISA

Ransomware Prevention Best Practices

Technologie
1 von 22
©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. Innovation-Leading Company Ransomware Prevention Best Practices Refer CISA and MS-ISAC Release Ransomware Guide Refer NCSC's GUIDANCE Mitigating malware and ransomware attacks 作成日;2020年10月02日 日商エレクトロニクス株式会社 セキュリティ事業本部 坂口 武生,CISSP,CISA
©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. Innovation-Leading Company 1 Part 1: Ransomware Prevention Best Practices
Innovation-Leading Company 2©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. オフラインで暗号化されたデータのバックアップを維持し、定期的にバックアップをテストする •ランサムウェアはアクセス可能なバックアップを探し出して削除しようとするため、バックアップはオフラインで維持することが重要 クラウド同期サービス(Dropbox、OneDrive、SharePoint、Google Driveなど)は、唯一のバックアップとして使用しない。これは、ファイル が「ランサムウェア化」された直後に自動的に同期される可能性があり、同期されたコピーも失われてしまうから 重要なシステムの「ゴールドイメージ」を定期的に更新しておく •事前に設定されたOSと関連するアプリケーションを含むイメージの「テンプレート」を維持 バックアップハードウェアを保持する •プライマリシステムの再構築が好ましくない場合にシステムを再構築するため 該当するソースコードや実行ファイルが利用できるようにしておく •異なるハードウェアやプラットフォームに正しくインストールされないイメージもあるため ランサムウェアインシデントへの対応と通知手順の作成、維持、実行 •サイバーインシデント対応計画と関連する通信計画を作成、維持、実行 備えあれば憂いなし
Innovation-Leading Company 3©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 感染経路: インターネットに面した脆弱性と設定ミス  定期的に脆弱性スキャンを実施する  定期的にパッチを当て、アプリケーションやOSを最新版に更新する  デバイスが適切に設定され、セキュリティ機能が有効になっていることを確認する (使用されていないポートやプロトコルを無効にする)  RDPやその他のリモートデスクトップサービスの利用にベストプラクティスを採用する (RDP を使用しているシステムについてネットワークを監査し、未使用の RDP ポートを閉じ、指定された回数の試行後にアカウントのロックアウトを実施し、 MFAを使用して、RDP ログイン試行をログに記録)  SMBプロトコルのアウトバウンドを無効化またはブロックし、 古いバージョンの SMB を削除または無効化する (無効にすると壊れる可能性のある既存の依存関係[既存のシステムやアプリケーションの側]を軽減する作業を行った後、内部ネットワーク上のSMBv1とv2を無効 にします。またはアップグレードと再構成により依存関係を削除します。SMBv3[または最新バージョン]にアップグレードし、SMB署名を行います。UDPポート 137-138およびTCPポート139の関連プロトコルでTCPポート445をブロックすることで、SMBのすべてのバージョンがネットワークから外部にアクセスできない ようにブロックします)
Innovation-Leading Company 4©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 感染経路: フィッシング  フィッシングなど疑わしい活動やインシデントを特定して報告する方法についてのガイダンスを 含む、サイバーセキュリティユーザの意識向上とトレーニングプログラムを実施する (組織全体でフィッシングテストを実施し、ユーザーの意識を測定し、悪質な可能性のある電子メールを特定することの重要性を強化する)  メールゲートウェイにフィルタを実装して、既知の悪意のある件名などの悪意のある指標を持つ メールをフィルタリングし、ファイアウォールで不審なIPアドレスをブロックする (悪意のある電子メールをブロックし、実行可能な添付ファイルを削除する。受信すると予想されるファイルタイプのみを許可するフィルタリングを実施する)  有効なドメインからのなりすましや改ざんされたメールの可能性を減らすために、 ドメインベースのメッセージ認証、報告、および適合性(DMARC)ポリシーと検証を実装する (DMARCは、広く展開されている送信者ポリシーフレームワークとDomain Keys Identified Mailプロトコルをベースに構築されており、送信者と受信者が不正な 電子メールからドメインを保護するための改善と監視を可能にするレポート機能を追加している)  電子メールで送信されるMicrosoft Officeファイルのマクロスクリプトを無効にすることを 検討する
Innovation-Leading Company 5©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 感染経路: 前駆体マルウェア感染  アンチウイルスおよびアンチマルウェアソフトウェアとシグネチャを最新にする (両方のソリューションの自動更新をオンにする)  アプリケーションディレクトリの許可リストを使用して、許可されたソフトウェアのみが 実行できるようにし、許可されていないソフトウェアはすべて実行できないようにブロックする (Microsoft Software Restriction Policy または AppLocker を使用して、アプリケーションディレクトリの許可リストを有効にします。アプリケーションは PROGRAMFILES、 PROGRAMFILES(X86)、および SYSTEM32 から実行できますが、例外が認められない限り、他のすべての場所を許可しません)  マウントされたメディアの自動実行を無効にする (リムーバブルメディアが不要な場合は、リムーバブルメディアの使用を防ぐ)  ランサムウェアの展開に先立って発生するコマンド&コントロール活動やその他の潜在的な悪意の あるネットワーク活動を検出するために、侵入検知システム(IDS)の導入を検討する (既知の悪質なウェブサイトをブロックする)
Innovation-Leading Company 6©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 感染経路: マネージドサービスプロバイダ  攻撃者は、MSP のネットワーク接続やクライアント組織へのアクセスを利用して、マルウェアや ランサムウェアを伝播させるための重要なベクターとして、MSP のネットワーク接続やクライア ント組織へのアクセスを利用する可能性がある
Innovation-Leading Company 7©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 重要システムにアクセスするアカウントについては、 可能な限り全てのサービスにMFAを導入する •強力なパスワードを使用し、複数のアカウントでパスワードを再利用しない。デフォルトのパスワードを変更する。 指定された回数のログインを試みた後にアカウントのロックアウトを強制する。システム管理者は、マルウェアが高度なシステム権限で実行され るのを防ぐために、管理者アカウントを電子メールやウェブブラウジングに使用しないようにする すべてのシステムとサービスに最小特権の原則を適用し、ユーザーが自分の仕事を遂行するために 必要なアクセスのみを持つようにする •アプリケーションのインストールと実行のために、ユーザーの権限を制限する。不要なアカウントやグループを削除し、ルートアクセスを制限す る。Windows ドメインの Protected Users Active Directory グループを利用して、パスザハッシュ攻撃から特権ユーザアカウントを保護する。 定期的にユーザーアカウントを監査し、特に公開されているリモート監視と管理のアカウントを監査する。これには、MSPに与えられた第三者ア クセスの監査が含まれる クラウド環境と連携したセキュリティ設定を可能する •ベストプラクティスを活用し、Microsoft Office 365などのクラウド環境と連携したセキュリティ設定を可能する General Best Practices and Hardening
