ネットワーク セグメンテーションへのゼロトラスト アプローチ
課題
企業を狙ったサイバー攻撃が相次いで成功しています。従来のような境界中心のセキュリティ戦略ではもはや効果がないことは極めて明白です。リスクが高いネットワーク境界を通過するユーザおよびアプリケーション トラフィックを十分に監視、制御、保護できないうえ、組織のネットワーク内は信頼されているはずであるという時代遅れの思い込みがあるからです。
ゼロトラスト アーキテクチャ アプローチは、「信頼しないで常に検証する」ことを指針に掲げ、こうした課題に対処するためにForrester Research社によって初めて提唱されました。ゼロトラストでは、ユーザー、デバイス、アプリケーション、パケットなど、いずれのエンティティも無条件に信頼されることはありません。エンティティが何であるか、企業ネットワークとどのような関係にあるかは関係ありません。ネットワークのさまざまなセグメントを効果的に区分するゼロトラスト境界を確立することで、不正なアプリケーションやユーザーから重要な知的財産を保護し、脆弱なシステムの悪用を軽減できるほか、マルウェアの横方向の移動をネットワーク全体で防止することもできます。
仮想ローカル エリア ネットワーク(VLAN)を使用してネットワークをセグメント化している組織もありますが、VLANはネットワーク トラフィックを分離するだけです。権限がある情報を制御することはできません。また、VLANだけでは、トラフィックに脅威が潜んでいないかどうかを検査することはできません。真のゼロトラスト ネットワーク セグメンテーションを実現するには、アプリケーション、ユーザー、コンテンツを把握できるエンタープライズ セキュリティ プラットフォームが必要です。
ソリューション
パロアルトネットワークスのエンタープライズ セキュリティ プラットフォームは、次のような重要なゼロトラストの概念に対処します。
- セキュアなアクセス - GlobalProtectは、ユーザーの場所(リモート オフィス、ブランチ オフィス、ローカル ネットワーク、インターネットなど)に関係なく、すべての従業員、パートナー、顧客、ゲストに一貫したセキュアなIPsecおよびSSL VPN接続を提供します。アプリケーション、ユーザー、コンテンツ、デバイス、デバイス状態に基づいて、機密性の高いアプリケーションやデータにアクセスできるユーザーやデバイスを決定するためのポリシーを定義することができます。
- 全トラフィックの検査 - App-IDは、ポートとプロトコル、ポート ホッピングや暗号化などの回避手法に関係なく、すべてのトラフィックを的確に識別して分類します。これにより、マルウェアが検出から逃れるために使用する手段がなくなり、アプリケーション、関連するコンテンツ、脅威を完全に把握することができます。最小権限アクセス制御 - App-ID、User-ID、およびContent-IDを組み合わせると、使用している具体的なアプリケーションや個々の機能、ユーザーIDやグループID、アクセスしているデータの具体的な種類や部分(クレジットカード番号や社会保障番号)など、ビジネス関連の広範な属性に基づいてリソースとのやり取りを制御できるポジティブ コントロール モデルが実現します。他のソリューションはポートおよびプロトコル レベルの分類に限定されているせいで、大量のトラフィックがすり抜けてしまいます。それに比べて、このソリューションのアクセス制御は非常にきめ細やかなので、適切なユーザーに適切なアプリケーションの使用を安全に許可できると同時に、不要なトラフィック、不正なトラフィック、有害な可能性があるトラフィックがネットワークにアクセスするのを自動的に防ぐことができます。
- 高度な脅威防御 - アンチウイルス/マルウェア、侵入防御、高度な脅威防御テクノロジ(Content-IDおよびWildFire)を組み合わせると、モバイル デバイス上の脅威を含め、既知の脅威と未知の脅威両方からの包括的な保護が実現します。さらに、高度に統合されたクローズドループ型の防御のサポートにより、脅威防御フレームワーク内のインライン処理デバイスやその他のコンポーネントが自動的に更新され、WildFireなどの脅威インテリジェンスのソースから得た知見が反映されます。
ITセキュリティ チームはまず、VirtualWire導入モードを利用して、運用を中断することなく、ネットワーク内の1つ以上の場所にパロアルトネットワークスのデバイスを導入します。次に、リッスン専用モードに設定して、特定のユーザーが特定のアプリケーションやデータ リソースをいつ、どこで、どの程度使用しているかなど、ネットワーク全体のトランザクション フローを詳細に把握します。その後、その詳細情報に基づいて、適切な場所にデバイスを徐々に導入して、識別された信頼ゾーンの内部信頼境界を確立し、適切な実施および検査ポリシーを設定して、それぞれの信頼境界を効果的に「オンライン」に移行します。
適切なゼロトラスト アーキテクチャをネットワークに使用することで、悪意のあるアクティビティの状況を極めて効果的に認識でき、機密データの漏洩を防ぎ、コンプライアンス規制に容易に準拠することができます。
関連コンテンツ
