フェーズ 2: 損害範囲を制限する

[アーティクル]
08/09/2022

このフェーズでは、攻撃者がデータやシステムに損害を与える可能性がある大規模なアクセス範囲を取得できないように、特権ロールを保護します。

特権アクセス方式

特権アクセス侵害のリスクを軽減するためには、包括的な戦略を実装する必要があります。

他のすべてのセキュリティ制御は、環境内で特権アクセス権を持つ攻撃者によって簡単に無効化される可能性があります。ランサムウェアの攻撃者は、特権アクセスをクイックパスとして使用して、攻撃とその後の強要のために組織内のすべての重要な資産を制御します。

プログラムとプロジェクトメンバーのアカウンタビリティ

次の表では、結果を判別して推進するスポンサー、プログラム管理、プロジェクト管理の階層の観点から、ランサムウェアに対する特権アクセス戦略について説明します。

Lead	実装者	アカウンタビリティ
CISO または CIO		エグゼクティブスポンサー
プログラムリーダー		結果とチーム間のコラボレーションを推進する
	IT およびセキュリティアーキテクト	アーキテクチャに統合するコンポーネントに優先順位を付ける
	ID とキーの管理	ID の変更を実装する
	中央 IT 生産性またはエンドユーザーチーム	デバイスと Office 365 テナントへの変更を実装する
	セキュリティポリシーと基準	標準とポリシーのドキュメントを更新する
	セキュリティコンプライアンス管理	コンプライアンスを確保するために監視する
	ユーザー教育チーム	パスワードのガイダンスを更新する

実装のチェックリスト

このチェックリストを含む https://aka.ms/SPA のガイダンスを使用してマルチパート戦略を構築します。

完了	タスク	説明
	エンドツーエンドセッションセキュリティを適用する。	( Azure Active Directory 条件付きアクセスを使用して) 管理インターフェイスへのアクセスを許可する前に、ユーザーとデバイスの信頼を明示的に検証します。
	ID システムを保護および監視する。	ディレクトリ、ID 管理、管理者アカウントとグループ、同意付与の構成などの特権エスカレーション攻撃を防ぎます。
	ラテラルトラバーサルを軽減する。	1 つのデバイスを侵害しても、ローカルアカウントのパスワード、サービスアカウントのパスワード、またはその他のシークレットを使用して、他の多数またはすべてのデバイスをすぐに制御できないようにします。
	迅速な脅威対応を確保する。	環境内での敵対者のアクセスと時間を制限します。詳細については、「検出と応答」を参照してください。

実装の結果とタイムライン

30 日から 90 日間で次の結果を達成するよう努めてください。

セキュリティで保護されたワークステーションを使用するには、管理者の 100% が必要です
100% のローカルワークステーション/サーバーパスワードがランダム化されます
100% の特権エスカレーションの軽減策がデプロイされます

検出と対応

組織には、エンドポイント、電子メール、ID への一般的な攻撃に対する応答性の高い検出と修復が必要です。即応性が重要になります。攻撃者が組織のラテラルトラバースを実行する時間を制限するには、一般的な攻撃エントリポイントを迅速に修復する必要があります。

プログラムとプロジェクトメンバーのアカウンタビリティ

次の表では、結果を判別して推進するスポンサー、プログラム管理、プロジェクト管理の階層の観点から、ランサムウェアに対する検出と対応機能の向上について説明します。

Lead	実装者	アカウンタビリティ
CISO または CIO		エグゼクティブスポンサー
セキュリティ運用のプログラムリーダー		結果とチーム間のコラボレーションを推進する
	中央 IT インフラストラクチャチーム	クライアントとサーバーのエージェントまたは機能を実装する
	セキュリティ運用	新しいツールをセキュリティ運用プロセスに統合する
	中央 IT 生産性またはエンドユーザーチーム	Defender for Endpoint、Defender for Office 365、Defender for Identity、Defender for Cloud Apps の機能を有効にする
	中央 IT ID チーム	Azure AD セキュリティと Defender for Identity を実装する
	セキュリティアーキテクト	構成、基準、ツールに関してアドバイスする
	セキュリティポリシーと基準	標準とポリシーのドキュメントを更新する
	セキュリティコンプライアンス管理	コンプライアンスを確保するために監視する