Innovation-Leading Company 8©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. システムとデータの流れを記述した包括的なネットワーク図を作成し、定期的に更新する •定常状態で有用であり、インシデント対応者がどこに力を注ぐべきかを理解するのに役立つ ネットワーク・セグメンテーションの論理的または物理的な手段を使用して、組織内のさまざまな ビジネス・ユニットや部門のITリソースを分離したり、ITとOTの分離を維持したりする •侵害の影響を抑制し、悪意のある攻撃者による横方向への動きを防止または制限することができる ホストベースのファイアウォールとネットワークファイアウォールを設定し、デフォルトで受信接続を許可しないようにする General Best Practices and Hardening
Innovation-Leading Company 9©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 組織の IT 資産を、論理的(データ、ソフトウェアなど)と物理的(ハードウェアなど)の両方を 理解し、インベントリを作成する。安全衛生、収益創出、その他の重要なサービスにとって 最も重要なデータやシステム、および関連する相互依存関係を理解する •インシデントが発生した場合の復旧の優先順位を決定する際に役立つ。重要資産に対して、より包括的なセキュリティ管理または安全策を適用す る。これには、組織全体の調整が必要である グループポリシーを使用して、ケースバイケースで特定のユーザーにPowerShellの使用を制限する •通常は、ネットワークまたは Windows OS を管理するユーザーまたは管理者のみが PowerShell の使用を許可される。PowerShellインスタンス をバージョン5.0以降にアップデートし、それ以前のバージョンのPowerShellをすべてアンインストールする。PowerShell のログには、過去の OS とレジストリの相互作用、脅威のアクターが PowerShell を使用する際に考えられる戦術、テクニック、手順など、貴重なデータが含まれて いる。PowerShellの活動を記録するログは、「PowerShell」Windowsイベントログと「PowerShell運用ログ」の2つ。これらのログは定期的に チェックして、ログデータが削除されていないか、ログがオフになっていないかを確認する必要がある。組み込みツールの悪用を防ぐ。 General Best Practices and Hardening
Innovation-Leading Company 10©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. セキュアドメインコントローラ(DC) •DCへのアクセスはAdministratorsグループに制限する必要がある。DC ホストのファイアウォールは、インターネットアクセスを防止するよう に構成されている必要がある。認証資格情報を標的させない。認証には Kerberos のデフォルトプロトコルが推奨されるが、それを使用しない場 合は、NTLM 監査を有効にして、ネットワーク上で NTLMv2 レスポンスのみが送信されるようにする。可能であれば、LM および NTLM レスポ ンスが拒否されるように対策を講じるべきである。ローカル・セキュリティ認証のための追加保護を有効にして、システムからクレデンシャルを 取得することができるコード注入を防止する。ネットワーク上でのリプレイ攻撃の利用を防ぐために、ホストとDC間でSMB署名が必要であるこ とを確認する。環境内の他の場所でのこれらの攻撃に対する追加の防御として、SMB 署名をドメイン全体で実施する必要がある。 ネットワークデバイスとローカルホストの両方からのログを保持し、適切に保護する •ログを分析してイベントの影響を判断し、インシデントが発生したかどうかを確認する。サイバーセキュリティイベントのトリアージと 修復をサポート ベースラインを設定し、数ヶ月間のネットワーク活動を分析して行動パターンを決定する •正常で合法的な活動と異常なネットワーク活動(例:正常なアカウント活動と異常なアカウント活動)をより簡単に区別できるようにする General Best Practices and Hardening
©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. Innovation-Leading Company 11 Part 2: Ransomware Response Checklist
©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. Innovation-Leading Company 12 1. 影響を受けたシステムを特定し、直ちに隔離する 複数のシステムまたはサブネットが影響を受けているように見える場合は、スイッチレベルでネットワークをオフラインにします。 インシデント中に個々のシステムを切断することは現実的ではない場合があります。ネットワークを一時的にオフラインにすること がすぐに不可能な場合は、ネットワークケーブルを見つけて、影響を受けるデバイスをネットワークから抜くか、Wi-Fiから取り外 して感染を封じ込めます。最初の侵害の後、悪意のある攻撃者は、組織の活動や通信を監視して、その行為が検出されたかどうかを 把握することがあります。システムを協調的に隔離し、電話などの帯域外の通信手段を使用して、アクターに発見されたことや緩和 措置が実施されていることを知られないようにしてください。そうしないと、アクターがアクセスを維持するために横方向に移動し たり、ネットワークがオフラインになる前にランサムウェアを広範囲に展開したりする可能性があります。 2. ネットワークからデバイスを切断できない場合のみ、ランサムウェア感染の拡大を防ぐためにデバイスの電源を切断する 注:ステップ2では、揮発性メモリに保存されたランサムウェア感染のアーティファクトや潜在的な証拠を維持することができなく なります。他の手段でネットワークを一時的にシャットダウンしたり、影響を受けたホストをネットワークから切断したりすること ができない場合にのみ実施してください。 3. 影響を受けたシステムの復旧のためのトリアージ 復旧のための重要システムを特定して優先順位を付け、影響を受けたシステムに格納されているデータの性質を確認します。安全衛 生、収益創出、またはその他の重要なサービスに不可欠な情報システムと、それらに依存するシステムを含む、事前に定義された重 要資産リストに基づいて、復旧と復旧の優先順位を決定します。影響を受けていないと思われるシステムやデバイスを記録しておく ことで、復旧やリカバリーのために優先順位をつけておくことができます。これにより、組織はより効率的にビジネスに復帰するこ とができます。
Innovation-Leading Company 13©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 4. チームと協議して、初期分析に基づいて発生したことの初期理解を作成し、文書化する 5. 社内外のチームや利害関係者を巻き込んで、インシデントの緩和、対応、および回復を支援するために何を提供できるかを理解する あなたが自由に使える情報を共有し、最もタイムリーで関連性の高い支援を受けることができます。状況の変化に応じて定期的に更 新される情報により、経営陣やシニアリーダーに情報を提供します。関連する利害関係者には、IT部門、マネージドセキュリティサ ービスプロバイダ、サイバー保険会社、部門や選出されたリーダーなどが含まれます。 6. 影響を受けるデバイスのサンプル(ワークステーションやサーバーなど)のシステムイメージとメモリキャプチャを取得する さらに、関連するログ、「前駆体」マルウェアのバイナリのサンプル、関連する観測可能性や侵害の指標(疑わしいコマンドや制御 IPアドレス、疑わしいレジストリエントリ、検出されたその他の関連ファイルなど)を収集します。揮発性が高い、または保持が制 限されている証拠を保存して、紛失や改ざんを防ぐように注意してください(システムメモリ、Windowsセキュリティログ、ファ イアウォールログバッファ内のデータなど)。 7. セキュリティ研究者が既にいくつかのランサムウェアの暗号化アルゴリズムを解読しているため、 利用可能な復号器については法執行機関に相談する
