©2024 Akamai Technologies
課題
ある世界的なメーカーで、ビジネスの運営に影響を与えるマルウェア攻撃が拡散されました。その後、同社の環境内のセキュリティを復元し、改善するために、このセキュリティ侵害復旧サービス企業との連携が開始されました。従業員のノート PC から開始された攻撃は、同社のバックアップサーバーに侵入するだけでなく、ほとんどの拠点に瞬く間に拡散し、影響を与えたのです。
ソリューション
ファイアウォール全体にインターネットアクセス制限ルールを適用するなどの最初の封じ込め方法ではスピードが追いつかず、すばやく拡散される侵害を封じ込めることができませんでした。分散されたエンタープライズ環境の複雑さと実際のネットワークから判断すると、ファイアウォールを使用した制限ルールの実装と適用は、スピードが遅く非効果的なプロセスでした。
さらに、レガシーマシンの可視化は、侵害の調査と封じ込めを担当するインシデント対応者にとって大きな問題でした。このセキュリティ侵害復旧サービス企業は、横方向への拡散によってさらに多くの資産に影響が与えられる前にセグメンテーションを緊急に進めていく必要があると判断し、Akamai Guardicore Segmentation を推奨しました。
Guardicore のおかげで攻撃の拡散を阻止し、基盤となるネットワークを変更することなく、ダウンした生産ラインを「無菌」のネットワークセグメントに復元することが 4 時間以内にできました。IR 調査と封じ込めもすべて同時進行でした。
セキュリティ侵害復旧サービス企業、CISO
結果
瞬時の可視化
この会社は、3 時間以内に 3,000 台以上の企業サーバーに Guardicore エージェントを迅速にプロビジョニングしました。導入後わずか数分で、ネットワークと通信フローの詳細な可視化が開始され、インシデント対応チームは、侵害を調査して封じ込めを検証するために必要なコンテキストと正確なデータを取得できました。
迅速にポリシーを適用
必要な可視化を実現するとすぐに、インシデント対応チームは広範な環境から重要な資産をセグメント化するための行動をとりました。製造ラインを機能させることに特化した 2 つの重要な生産アプリケーションを迅速に特定し、保護しました。Guardicore を使用して、感染したサブネットやデータセンターの一部からアプリケーションへの接続を制限するポリシーをすぐに導入しました。これは、レガシーファイアウォールでは数週間かかるタスクです。また、単純なクエリーを実行することにより、インターネットに接続されたレガシーマシンがレガシーファイアウォールをバイパスし、封じ込め制限を試みたことも明らかになりました。インシデント対応チームは、非準拠の通信を検出した後、数分以内に、レガシーマシンを含むすべてのサーバーのインターネットアクセスを効果的に制限するポリシーを作成しました。
回復時のラテラルムーブメント(横方向の移動)を防止
回復プロセスにおける次の段階では、メーカーのアプリケーションクラスターを再作成し、Guardicore エージェントに取り込みました。チームはすべての着信接続をブロックする初期ポリシーを設定し、Guardicore を使用して依存関係を特定しました。その後、要件を検証してコンテキストを把握した後、接続が必要な通信についてのみ許可リストに登録しました。この手法により、再感染のリスクを負うことなく、ランサムウェア攻撃の影響を受けたアプリケーションを回復させ、オンライン状態に戻すことができました。
将来の保護
段階的な回復プロセス中に導入した、顧客社内のデータセンターのセグメンテーションにより、アタックサーフェスが大幅に削減されました。現在、その顧客企業のセキュリティ体制は強化され、今後の侵害から受ける影響は大幅に減少しています。
セキュリティ侵害復旧会社は、ランサムウェア攻撃からの回復をサポートしながら、顧客であるメーカーに対して大きな付加価値を提供しました。それを可能にしたのが Guardicore です。これにより、この会社は収益を増加させ、事業を拡大するとともに、顧客が IT とセキュリティの目標を達成できるようサポートする機会を開拓することができました。