実装のチェックリスト

これらのベストプラクティスを適用して、検出と対応を向上させます。

完了	タスク	説明
	一般的なエントリポイントに優先順位を付ける。 - Microsoft 365 Defender などの統合された Extended Detection and Response (XDR) ツールを使用して、高品質のアラートを提供し、応答中の摩擦と手動の手順を最小限に抑える。 - パスワードスプレーなどのブルートフォースの試行を監視する。	ランサムウェア (およびその他) のオペレーターは、エンドポイント、電子メール、ID、RDP をエントリポイントとして好みます。
	敵対者が次のようにセキュリティを無効にしていないか監視する (これは多くの場合、攻撃チェーンの一部です)。 - イベントログのクリア (特にセキュリティイベントログと PowerShell の操作ログ)。 - セキュリティツールとコントロールの無効化。	攻撃者は、セキュリティ検出機能を標的にして、攻撃をより安全に続行します。
	市販のマルウェアを無視しない。	ランサムウェア攻撃者は、ターゲット組織へのアクセス権をダークマーケットから定期的に購入しています。
	Microsoft Detection and Response Team (DART) など、外部の専門家をプロセスに統合して専門知識を補完する。	検出と復旧には経験が重視されます。
	Defender for Endpoint を使用して、侵害されたコンピューターを迅速に分離する。	Windows 11 と 10 の統合により、これは簡単になります。

次のステップ

フェーズ 3 に進み、リスクを段階的に取り除くことによって、攻撃者が環境に侵入するのを困難にします。

その他のランサムウェアリソース

Microsoft からの重要な情報:

ランサムウェアの脅威の増大 (2021 年 7 月 20 日の Microsoft On the Issues のブログ記事)
人間が操作するランサムウェア
ランサムウェアや脅迫からの迅速な保護
2021 Microsoft Digital Defense Report (10 - 19 ページを参照)
ランサムウェア: Microsoft 365 Defender ポータルの広範かつ継続的な脅威脅威分析レポート
Microsoft の検出と対応チーム (DART) ランサムウェアのアプローチとケーススタディ

Microsoft 365:

Microsoft 365 Defender:

高度なハンティングによるランサムウェアの検索

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Defender for Cloud Apps で異常検出ポリシーを作成する

Microsoft セキュリティチームのブログ記事:

ランサムウェアを防止し、回復するための 3 つの手順 (2021 年 9 月)
人が操作するランサムウェアと闘うためのガイド: パート 1 (2021 年 9 月)

Microsoft の検出と対応チーム (DART) がランサムウェアインシデント調査を実施する方法に関する重要な手順。
人が操作するランサムウェアと闘うためのガイド: パート 2 (2021 年 9 月)

推奨事項とベストプラクティス。
サイバーセキュリティリスクを理解して回復性を得る: 第 4 部 - 現在の脅威を調べる (2021 年5月)

「Ransomware (ランサムウェア) 」セクションを参照してください。
人間が操作するランサムウェア攻撃: 予防可能な災害 (2020 年 3 月)

実際の攻撃の攻撃チェーン分析が含まれています。
ランサムウェアの対応 - 支払うか支払わないか? (2019 年 12 月)
Norsk Hydro による、透過性を保ったランサムウェア攻撃への対応 (2019 年 12 月)

フェーズ 2: 損害範囲を制限する

特権アクセス方式

プログラムとプロジェクト メンバーのアカウンタビリティ

実装のチェックリスト

実装の結果とタイムライン

検出と対応

プログラムとプロジェクト メンバーのアカウンタビリティ

実装のチェックリスト

次のステップ

その他のランサムウェア リソース

プログラムとプロジェクトメンバーのアカウンタビリティ

プログラムとプロジェクトメンバーのアカウンタビリティ

その他のランサムウェアリソース