Innovation-Leading Company 14©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 8. 特定のランサムウェアについての信頼できるガイダンス(政府、ISAC、評判の良いセキュリティベンダーなどの情報源から公表さ れているもの)を調査し、追加で推奨される手順に従って、影響を受けることが確認されているシステムやネットワークを特定して 封じ込める 既知のランサムウェアのバイナリの実行を停止または無効にすることで、システムへのダメージと影響を最小限に抑えることができ ます。その他の既知の関連するレジストリ値とファイルを削除します。 9. 最初の侵害に関与したシステムとアカウントを特定する これには、メールアカウントも含まれます。 10. 上記で決定された侵害または危殆化の詳細に基づき、さらなる不正アクセスまたは継続的な不正アクセスのために使用される 可能性のある関連システムを把握 侵害は多くの場合、大量のクレデンシャルの流出を伴う。クレデンシャルに基づく継続的な不正アクセスからネットワークおよびそ の他の情報源を保護するには、以下のアクションが含まれる。仮想プライベート・ネットワーク、リモート・アクセス・サーバ、シ ングル・サインオン・リソース、およびクラウドベースまたはその他のパブリック・フェイシング資産を無効にする。
Innovation-Leading Company 15©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 11. 推奨される追加アクション(サーバー側のデータ暗号化の迅速な特定手順) サーバー側のデータが感染したワークステーションによって暗号化されていることがわかった場合、 迅速な特定手順は次のとおりです。 a. 関連するサーバー上の「コンピュータ管理」>「セッションと開くファイル」のリストを確認して、 これらのファイルにアクセスするユーザーまたはシステムを特定します。 b. 暗号化されたファイルやランサムノートのファイルのプロパティを確認して、 ファイルの所有権に関連する可能性のある特定のユーザーを特定します。 c. Terminal Services Remote Connection Manager イベントログを確認して、 RDP ネットワーク接続が成功したかどうかを確認します。 d. Windows セキュリティログ、SMB イベントログ、および重要な認証イベントやアクセスイベントを特定する 可能性のある関連ログを確認します。 e. 影響を受けたサーバ上でWiresharkを実行し、ファイルの書き込みやリネームに関与しているIPアドレスを特定するための フィルタをかけます(例: "smb2.filenameにcryptxxxが含まれている "など)。
Innovation-Leading Company 16©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 12. 既存の検知・防御システム(アンチウイルス、エンドポイント検知・応答、IDS、侵入防御システムなど)やログの調査 これにより、攻撃の初期段階で追加のシステムやマルウェアが関与している証拠が浮き彫りになることがあります。 13. アウトサイドインとインサイドアウトの永続化メカニズムを特定するための拡張分析を行う アウトサイドインの持続性には、不正なアカウントによる外部システムへの認証済みアクセス、境界システムへのバックドア、外部 の脆弱性の悪用などが含まれる可能性があります。インサイドアウトの持続性には、内部ネットワーク上へのマルウェアの移植や、 様々なリビングオフザランドスタイルの変更(例えば、Cobalt Strike のような商用の侵入テストツールの使用、PsExec を含む PsTools スイートの使用によるマルウェアのリモートインストールと制御、Windows システムに関する情報収集やリモート管理の 実行、PowerShell スクリプトの使用など)が含まれます。識別には、EDRソリューションの導入、ローカルおよびドメインアカウ ントの監査、集中ログシステムで見つかったデータの調査、または環境内の動きがマップアウトされた後の特定のシステムのより深 いフォレンジック分析が含まれます。 14. 可能であれば、事前に設定された標準イメージを使用して、重要なサービス(安全衛生や収益を生み出すサービスなど)の 優先順位付けに基づいてシステムを再構築する 15. 環境が完全にクリーンアップされ、再構築されたら(関連する影響を受けたアカウント、悪意のある永続化メカニズムの除去または 修復を含む)、影響を受けたすべてのシステムに対してパスワードのリセットを行い、関連する脆弱性やセキュリティまたは可視性 のギャップに対処する これには、パッチの適用、ソフトウェアのアップグレード、およびこれまでに行われていないその他のセキュリティ対策が含まれま す。※復旧に必要なシステムからロックされていないことを確認し、パスワードを含む資格情報(特に管理者用)をリセットする。
Innovation-Leading Company 17©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 16. 上記のステップを踏むこと、または外部の支援を求めたりするなど確立された基準に基づいて、 指定されたITまたはITセキュリティ機関は、ランサムウェアのインシデントの終了を宣言する 17. 重要なサービスの優先順位付けに基づいて、システムを再接続し、オフラインの暗号化されたバックアップからデータを復元します ・感染したデバイスを消去し、オペレーティングシステムを再インストール ・バックアップにマルウェアやランサムウェアが含まれていないことを確認し バックアップがクリーンであるという確信がある場合にのみ、バックアップから復元 ・クリーンなネットワークにデバイスを接続して、OSとその他のアプリケーションをダウンロード、インストール、アップデート ・セキュリティ対策ソフトをインストール、アップデート、実行 ・ネットワークに再接続 ・ネットワークトラフィックを監視し、セキュリティ対策スキャンを実行して、感染が残っているかどうかを確認 18. インシデントとそれに関連する対応活動から得た教訓を文書化し、 組織の方針、計画、手順を更新し、改善するための情報を提供し、今後の同種の演習の指針とする
Innovation-Leading Company 18©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. ご参考; Hybrid Security PoC ラボ SASE/Zero Trustの実験場を提供
Innovation-Leading Company 19©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. ご参考; 最低限実装すべきサイバーセキュリティ施策とロードマップの指標 サイバーセキュリティ経営ガイドライン 実践状況の可視化ツールβ版 NISTサイバーセキュリティフレームワークに基づいた NSA’S Top Ten Cybersecurity Mitigation Strategies 英国のナショナルサイバーセキュリティセンター NCSC 10 steps to cyber security 1. リスク管理体制 2. ソフトウェア管理 3. 最新のハードウェアセキュリティ機能を活用する 4. アカウント管理と特権管理 5. システムと構成管理および復旧を計画する 6. ネットワークセキュリティー 7. 脅威評価サービスを統合する 8. インシデント管理 9. リムーバブルメディアコントロール 10.ユーザー教育と意識向上  日本、米国、英国のサイバーセキュリティのレギュレーションからサイバーセキュリティの ベストプラクティスをステップバイステップで実装するための10のドメイン 日本 米国 英国
Innovation-Leading Company 20©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. ご参考; オフェンシブな診断メニュー ペネトレ • 攻撃者にどこを狙われるのか? • 設定不備含めた対策として 不十分な部分を明確化 • マルウェアを踏んだ後、 CSIRT/SOC側のディフェンス 能力診断 • 最近はVPNリモートアクセスに 対するペネトレの需要が多い アクティブフォレンジック • フォレンジック可能な状態で あるかどうかの診断 • 重要なサーバ、経営層の端末、 資産データに対して攻撃により 何をされたのか?侵入経路は? そのターゲット以外の影響は? をフォレンジックできる状態に あるかどうかを診断 • ログ取得の不備、そもそもログ が生成できない、トレーサビリ ティの対応度合いなど
ご清聴いただきまして有難うございます。 cyber_security@nissho-ele.co.jpお問い合わせ

