** 本記事は、Endpoint Best Practices to Block Ransomware の翻訳です。最新の情報は英語記事をご覧ください。**
昨年の組織に対する攻撃のうち 66% がランサムウェアを用いたものでした。
ランサムウェア攻撃を実行するまでの障壁はかつてないほど低くなっています。RaaS (サービスとしてのランサムウェア) モデルへの急激な移行により、高い技術を持たない攻撃者でも、高度な攻撃を行えるようになったためです。さらに、サイバーセキュリティの強化が進む一方で、ランサムウェアのオペレーターは、最新の高度な保護技術を回避するため、正規の IT ツールを悪用したり、新しいプログラミング言語を習得したりするなど、攻撃のアプローチを進化させています。
エンドポイント保護は、ランサムウェアからデバイスを守る最も効果的な方法の 1 つですが、最適な保護を実現するためには、適切な設定が必要です。最近公開した「ランサムウェアを阻止するためのエンドポイント保護のベストプラクティス」と題されたレポート、および本記事では、ランサムウェアに対する防御を強化するための、エンドポイントセキュリティに関する実践的なアドバイスを紹介しています。
1. すべてのポリシーをオンに切り替え、すべての機能が有効であることを確認する
各ポリシーは、特定の脅威を阻止するために設計されています。すべての保護オプションが有効になっていることを定期的に確認することで、エンドポイントを現行の、および新種のランサムウェアから保護できます。
Sophos Central でエンドポイント保護を管理しているお客様は、「アカウントヘルスチェック」ツールを利用できます。このツールは、お客様のアカウント設定を自動的に評価して潜在的なセキュリティの問題を特定し、保護を最適化する方法を案内します。この機能の詳細については、こちらをご覧ください。
2. 除外リストを定期的に確認する
除外リストは、信頼できるディレクトリやファイルタイプをマルウェアスキャンの対象から除くための機能です。システムの遅延を減らし、セキュリティ警告の誤検出のリスクを最小化するために使用されることがあります。時間が経つにつれて、除外されるディレクトリとファイルタイプが増え、ネットワーク内で影響を受けるユーザーが増加する可能性があります。また、除外されるディレクトリ (おそらくユーザーが誤って移動してしまった) にうまく侵入したマルウェアは、チェック対象から除外されるため、攻撃が成功する確率が高まります。脅威対策設定から除外リストを定期的に確認し、除外対象の数をできる限り減らしてください。
3. 多要素認証 (MFA) を有効にする
MFA は、最初の要素 (一般的にはパスワード) に追加するもう 1 つのセキュリティレイヤーとなります。アプリケーション全体で MFA を有効にすることは、セキュリティコンソールにアクセスする全ユーザーにとって重要です。MFA を有効にすることで、エンドポイント保護ソリューションへのセキュアなアクセスが確保されます。また、偶発的または故意に設定が変更され、エンドポイントデバイスが攻撃を受けやすくなることが少なくなります。MFA は RDP の保護にとっても極めて重要です。
4. すべてのエンドポイントが保護され、最新の状態であることを確認する
定期的にデバイスをチェックし、システムが保護されていること、および保護が最新の状態であることを確認しましょう。正しく機能していないデバイスは、保護されておらず、ランサムウェア攻撃に対して脆弱である可能性があります。多くのエンドポイントセキュリティツールは、デバイスの状態をテレメトリングできます。また、IT 環境に潜在的な問題がないかを定期的にチェックするための IT ハイジーン管理プログラムも有効です。
5. IT ハイジーンを維持する
IT ハイジーンを定期的に管理することで、エンドポイント保護製品と、インストールされているソフトウェアを最大効率で実行できます。また、サイバーセキュリティのリスクを軽減し、実際にインシデントが発生した場合の修復時間を短縮できます。
6. ネットワーク内のアクティブな攻撃をプロアクティブに追跡する
今日の脅威環境では、攻撃はこれまで以上に巧妙化しており、正規のツールや窃取した認証情報を使用して検出を回避しようとします。これらの攻撃を特定し、阻止するためには、高度な脅威や積極的な敵対者を積極的に探索することが不可欠です。また、脅威を発見した場合に、すぐに適切な対処をし、阻止することが必要です。セキュリティアナリストは、XDR (Extended Detection and Response) などのツールを用いることで、脅威ハンティングと脅威の無力化を行います。これらのテクノロジーを持つ組織は、その利点を最大限に活用する必要があります。
多くの組織にとって、高度なランサムウェア攻撃からの防御を 24 時間体制で続けることは大きな負担です。そのため、MDR (Managed Detection and Response) サービスが重要な鍵を握っています。MDR サービスは、テクノロジーソリューションだけでは防げないサイバー攻撃を検出/対応する専門家が、24 時間 365 日体制で提供するフルマネージド脅威ハンティングです。同サービスは、高度で人為的なランサムウェア攻撃に対しても最高水準の防御を提供します。MDR のメリットについて詳しく知りたい方は、こちらの記事をご覧ください (リンク先: 英語)。
上述のベストプラクティスの詳細と、ソフォスのセキュリティソリューションがどのようにランサムウェア対策を強化するかについては、こちらからホワイトペーパーをダウンロードしてください。
詳細情報
Sophos Endpoint は、攻撃対象となる領域を削減し、攻撃の実行を防止します。アンチエクスプロイト、アンチランサムウェア、ディープラーニング AI、制御技術を組み合わせ、システムが被害を受ける前に攻撃を阻止します。強力な XDR と自動検出/自動応答を統合しているため、脅威の検出と応答にかかる時間を最小限に抑えられます。