関連コンテンツ
脅威の概要: WanaCrypt0r について判明していること
本 Unit 42 ブログ記事では、WanaCrypt0r ランサムウェアによる攻撃とその拡散方法についての本脅威の現況について、更新情報を提供します。
Rick Howard, Palo Alto Networks,
Tsunamiの亜種である新しい IoT/Linux マルウェアがデジタルビデオレコーダーを標的に
パロアルトネットワークスの脅威インテリジェンスチーム「Unit 42」は、新しい IoT/Linux ボットネット「Tsunami」の亜種である「Amnesia」を発見しました。Amnesia ボットネットによる攻撃は、TVT Digital 社ならびに TVT Digital 社から供給を受けた世界 70 以上のベンダーブランドによる DVR (デジタル ビデオ レコーダー) 機器に存在する、パッチを適用されていないリモートコード実行に関する脆弱性を狙います。
WanaCrypt0r ランサムウェア攻撃に対するTrapsによるプロテクション
2017年5月12日金曜日に始まったWanaCrypt0rランサムウェア攻撃は、世界中の公的組織および民間組織のシステムに影響を与え続けています。この記事では、次世代 エンドポイント セキュリティTrapsが提供する今回のランサムウェア攻撃に対する保護と、お客様がWanaCrypt0rに対してセキュリティを強化するために取るべき対策の概要を説明します。 ランサムウェア:WanaCrypt0r ランサムウェア WanaCrypt0r (別名WannaCryまたはWCry)の最初の感染ベクターはまだ調査中ですが、これまで多くの攻撃が確認されています。これらの攻撃は、Microsoft WindowsシステムのSMBプロトコルの脆弱性CVE-2017-0144(「EternalBlue」と呼ばれる)を使って、ネットワーク上の感染したエンドポイントから、他のシステムに感染を拡大していきます。Microsoftは、2017年3月にこの脆弱性に対するパッチを発行し、セキュリティ パッチの提供対象ではなくなっているWindows XPなどのシステムに対しても特別にパッチの提供をしました。 SMBプロトコルの脆弱性が利用される可能性のあるパッチ未適用のWindowsシステムでは、最初に感染したエンドポイントから、WanaCrypt0rがターゲットのシステムにリモートで感染し、マルウェアを実行します。新しく感染したエンドポイントは、ネットワークで接続されているその他のホストにこのサイクルを繰り返し、攻撃を拡散していきます。感染した各エンドポイント上のデータ ファイルは、身代金を引き出すために、暗号化されます。 WanaCrypt0rに対するTrapsによるプロテクション Trapsの複数メソッドによる防御アプローチにより、WanaCrypt0r攻撃の初期の段階でマルウェアの実行をブロックします。最初のマルウェアがうまくエンドポイントに侵入した場合(当社の次世代セキュリティ プラットフォームがこれを阻止できるしくみを以下に示しています)、Trapsは、WanaCrypt0rマルウェアを実行しようとする攻撃者の試みを自動的にブロックします。 ランサムウェアWanaCrypt0rの実行を阻止 Trapsのほぼ全てのお客様は、WanaCrypt0r攻撃を防ぐためにデフォルトのポリシーと設定を変更する必要はありません。Traps v4.0 (2017年5月にリリース)およびv3.4 (2016年8月にリリース)は、以下のマルウェア防御メソッドを使用して、Windows端末上でのWanaCrypt0rの実行を阻止します。 脅威インテリジェンスクラウドWildFire: WildFireは、当社の脅威インテリジェンス パートナー、サードパーティ フィード、およびWildFireに登録している15,500のお客様によって確認されたWanaCrypt0rのすべてのサンプルをマルウェアとして自動的に見極めます。世界中でこのマルウェアの新しいサンプルが発見されたら、WildFireは、Trapsによって保護されているエンドポイントでそれらの亜種をブロックするため、更新済みの制御を自動的に作成および配信します。Trapsでは、このマルウェア防御機能はデフォルトで有効になっており、お客様が、この保護機能を無効にしない限り、ポリシー設定を変更することなく保護されます。 機械学習機能を利用したローカル解析: ローカル解析マルウェア防御機能は、WanaCrypt0rの新しい亜種およびこれまで確認されていない亜種にエンドポイントが感染する前にその実行をブロックします。ローカル解析はウイルス シグネチャを使用せず検出できるため、Trapsのお客様は、金曜日に表面化したこのランサムウェア攻撃の最初の報告より前から保護されていました。また、このマルウェア防御機能はデフォルトで有効になっているため、お客様は、この保護機能を無効にしない限り、ポリシー設定を変更することなく自動的に保護されます。 WildFireクラウドベースの詳細解析: Trapsは、ローカル解析と組み合わせて、より詳細な解析を行うために、クラウド脅威解析WildFireに未知の実行可能ファイルを自動的に送信します。