Empfohlen

セキュリティ強靭性向上対策モデルの実現
セキュリティ強靭性向上対策モデルの実現セキュリティ強靭性向上対策モデルの実現
セキュリティ強靭性向上対策モデルの実現
KitASP_Corporation
 
自治体セキュリティ強靭化対策のためのシンクライアント入門
自治体セキュリティ強靭化対策のためのシンクライアント入門自治体セキュリティ強靭化対策のためのシンクライアント入門
自治体セキュリティ強靭化対策のためのシンクライアント入門
Minna no Cloud, General Incorporated Associates
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenter
Masakazu Kishima
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
 
5 moriya security-seminar2005_05
5 moriya security-seminar2005_055 moriya security-seminar2005_05
5 moriya security-seminar2005_05
Eiichi Moriya
 
IoTセキュリティガイドラインの検討
IoTセキュリティガイドラインの検討IoTセキュリティガイドラインの検討
IoTセキュリティガイドラインの検討
Toshihiko Yamakami
 
ストレージ層で行うランサムウェア対策_20210401
ストレージ層で行うランサムウェア対策_20210401ストレージ層で行うランサムウェア対策_20210401
ストレージ層で行うランサムウェア対策_20210401
Kan Itani
 
サイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒント
サイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒントサイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒント
サイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒント
jpmemarketing_zoho
 

Empfohlen

セキュリティ強靭性向上対策モデルの実現
セキュリティ強靭性向上対策モデルの実現セキュリティ強靭性向上対策モデルの実現
セキュリティ強靭性向上対策モデルの実現
KitASP_Corporation
 
自治体セキュリティ強靭化対策のためのシンクライアント入門
自治体セキュリティ強靭化対策のためのシンクライアント入門自治体セキュリティ強靭化対策のためのシンクライアント入門
自治体セキュリティ強靭化対策のためのシンクライアント入門
Minna no Cloud, General Incorporated Associates
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenter
Masakazu Kishima
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
 
5 moriya security-seminar2005_05
5 moriya security-seminar2005_055 moriya security-seminar2005_05
5 moriya security-seminar2005_05
Eiichi Moriya
 
IoTセキュリティガイドラインの検討
IoTセキュリティガイドラインの検討IoTセキュリティガイドラインの検討
IoTセキュリティガイドラインの検討
Toshihiko Yamakami
 
ストレージ層で行うランサムウェア対策_20210401
ストレージ層で行うランサムウェア対策_20210401ストレージ層で行うランサムウェア対策_20210401
ストレージ層で行うランサムウェア対策_20210401
Kan Itani
 
サイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒント
サイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒントサイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒント
サイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒント
jpmemarketing_zoho
 
サイバーセキュリティ経営ガイドライン
サイバーセキュリティ経営ガイドラインサイバーセキュリティ経営ガイドライン
サイバーセキュリティ経営ガイドライン
jpmemarketing_zoho
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
Tomohiro Nakashima
 
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
Tomohiro Nakashima
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
グローバルセキュリティエキスパート株式会社(GSX)
 
IoTセキュリティ・インシデント事例・警鐘の検討
IoTセキュリティ・インシデント事例・警鐘の検討IoTセキュリティ・インシデント事例・警鐘の検討
IoTセキュリティ・インシデント事例・警鐘の検討
Toshihiko Yamakami
 
海外事例に学ぶクラウド利用とITリスク管理
海外事例に学ぶクラウド利用とITリスク管理海外事例に学ぶクラウド利用とITリスク管理
海外事例に学ぶクラウド利用とITリスク管理
Eiji Sasahara, Ph.D., MBA 笹原英司
 
シンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust Networkシンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust Network
Ryuki Yoshimatsu
 
A8 150206【サードウェア】drbdで実現する高可用性システムと災害対策
A8 150206【サードウェア】drbdで実現する高可用性システムと災害対策A8 150206【サードウェア】drbdで実現する高可用性システムと災害対策
A8 150206【サードウェア】drbdで実現する高可用性システムと災害対策
chenree3
 
そうだ、ECL2.0でホステッドプライベート・クラウドをつくろう!
そうだ、ECL2.0でホステッドプライベート・クラウドをつくろう!そうだ、ECL2.0でホステッドプライベート・クラウドをつくろう!
そうだ、ECL2.0でホステッドプライベート・クラウドをつくろう!
ミランティスジャパン株式会社
 
政府機関における情報セキュリティ対策について
政府機関における情報セキュリティ対策について政府機関における情報セキュリティ対策について
政府機関における情報セキュリティ対策について
itforum-roundtable
 
20200214 the seminar of information security
20200214 the seminar of information security20200214 the seminar of information security
20200214 the seminar of information security
SAKURUG co.
 
Clould Service for Enterprise Market
Clould Service for Enterprise MarketClould Service for Enterprise Market
Clould Service for Enterprise Market
インフォリスクマネージ株式会社 (InfoRiskManage, Inc.)
 
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
Tomohiro Nakashima
 
プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策
プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策
プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策
Citrix Systems Japan
 
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
Masanori KAMAYAMA
 
【Interop Tokyo 2015】 Sec 03: 本当に使えるオールインワン セキュリティ製品の条件とは
【Interop Tokyo 2015】 Sec 03: 本当に使えるオールインワン セキュリティ製品の条件とは【Interop Tokyo 2015】 Sec 03: 本当に使えるオールインワン セキュリティ製品の条件とは
【Interop Tokyo 2015】 Sec 03: 本当に使えるオールインワン セキュリティ製品の条件とは
シスコシステムズ合同会社
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsInternet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
 
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
Noriaki Hayashi
 
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
株式会社クライム
 
Three of cyber security solution should be implemented now
Three of cyber security solution should be implemented nowThree of cyber security solution should be implemented now
Three of cyber security solution should be implemented now
Takeo Sakaguchi ,CISSP,CISA
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
 
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
Motohiko Sato
 

Weitere ähnliche Inhalte

Was ist angesagt?

