Splunk SURGeは先日、10種類のランサムウェアファミリーの暗号化速度に関するホワイトペーパー、ブログ、ビデオを公開しました。この調査から、暗号化が始まってしまったら防御側にできることはほとんどないことがわかりました。今日のランサムウェアの多くは「人手によるランサムウェア」とも呼ばれ、暗号化を行う前にさまざまなシステムを探索し、侵入範囲を広げます。そしてターゲットが決まると、超高速で暗号化を実行し、防御側に損害を抑える余裕を与えません。
憂うつな気持ちになるかもしれませんが、組織を守るためにセキュリティ担当者としてできることはあります。それは、早い段階で防止、検出、緩和を図ることです。「早い段階」とは、データの暗号化、窃取、破壊が行われる前を指します。実際の攻撃では、この「早い段階」に長い時間をかけてさまざまな活動が行われます。たとえば、踏み台作りと侵入は不可欠で、この段階で攻撃者は、コマンドアンドコントロールを介して組織内を横展開し、できるだけ多くのシステムに不正アクセスを試みます。こうした活動のそれぞれに、セキュリティ担当者が攻撃を阻止するチャンスがあります。幸い、その防御策の多くは従来から行っているか、すぐに取り入れることができるものです。
一方Splunkは、ランサムウェア対策において、お客様や幅広いサイバーセキュリティコミュニティにどのように貢献できるでしょうか?CERT NZのこちらのオンラインガイドでは、ランサムウェア攻撃のライフサイクルがわかりやすく図に示されています。これを見ると、ランサムウェア攻撃のステップの多くは他のタイプの侵入や攻撃と似ていることがわかります。つまり、Splunkをご利用であれば、この問題への対処に役立つ機能と関連セキュリティコンテンツがすでに手元にあるということです。そのため、Splunkがやるべきは、このコンテンツをランサムウェア攻撃に対応させ、サーチ可能にして、フレームワーク化することだけです。
その結果として誕生したのが、ユーザーが攻撃のすべての段階とフェーズを把握して、この問題に対応する既存のセキュリティコンテンツを確認できるオンライン環境です。Splunkの目的は、攻撃を阻止するための具体的な作業に特化したコンテンツを提供してお客様を支援することです。ランサムウェアライフサイクルの表示は、一から作成せず、CERT NZが作成した優れた図を再利用しました。このインタラクティブな環境で提供されるコンテンツには、Splunk脅威調査チーム(STRT)が開発した検出、ブログ記事、Splunkのエキスパートやお客様による.confの講演、ビデオチュートリアルなどが含まれます。
このインタラクティブなブラウザは、Splunkbaseからダウンロードできる最新リリースのSplunk Security Essentials 3.6.0で利用できます。ぜひチェックしてください!
Splunkはセキュリティチームをいつでも支援いたします。
Johan
著者/寄稿者:Splunkのセキュリティはいつでもファミリービジネスです。この記事はJohan BjerkeとAlex Salesiの協力のもと執筆されました。
このブログはこちらの英語ブログの翻訳、藤盛 秀憲によるレビューです。