これを受けてWildFireは、自動的に新しい防御制御を作成して、Traps (およびPalo Alto Networksの次世代セキュリティ プラットフォームのその他のコンポーネント)と共有します。これは、自動で、わずか5分で実行できます。このマルウェア防御機能では、WanaCrypt0rの新しい亜種と未知の亜種だけでなく、その他のマルウェアも識別できます。さらに、Trapsのお客様は、WildFire判定が出るまで、未知のプログラムの実行を防ぐように簡単に設定することができます。この追加の制御は、Traps v3.4およびv4.0ではデフォルトでONにはなっていませんが、基本的に、WanaCrypt0rランサムウェアのブロックには不要です。 実行制御: 実行制御によって、WanaCrypt0rがターゲット マシン上の一時フォルダに作成するマルウェア プログラムを実行しないようにできます。実行制御は、デフォルトで使用可能なWildFireおよびローカル解析防御機能を補完する追加の防御層として機能します。セキュリティ要件が高度なTrapsのお客様は、この防御機能によってデフォルトの防御を強化することを選択できます。ただし、この機能は手動で設定する必要があります。現在、WanaCrypt0rに関連する既知の場所および実行可能ファイルの立証済みの包括的な一覧がないので、Trapsのお客様は状況に応じて新しい実行制御を追加することを検討する必要があります。 WanaCrypt0rマルウェア拡散の阻止 前述のマルウェア防御機能に加えて、Traps v4.0で導入された子プロセス保護は、WanaCrypt0rで使用されるいくつかの手法で被害者のネットワーク全体に拡散しないように防止します。Palo Alto Networksは、Traps v4.0で、特定の子プロセス保護ポリシーの適用プロセスを自動化するコンテンツ更新(#15-1078、お客様はサポート ポータルから入手可能)をリリースしました。お客様は可能な限り、この更新を適用することをお勧めします。 Trapsおよび次世代セキュリティ プラットフォーム Trapsプロテクションは、Palo Alto Networksの次世代セキュリティ プラットフォームを構成する重要なコンポーネントです。次世代セキュリティプラットフォームで使われるされる脅威インテリジェンスによって防御力が強化され続けます。スタンドアロン導入(その他のPalo Alto Networksテクノロジを導入していない)でTrapsを使用しているお客様は、他のお客様によって先に検出されたWanaCrypt0rの亜種の情報が共有されることで感染を防ぐことができるメリットがあります。 次世代セキュリティ プラットフォームのその他のコンポーネントと共にTrapsを導入しているお客様は、これらの強力な標準防御機能に加えて、複数の補完的な防御と制御によって、攻撃のライフサイクル全体にわたって、WanaCrypt0rランサムウェアをブロックできます。これらの補完的な防御と制御については、ブログ記事「Palo Alto Networks Protections Against WanaCrypt0r Ransomware Attacks」(WanaCrypt0rランサムウェア攻撃に対するPalo Alto Networksによる防御)で概要を説明しています。 WanaCrypt0rランサムウェア攻撃は進化を続けています。このランサムウェアの新しい亜種や更新された亜種が近い将来に発見される可能性があります。新しい情報が入り次第、Trapsに関する追加の詳細でこの記事を更新する予定です。
WildFire™ データシート
パロアルトネットワークス® WildFire は、ゼロデイ エクスプロイトや高度な回 避技術を駆使する未知のマルウェアに対応する、業界随一の分析および防御 エンジンです。このサービスは、動的解析と静的解析、革新的な機械学習、および画期的なベア メタル解析環境を組み合わせた独自の複数手法を採用 することで、最も巧妙に回避するような脅威でさえ検出および防御できます。
アドバンスト エンドポイント プロテクション
パロアルトネットワークスのアドバンストエンドポイント プロテクションは、識別から防御への全面的なパラダイム シフトです。脆弱性の悪用とマルウェアに対しこの機能が発揮する包括的な防御は、攻撃の識別を目指したものではなく、マルウェアがその目的を達成する前に、マルウェアからネットワークを防御することを目指しています。
Android アドウェアの新しい傾向: Android のプラグインフレームワークの悪用
正当なモバイルアプリが広告用 SDK やほかのアプリのプロモーションを組み込むのはよくあることです。広告を表示し、ほかのアプリのプロモーションすることで、正当なアプリの開発者は収入を得ているからです。しかしながら、最近モバイルアプリコミュニティにおいて警戒すべき傾向が観測されるようになってきました。すなわち、Google Play ストアのアドウェア プログラムが Android 上でサードパーティの DroidPlugin フレームワーク を悪用し、より攻撃的になってきているという傾向です。