~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
グローバルセキュリティエキスパート株式会社(GSX)
 
海外事例に学ぶクラウド利用とITリスク管理
海外事例に学ぶクラウド利用とITリスク管理海外事例に学ぶクラウド利用とITリスク管理
海外事例に学ぶクラウド利用とITリスク管理
Eiji Sasahara, Ph.D., MBA 笹原英司
 
A8 150206【サードウェア】drbdで実現する高可用性システムと災害対策
A8 150206【サードウェア】drbdで実現する高可用性システムと災害対策A8 150206【サードウェア】drbdで実現する高可用性システムと災害対策
A8 150206【サードウェア】drbdで実現する高可用性システムと災害対策
chenree3
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsInternet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
 

Was ist angesagt? (17)

サイバーセキュリティ経営ガイドライン
サイバーセキュリティ経営ガイドラインサイバーセキュリティ経営ガイドライン
サイバーセキュリティ経営ガイドライン
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
 
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
 
IoTセキュリティ・インシデント事例・警鐘の検討
IoTセキュリティ・インシデント事例・警鐘の検討IoTセキュリティ・インシデント事例・警鐘の検討
IoTセキュリティ・インシデント事例・警鐘の検討
 
海外事例に学ぶクラウド利用とITリスク管理
海外事例に学ぶクラウド利用とITリスク管理海外事例に学ぶクラウド利用とITリスク管理
海外事例に学ぶクラウド利用とITリスク管理
 
シンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust Networkシンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust Network
 
A8 150206【サードウェア】drbdで実現する高可用性システムと災害対策
A8 150206【サードウェア】drbdで実現する高可用性システムと災害対策A8 150206【サードウェア】drbdで実現する高可用性システムと災害対策
A8 150206【サードウェア】drbdで実現する高可用性システムと災害対策
 
そうだ、ECL2.0でホステッドプライベート・クラウドをつくろう!
そうだ、ECL2.0でホステッドプライベート・クラウドをつくろう!そうだ、ECL2.0でホステッドプライベート・クラウドをつくろう!
そうだ、ECL2.0でホステッドプライベート・クラウドをつくろう!
 
政府機関における情報セキュリティ対策について
政府機関における情報セキュリティ対策について政府機関における情報セキュリティ対策について
政府機関における情報セキュリティ対策について
 
20200214 the seminar of information security
20200214 the seminar of information security20200214 the seminar of information security
20200214 the seminar of information security
 
Clould Service for Enterprise Market
Clould Service for Enterprise MarketClould Service for Enterprise Market
Clould Service for Enterprise Market
 
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
 
プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策
プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策
プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策
 
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
 
【Interop Tokyo 2015】 Sec 03: 本当に使えるオールインワン セキュリティ製品の条件とは
【Interop Tokyo 2015】 Sec 03: 本当に使えるオールインワン セキュリティ製品の条件とは【Interop Tokyo 2015】 Sec 03: 本当に使えるオールインワン セキュリティ製品の条件とは
【Interop Tokyo 2015】 Sec 03: 本当に使えるオールインワン セキュリティ製品の条件とは
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsInternet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
 

Ähnlich wie Ransomware Prevention Best Practices

テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
株式会社クライム
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
 
S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days]
S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days]S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days]
S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days]
日本マイクロソフト株式会社
 
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517
Tomohiko Yamakawa
 

Ähnlich wie Ransomware Prevention Best Practices (20)

細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
 
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
 
Three of cyber security solution should be implemented now
Three of cyber security solution should be implemented nowThree of cyber security solution should be implemented now
Three of cyber security solution should be implemented now
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
 
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
 
Zero trust
Zero trustZero trust
Zero trust
 
Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1
 
安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド
安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド
安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド
 
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
 
Vectra Networks Love
Vectra Networks LoveVectra Networks Love
Vectra Networks Love
 
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
 
闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座
 
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティHTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
 
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
 
S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days]
S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days]S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days]
S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days]
 
SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例
SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例
SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例
 
Minimum cyber security & roadmap indicators
Minimum cyber security & roadmap indicatorsMinimum cyber security & roadmap indicators
Minimum cyber security & roadmap indicators
 
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517
 
Oishi 20120107
Oishi 20120107Oishi 20120107
Oishi 20120107
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
 

Mehr von Takeo Sakaguchi ,CISSP,CISA

Mehr von Takeo Sakaguchi ,CISSP,CISA (20)

TS_InteropConf2022_MCN.pptx
TS_InteropConf2022_MCN.pptxTS_InteropConf2022_MCN.pptx
TS_InteropConf2022_MCN.pptx
 
DX_NaaS_220412.pptx
DX_NaaS_220412.pptxDX_NaaS_220412.pptx
DX_NaaS_220412.pptx
 
Need for NDR
Need for NDRNeed for NDR
Need for NDR
 
Cyber security best practices
Cyber security best practicesCyber security best practices
Cyber security best practices
 
Need for cyber security
Need for cyber securityNeed for cyber security
Need for cyber security
 
Sase
SaseSase
Sase
 
Unauthorized access ncom,may 2020
Unauthorized access ncom,may 2020Unauthorized access ncom,may 2020
Unauthorized access ncom,may 2020
 
Top 9 security and risk trends for 2020
Top 9 security and risk trends for 2020Top 9 security and risk trends for 2020
Top 9 security and risk trends for 2020
 
Soar
SoarSoar
Soar
 
AI-powered cyber security platform
AI-powered cyber security platformAI-powered cyber security platform
AI-powered cyber security platform
 
Sakaguti@nikkei ai security forum 28,may 2018
Sakaguti@nikkei ai security forum 28,may 2018Sakaguti@nikkei ai security forum 28,may 2018
Sakaguti@nikkei ai security forum 28,may 2018
 
Market trend nov.2017 cyber security
Market trend nov.2017 cyber securityMarket trend nov.2017 cyber security
Market trend nov.2017 cyber security
 
Market trend oct.2017 cyber security
Market trend oct.2017 cyber securityMarket trend oct.2017 cyber security
Market trend oct.2017 cyber security
 
Presentation sakaguti@[nca 10th anniversary conference]24,aug 2017 luncheon a
Presentation sakaguti@[nca 10th anniversary conference]24,aug 2017 luncheon aPresentation sakaguti@[nca 10th anniversary conference]24,aug 2017 luncheon a
Presentation sakaguti@[nca 10th anniversary conference]24,aug 2017 luncheon a
 
Sec gene pre_jun,2017
Sec gene pre_jun,2017Sec gene pre_jun,2017
Sec gene pre_jun,2017
 
Io t ioe_network security
Io t ioe_network securityIo t ioe_network security
Io t ioe_network security
 
Cyber Security_Dream Project 2017
Cyber Security_Dream Project 2017Cyber Security_Dream Project 2017
Cyber Security_Dream Project 2017
 
Sakaguti 27,mar.2017 casb seminar
Sakaguti 27,mar.2017 casb seminarSakaguti 27,mar.2017 casb seminar
Sakaguti 27,mar.2017 casb seminar
 
What's casb for cloud first age ?
What's casb for cloud first age ?What's casb for cloud first age ?
What's casb for cloud first age ?
 
