ランサムウェアの検知

ランサムウェアの検知とは?

ランサムウェアの検知とは、個人、グループ、または国家によって作成され、金銭的な利益を得るためにシステムからデータを暗号化し、多くの場合は削除するマルウェアを発見する行為のことです。

2031年までに世界の企業で年間2,650億ドルの被害が予想されているランサムウェアは、コンピューター環境だけでなく、企業の収益や生産性にも打撃を与えます。ランサムウェアの検知はこのサイバー脅威に対する早期インサイトであり、組織は、サイバー犯罪者への巨額の支払い回避やすべてのデータやシステムに対する保護の強化といった、ランサムウェア対策を強化することができます。自動化から人工知能と機械学習 (AI/ML) にいたるまで、現在では主要なデータセキュリティおよびデータ管理ソリューションには重要なランサムウェア検知機能が組み込まれています。

ランサムウェア攻撃を検知するには?

ランサムウェアの検知は、ほぼリアルタイムの異常検知、自動アラート、サイバー脆弱性の発見を備えた、サイバーレジリエンスのための堅牢なデータセキュリティとデータ管理ソリューションで可能になりました。この適切なプラットフォームは、ランサムウェア攻撃の検知だけでなく、貴重なデータの攻撃防止と復旧における最後の防衛線となります。高度な脅威検知シグナルと、データとデータのリアルタイムな変化に関して収集されたインテリジェンスに基づくアラートを備えたテクノロジーを使用し、組織はランサムウェア攻撃を検知することができます。例えば、システムが通常の振る舞いとは異なるパターンで通常よりもはるかに大量のデータを受信している場合、AI/MLを活用したインサイトを使用するデータセキュリティとデータ管理ソリューションは、これを異常な振る舞いとして認識し、状況を確認するようシステム管理者に自動的に通知します。

ランサムウェアの早期検知の重要性とメリットとは?

ランサムウェアはデータやシステムをロックして使用不能にするため、デジタルインフラストラクチャに依存する企業、非営利団体、政府機関にとってはランサムウェアの早期検知は極めて重要です。開始前や開始直後のランサムウェア攻撃に関するインサイトがあれば、より簡単に攻撃を軽減することができます。また、ランサムウェアを早期に検知することは、次のような点で組織に役立ちます:

• 自信を持って身代金の支払いを回避 : ランサムウェア攻撃を早期に検知できる組織は、増え続けるサイバー犯罪者による金銭要求に対し、拒否する自信を持つことができます。
• データの損失防止: 悪意のある行為者は現在、データを暗号化するだけでなく、ダークウェブで販売してより大きな利益を得られるよう、二重恐喝型ランサムウェアのスキームでデータを盗み出しています。早期検知による予防により、重大な機密データの損失を阻止することができます。
• ダウンタイムの抑制: ランサムウェアを迅速に検知し、データの暗号化が広範囲に及ぶのを阻止することで、ランサムウェアが従業員の生産性に多大な悪影響を与えることを回避することができます。
• より迅速な対応と復旧: 早期検知機能を使えば、攻撃や侵害を受けた可能性のあるデータやファイルの一覧に関するヒントを得ることもできます。マルウェアの再感染を避けるには、まずどこに焦点を当ててスキャンや脆弱性評価を行うべきかを把握できるため、これはランサムウェアからの復旧やリストアプロセスにおいて非常に有益です。

ランサムウェアの検知に関わる技術と対応の種類とは?

ランサムウェアの検知に関わる技術と対応はテクノロジーソリューションによって異なり、組織は複数のソリューションを活用して早期に感染を発見することができます。最も一般的なランサムウェア検知の方法は、次の通りです:

• 脅威インテリジェンス: 最新のランサムウェア亜種、手口、侵害指標 (IoC) に関する最新情報を得るため、脅威インテリジェンスフィードを使用します。この情報は、既知のパターンに基づくランサムウェアの検知とブロックに役立ちます。
• 振る舞い検知: データトラフィック、ファイルシステム、APIコールにおける通常とは異なる変化 (増加やロケーションの移動) は、多くの場合ランサムウェア攻撃の開始を示すものです。異常を追跡するAI/MLを備えたソリューションを導入している組織は多くの場合、ランサムウェアをより迅速に検知することができます。
• ディセプションベースの検知: サイバー犯罪者の手口や意図を暴くため、潜在的な攻撃者を作り出し、組織内に誘い込むことができます。このようなおとり技術は、ランサムウェアがどこでどのように組織に侵入する可能性があるのかに関するインテリジェンスを高める上で有効で、チームは社内やエンドポイントでランサムウェア対策ソリューションを強化することができます。
• シグネチャベースの検知: ウィルススキャンの仕組みと似ているこのタイプのランサムウェアの検知は、既知の脅威に対抗する上で効果的です。この検知では、ファイルの書き込みや実行を既知のランサムウェアのシグネチャ分析と比較して脅威を発見します。新種のランサムウェアが絶え間なく現れている中、他の2つの方法に比べてこの方法はランサムウェアの検知精度が急速に低下しています。

Cohesityとランサムウェアの検知

Cohesityは、AI/MLを活用したランサムウェア検知のアプローチを推進し、事業継続性とサイバーレジリエンスを高めています。Cohesityのデータセキュリティとデータ管理プラットフォームを使用すると、リスク、マルウェア、その他の侵害の痕跡 (IoC) を検知するためのデータの異常検出、MLベースの脅威インテリジェンス、スキャンを活用することができます。

具体的に、Cohesityは以下を提供します:

• データ管理ソリューションの一部として、ほぼリアルタイムで強力な自動異常検出を行い、正常なシステム運用を継続的に追跡することで、ランサムウェア攻撃の兆候となる不規則性やユーザーの異常な振る舞いを迅速に発見します。
• ランサムウェア対策アラート。ランサムウェア攻撃といった悪意のある行為を示す可能性のある方法でデータが変化していることをチームに知らせます。
• ソフトウェアの脆弱性は、多くの場合ソフトウェアにパッチを適用していないことが原因ですが、この脆弱性を発見することでランサムウェアの侵入を容易に防ぎます。Cohesityのデータセキュリティとデータ管理プラットフォームの一部として提供されるCohesityのデータ保護は、チームが脆弱性を可視化し、攻撃からの復旧中に既に対応済みのサイバー脆弱性を再度本番環境に取り込まないよう、プロアクティブに対処します。

さらに、Cohesityは優れたセキュリティパートナーとの連携や、データセキュリティアライアンスの一員として、運用とセキュリティ (SecOps) 組織が脅威を完全に可視化できるようにすることで、セキュリティをチームスポーツに作り上げています。アクション可能なフォレンジックスやSOC (Security Operation Center) のデータ統合を利用することで、チームは最適なランサムウェアの解決を実現できます。