Sec gene pre_feb,2017
Sec gene pre_feb,2017Sec gene pre_feb,2017
Sec gene pre_feb,2017
 

Kürzlich hochgeladen

Kürzlich hochgeladen (11)

LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native IntegrationsUtilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
 

Ransomware Prevention Best Practices

  • 1. ©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. Innovation-Leading Company Ransomware Prevention Best Practices Refer CISA and MS-ISAC Release Ransomware Guide Refer NCSC's GUIDANCE Mitigating malware and ransomware attacks 作成日;2020年10月02日 日商エレクトロニクス株式会社 セキュリティ事業本部 坂口 武生,CISSP,CISA
  • 2. ©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. Innovation-Leading Company 1 Part 1: Ransomware Prevention Best Practices
  • 3. Innovation-Leading Company 2©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. オフラインで暗号化されたデータのバックアップを維持し、定期的にバックアップをテストする •ランサムウェアはアクセス可能なバックアップを探し出して削除しようとするため、バックアップはオフラインで維持することが重要 クラウド同期サービス(Dropbox、OneDrive、SharePoint、Google Driveなど)は、唯一のバックアップとして使用しない。これは、ファイル が「ランサムウェア化」された直後に自動的に同期される可能性があり、同期されたコピーも失われてしまうから 重要なシステムの「ゴールドイメージ」を定期的に更新しておく •事前に設定されたOSと関連するアプリケーションを含むイメージの「テンプレート」を維持 バックアップハードウェアを保持する •プライマリシステムの再構築が好ましくない場合にシステムを再構築するため 該当するソースコードや実行ファイルが利用できるようにしておく •異なるハードウェアやプラットフォームに正しくインストールされないイメージもあるため ランサムウェアインシデントへの対応と通知手順の作成、維持、実行 •サイバーインシデント対応計画と関連する通信計画を作成、維持、実行 備えあれば憂いなし
  • 4. Innovation-Leading Company 3©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 感染経路: インターネットに面した脆弱性と設定ミス  定期的に脆弱性スキャンを実施する  定期的にパッチを当て、アプリケーションやOSを最新版に更新する  デバイスが適切に設定され、セキュリティ機能が有効になっていることを確認する (使用されていないポートやプロトコルを無効にする)  RDPやその他のリモートデスクトップサービスの利用にベストプラクティスを採用する (RDP を使用しているシステムについてネットワークを監査し、未使用の RDP ポートを閉じ、指定された回数の試行後にアカウントのロックアウトを実施し、 MFAを使用して、RDP ログイン試行をログに記録)  SMBプロトコルのアウトバウンドを無効化またはブロックし、 古いバージョンの SMB を削除または無効化する (無効にすると壊れる可能性のある既存の依存関係[既存のシステムやアプリケーションの側]を軽減する作業を行った後、内部ネットワーク上のSMBv1とv2を無効 にします。またはアップグレードと再構成により依存関係を削除します。SMBv3[または最新バージョン]にアップグレードし、SMB署名を行います。UDPポート 137-138およびTCPポート139の関連プロトコルでTCPポート445をブロックすることで、SMBのすべてのバージョンがネットワークから外部にアクセスできない ようにブロックします)
  • 5. Innovation-Leading Company 4©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 感染経路: フィッシング  フィッシングなど疑わしい活動やインシデントを特定して報告する方法についてのガイダンスを 含む、サイバーセキュリティユーザの意識向上とトレーニングプログラムを実施する (組織全体でフィッシングテストを実施し、ユーザーの意識を測定し、悪質な可能性のある電子メールを特定することの重要性を強化する)  メールゲートウェイにフィルタを実装して、既知の悪意のある件名などの悪意のある指標を持つ メールをフィルタリングし、ファイアウォールで不審なIPアドレスをブロックする (悪意のある電子メールをブロックし、実行可能な添付ファイルを削除する。受信すると予想されるファイルタイプのみを許可するフィルタリングを実施する)  有効なドメインからのなりすましや改ざんされたメールの可能性を減らすために、 ドメインベースのメッセージ認証、報告、および適合性(DMARC)ポリシーと検証を実装する (DMARCは、広く展開されている送信者ポリシーフレームワークとDomain Keys Identified Mailプロトコルをベースに構築されており、送信者と受信者が不正な 電子メールからドメインを保護するための改善と監視を可能にするレポート機能を追加している)  電子メールで送信されるMicrosoft Officeファイルのマクロスクリプトを無効にすることを 検討する
  • 6. Innovation-Leading Company 5©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 感染経路: 前駆体マルウェア感染  アンチウイルスおよびアンチマルウェアソフトウェアとシグネチャを最新にする (両方のソリューションの自動更新をオンにする)  アプリケーションディレクトリの許可リストを使用して、許可されたソフトウェアのみが 実行できるようにし、許可されていないソフトウェアはすべて実行できないようにブロックする (Microsoft Software Restriction Policy または AppLocker を使用して、アプリケーションディレクトリの許可リストを有効にします。アプリケーションは PROGRAMFILES、 PROGRAMFILES(X86)、および SYSTEM32 から実行できますが、例外が認められない限り、他のすべての場所を許可しません)  マウントされたメディアの自動実行を無効にする (リムーバブルメディアが不要な場合は、リムーバブルメディアの使用を防ぐ)  ランサムウェアの展開に先立って発生するコマンド&コントロール活動やその他の潜在的な悪意の あるネットワーク活動を検出するために、侵入検知システム(IDS)の導入を検討する (既知の悪質なウェブサイトをブロックする)
  • 7. Innovation-Leading Company 6©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 感染経路: マネージドサービスプロバイダ  攻撃者は、MSP のネットワーク接続やクライアント組織へのアクセスを利用して、マルウェアや ランサムウェアを伝播させるための重要なベクターとして、MSP のネットワーク接続やクライア ント組織へのアクセスを利用する可能性がある
  • 8. Innovation-Leading Company 7©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 重要システムにアクセスするアカウントについては、 可能な限り全てのサービスにMFAを導入する •強力なパスワードを使用し、複数のアカウントでパスワードを再利用しない。デフォルトのパスワードを変更する。 指定された回数のログインを試みた後にアカウントのロックアウトを強制する。システム管理者は、マルウェアが高度なシステム権限で実行され るのを防ぐために、管理者アカウントを電子メールやウェブブラウジングに使用しないようにする すべてのシステムとサービスに最小特権の原則を適用し、ユーザーが自分の仕事を遂行するために 必要なアクセスのみを持つようにする •アプリケーションのインストールと実行のために、ユーザーの権限を制限する。不要なアカウントやグループを削除し、ルートアクセスを制限す る。Windows ドメインの Protected Users Active Directory グループを利用して、パスザハッシュ攻撃から特権ユーザアカウントを保護する。 定期的にユーザーアカウントを監査し、特に公開されているリモート監視と管理のアカウントを監査する。これには、MSPに与えられた第三者ア クセスの監査が含まれる クラウド環境と連携したセキュリティ設定を可能する •ベストプラクティスを活用し、Microsoft Office 365などのクラウド環境と連携したセキュリティ設定を可能する General Best Practices and Hardening
  • 9. Innovation-Leading Company 8©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. システムとデータの流れを記述した包括的なネットワーク図を作成し、定期的に更新する •定常状態で有用であり、インシデント対応者がどこに力を注ぐべきかを理解するのに役立つ ネットワーク・セグメンテーションの論理的または物理的な手段を使用して、組織内のさまざまな ビジネス・ユニットや部門のITリソースを分離したり、ITとOTの分離を維持したりする •侵害の影響を抑制し、悪意のある攻撃者による横方向への動きを防止または制限することができる ホストベースのファイアウォールとネットワークファイアウォールを設定し、デフォルトで受信接続を許可しないようにする General Best Practices and Hardening
  • 10. Innovation-Leading Company 9©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 組織の IT 資産を、論理的(データ、ソフトウェアなど)と物理的(ハードウェアなど)の両方を 理解し、インベントリを作成する。安全衛生、収益創出、その他の重要なサービスにとって 最も重要なデータやシステム、および関連する相互依存関係を理解する •インシデントが発生した場合の復旧の優先順位を決定する際に役立つ。重要資産に対して、より包括的なセキュリティ管理または安全策を適用す る。これには、組織全体の調整が必要である グループポリシーを使用して、ケースバイケースで特定のユーザーにPowerShellの使用を制限する •通常は、ネットワークまたは Windows OS を管理するユーザーまたは管理者のみが PowerShell の使用を許可される。PowerShellインスタンス をバージョン5.0以降にアップデートし、それ以前のバージョンのPowerShellをすべてアンインストールする。PowerShell のログには、過去の OS とレジストリの相互作用、脅威のアクターが PowerShell を使用する際に考えられる戦術、テクニック、手順など、貴重なデータが含まれて いる。PowerShellの活動を記録するログは、「PowerShell」Windowsイベントログと「PowerShell運用ログ」の2つ。これらのログは定期的に チェックして、ログデータが削除されていないか、ログがオフになっていないかを確認する必要がある。組み込みツールの悪用を防ぐ。 General Best Practices and Hardening
  • 11. Innovation-Leading Company 10©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. セキュアドメインコントローラ(DC) •DCへのアクセスはAdministratorsグループに制限する必要がある。DC ホストのファイアウォールは、インターネットアクセスを防止するよう に構成されている必要がある。認証資格情報を標的させない。認証には Kerberos のデフォルトプロトコルが推奨されるが、それを使用しない場 合は、NTLM 監査を有効にして、ネットワーク上で NTLMv2 レスポンスのみが送信されるようにする。可能であれば、LM および NTLM レスポ ンスが拒否されるように対策を講じるべきである。ローカル・セキュリティ認証のための追加保護を有効にして、システムからクレデンシャルを 取得することができるコード注入を防止する。ネットワーク上でのリプレイ攻撃の利用を防ぐために、ホストとDC間でSMB署名が必要であるこ とを確認する。環境内の他の場所でのこれらの攻撃に対する追加の防御として、SMB 署名をドメイン全体で実施する必要がある。 ネットワークデバイスとローカルホストの両方からのログを保持し、適切に保護する •ログを分析してイベントの影響を判断し、インシデントが発生したかどうかを確認する。サイバーセキュリティイベントのトリアージと 修復をサポート ベースラインを設定し、数ヶ月間のネットワーク活動を分析して行動パターンを決定する •正常で合法的な活動と異常なネットワーク活動(例:正常なアカウント活動と異常なアカウント活動)をより簡単に区別できるようにする General Best Practices and Hardening
  • 12. ©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. Innovation-Leading Company 11 Part 2: Ransomware Response Checklist
  • 13. ©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. Innovation-Leading Company 12 1. 影響を受けたシステムを特定し、直ちに隔離する 複数のシステムまたはサブネットが影響を受けているように見える場合は、スイッチレベルでネットワークをオフラインにします。 インシデント中に個々のシステムを切断することは現実的ではない場合があります。ネットワークを一時的にオフラインにすること がすぐに不可能な場合は、ネットワークケーブルを見つけて、影響を受けるデバイスをネットワークから抜くか、Wi-Fiから取り外 して感染を封じ込めます。最初の侵害の後、悪意のある攻撃者は、組織の活動や通信を監視して、その行為が検出されたかどうかを 把握することがあります。システムを協調的に隔離し、電話などの帯域外の通信手段を使用して、アクターに発見されたことや緩和 措置が実施されていることを知られないようにしてください。そうしないと、アクターがアクセスを維持するために横方向に移動し たり、ネットワークがオフラインになる前にランサムウェアを広範囲に展開したりする可能性があります。 2. ネットワークからデバイスを切断できない場合のみ、ランサムウェア感染の拡大を防ぐためにデバイスの電源を切断する 注:ステップ2では、揮発性メモリに保存されたランサムウェア感染のアーティファクトや潜在的な証拠を維持することができなく なります。他の手段でネットワークを一時的にシャットダウンしたり、影響を受けたホストをネットワークから切断したりすること ができない場合にのみ実施してください。 3. 影響を受けたシステムの復旧のためのトリアージ 復旧のための重要システムを特定して優先順位を付け、影響を受けたシステムに格納されているデータの性質を確認します。安全衛 生、収益創出、またはその他の重要なサービスに不可欠な情報システムと、それらに依存するシステムを含む、事前に定義された重 要資産リストに基づいて、復旧と復旧の優先順位を決定します。影響を受けていないと思われるシステムやデバイスを記録しておく ことで、復旧やリカバリーのために優先順位をつけておくことができます。これにより、組織はより効率的にビジネスに復帰するこ とができます。
  • 14. Innovation-Leading Company 13©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 4. チームと協議して、初期分析に基づいて発生したことの初期理解を作成し、文書化する 5. 社内外のチームや利害関係者を巻き込んで、インシデントの緩和、対応、および回復を支援するために何を提供できるかを理解する あなたが自由に使える情報を共有し、最もタイムリーで関連性の高い支援を受けることができます。状況の変化に応じて定期的に更 新される情報により、経営陣やシニアリーダーに情報を提供します。関連する利害関係者には、IT部門、マネージドセキュリティサ ービスプロバイダ、サイバー保険会社、部門や選出されたリーダーなどが含まれます。 6. 影響を受けるデバイスのサンプル(ワークステーションやサーバーなど)のシステムイメージとメモリキャプチャを取得する さらに、関連するログ、「前駆体」マルウェアのバイナリのサンプル、関連する観測可能性や侵害の指標(疑わしいコマンドや制御 IPアドレス、疑わしいレジストリエントリ、検出されたその他の関連ファイルなど)を収集します。揮発性が高い、または保持が制 限されている証拠を保存して、紛失や改ざんを防ぐように注意してください(システムメモリ、Windowsセキュリティログ、ファ イアウォールログバッファ内のデータなど)。 7. セキュリティ研究者が既にいくつかのランサムウェアの暗号化アルゴリズムを解読しているため、 利用可能な復号器については法執行機関に相談する
  • 15. Innovation-Leading Company 14©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 8. 特定のランサムウェアについての信頼できるガイダンス(政府、ISAC、評判の良いセキュリティベンダーなどの情報源から公表さ れているもの)を調査し、追加で推奨される手順に従って、影響を受けることが確認されているシステムやネットワークを特定して 封じ込める 既知のランサムウェアのバイナリの実行を停止または無効にすることで、システムへのダメージと影響を最小限に抑えることができ ます。その他の既知の関連するレジストリ値とファイルを削除します。 9. 最初の侵害に関与したシステムとアカウントを特定する これには、メールアカウントも含まれます。 10. 上記で決定された侵害または危殆化の詳細に基づき、さらなる不正アクセスまたは継続的な不正アクセスのために使用される 可能性のある関連システムを把握 侵害は多くの場合、大量のクレデンシャルの流出を伴う。クレデンシャルに基づく継続的な不正アクセスからネットワークおよびそ の他の情報源を保護するには、以下のアクションが含まれる。仮想プライベート・ネットワーク、リモート・アクセス・サーバ、シ ングル・サインオン・リソース、およびクラウドベースまたはその他のパブリック・フェイシング資産を無効にする。
  • 16. Innovation-Leading Company 15©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 11. 推奨される追加アクション(サーバー側のデータ暗号化の迅速な特定手順) サーバー側のデータが感染したワークステーションによって暗号化されていることがわかった場合、 迅速な特定手順は次のとおりです。 a. 関連するサーバー上の「コンピュータ管理」>「セッションと開くファイル」のリストを確認して、 これらのファイルにアクセスするユーザーまたはシステムを特定します。 b. 暗号化されたファイルやランサムノートのファイルのプロパティを確認して、 ファイルの所有権に関連する可能性のある特定のユーザーを特定します。 c. Terminal Services Remote Connection Manager イベントログを確認して、 RDP ネットワーク接続が成功したかどうかを確認します。 d. Windows セキュリティログ、SMB イベントログ、および重要な認証イベントやアクセスイベントを特定する 可能性のある関連ログを確認します。 e. 影響を受けたサーバ上でWiresharkを実行し、ファイルの書き込みやリネームに関与しているIPアドレスを特定するための フィルタをかけます(例: "smb2.filenameにcryptxxxが含まれている "など)。
  • 17. Innovation-Leading Company 16©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 12. 既存の検知・防御システム(アンチウイルス、エンドポイント検知・応答、IDS、侵入防御システムなど)やログの調査 これにより、攻撃の初期段階で追加のシステムやマルウェアが関与している証拠が浮き彫りになることがあります。 13. アウトサイドインとインサイドアウトの永続化メカニズムを特定するための拡張分析を行う アウトサイドインの持続性には、不正なアカウントによる外部システムへの認証済みアクセス、境界システムへのバックドア、外部 の脆弱性の悪用などが含まれる可能性があります。インサイドアウトの持続性には、内部ネットワーク上へのマルウェアの移植や、 様々なリビングオフザランドスタイルの変更(例えば、Cobalt Strike のような商用の侵入テストツールの使用、PsExec を含む PsTools スイートの使用によるマルウェアのリモートインストールと制御、Windows システムに関する情報収集やリモート管理の 実行、PowerShell スクリプトの使用など)が含まれます。識別には、EDRソリューションの導入、ローカルおよびドメインアカウ ントの監査、集中ログシステムで見つかったデータの調査、または環境内の動きがマップアウトされた後の特定のシステムのより深 いフォレンジック分析が含まれます。 14. 可能であれば、事前に設定された標準イメージを使用して、重要なサービス(安全衛生や収益を生み出すサービスなど)の 優先順位付けに基づいてシステムを再構築する 15. 環境が完全にクリーンアップされ、再構築されたら(関連する影響を受けたアカウント、悪意のある永続化メカニズムの除去または 修復を含む)、影響を受けたすべてのシステムに対してパスワードのリセットを行い、関連する脆弱性やセキュリティまたは可視性 のギャップに対処する これには、パッチの適用、ソフトウェアのアップグレード、およびこれまでに行われていないその他のセキュリティ対策が含まれま す。※復旧に必要なシステムからロックされていないことを確認し、パスワードを含む資格情報(特に管理者用)をリセットする。
  • 18. Innovation-Leading Company 17©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. 16. 上記のステップを踏むこと、または外部の支援を求めたりするなど確立された基準に基づいて、 指定されたITまたはITセキュリティ機関は、ランサムウェアのインシデントの終了を宣言する 17. 重要なサービスの優先順位付けに基づいて、システムを再接続し、オフラインの暗号化されたバックアップからデータを復元します ・感染したデバイスを消去し、オペレーティングシステムを再インストール ・バックアップにマルウェアやランサムウェアが含まれていないことを確認し バックアップがクリーンであるという確信がある場合にのみ、バックアップから復元 ・クリーンなネットワークにデバイスを接続して、OSとその他のアプリケーションをダウンロード、インストール、アップデート ・セキュリティ対策ソフトをインストール、アップデート、実行 ・ネットワークに再接続 ・ネットワークトラフィックを監視し、セキュリティ対策スキャンを実行して、感染が残っているかどうかを確認 18. インシデントとそれに関連する対応活動から得た教訓を文書化し、 組織の方針、計画、手順を更新し、改善するための情報を提供し、今後の同種の演習の指針とする
  • 19. Innovation-Leading Company 18©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. ご参考; Hybrid Security PoC ラボ SASE/Zero Trustの実験場を提供
  • 20. Innovation-Leading Company 19©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. ご参考; 最低限実装すべきサイバーセキュリティ施策とロードマップの指標 サイバーセキュリティ経営ガイドライン 実践状況の可視化ツールβ版 NISTサイバーセキュリティフレームワークに基づいた NSA’S Top Ten Cybersecurity Mitigation Strategies 英国のナショナルサイバーセキュリティセンター NCSC 10 steps to cyber security 1. リスク管理体制 2. ソフトウェア管理 3. 最新のハードウェアセキュリティ機能を活用する 4. アカウント管理と特権管理 5. システムと構成管理および復旧を計画する 6. ネットワークセキュリティー 7. 脅威評価サービスを統合する 8. インシデント管理 9. リムーバブルメディアコントロール 10.ユーザー教育と意識向上  日本、米国、英国のサイバーセキュリティのレギュレーションからサイバーセキュリティの ベストプラクティスをステップバイステップで実装するための10のドメイン 日本 米国 英国
  • 21. Innovation-Leading Company 20©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. ご参考; オフェンシブな診断メニュー ペネトレ • 攻撃者にどこを狙われるのか? • 設定不備含めた対策として 不十分な部分を明確化 • マルウェアを踏んだ後、 CSIRT/SOC側のディフェンス 能力診断 • 最近はVPNリモートアクセスに 対するペネトレの需要が多い アクティブフォレンジック • フォレンジック可能な状態で あるかどうかの診断 • 重要なサーバ、経営層の端末、 資産データに対して攻撃により 何をされたのか?侵入経路は? そのターゲット以外の影響は? をフォレンジックできる状態に あるかどうかを診断 • ログ取得の不備、そもそもログ が生成できない、トレーサビリ ティの対応度合いなど