シャドウパンデミック:企業にとってのランサムウェアの現在および将来の危険性
公開: 2022-03-11COVID-19との戦いが続く中、世界の政府や企業はさらに別のウイルスの脅威に直面しています。 ランサムウェア攻撃は過去2年間でエスカレートし、Interpolは現在、ランサムウェアを世界的大流行と見なしています。 2021年半ばに発行された緊急の召喚状で、グローバルセキュリティ組織の事務局長であるユルゲンストックは、ランサムウェアとの戦いは、どの組織や業界も単独で行うには大きすぎる課題になっていると述べました。 世界的な対応がなければ、ランサムウェア犯罪の急激な増加を抑えることはできないと彼は言いました。
10月、ホワイトハウスの国家安全保障会議はグローバルな仮想サイバーセキュリティサミットを開催し、参加した30か国は、サイバー防衛に焦点を当てたNATOのような連立を形成することを約束しました。 しかし、Toptalが相談した専門家は、企業のリーダーもランサムウェアとの戦いに参加しなければならないと述べています。
「これは、インターポールのような政府や国際機関の集まり以上のものでなければなりません」サイバーセキュリティ研究とテロ対策の世界的リーダーであり、ノースウェスタン大学のロベルタバフェットグローバルアフェアーズ研究所の教授兼ファカルティフェローであるVSスブラマニアン、ToptalInsightsに通知します。 ランサムウェアの防止には、「大手企業を含める必要があり、独立した研究者や学術研究者など、これらのことについて非常に深く考えている人々を含める必要があります」。
ランサムウェア攻撃は、Interpolが世界的大流行と見なすまでにエスカレートしています。
ランサムウェアエコシステムの成長を遅らせ、世界経済を守ることで、現在および将来の企業を保護できます。 ゴールドスタンダードのサイバーセキュリティチェックリストを導入している企業でさえ、今日のランサムウェアの脅威の影響を受けません。 また、攻撃から抜け出すことができると信じている企業のリーダーは、ハッカーにお金を払っている人の8%だけがすべてのデータを取り戻すことを知って邪魔される可能性があります。
「現在、攻撃者は防御を回避または克服するための戦略を絶えず進化させているため、これは絶え間ない戦いです」と、米国政府機関であるフォーチュン500企業と提携するデータサイエンスおよびソーシャル分析企業であるSentiMetrixを共同設立したSubrahmanianは述べています。と主要な大学。 「攻撃の数は増加しており、すべての企業が脅威にさらされています。」
プレイの現状
2020年のCOVID-19シャットダウン中のリモート作業への突然の切り替えとクラウドコンピューティングへの依存度の高まりにより、多くの企業のネットワークの弱点が明らかになり、マルウェア(ハッカーが組織のデータをロックして削除できる悪意のあるソフトウェアプログラム)の侵入ポイントが増えました。会社のコンピューターを外部サーバーに人質にします。
米国財務省の金融犯罪捜査網(FinCen)の見積もりによると、米国の組織がランサムウェア攻撃者に支払った総額は、2019年から2021年6月までの間に2倍以上になりました。 サイバーセキュリティ会社のパロアルトネットワークスが所有する世界的な脅威調査およびマルウェア分析グループであるUnit42によると、各被害者に要求される身代金の平均支払い額も、2019年のわずか100万ドルから、2020年には500万ドル以上に急増しました。
最近の歴史で最も壊滅的な攻撃の1つで、ハッカーは、コロニアルパイプライン社が440万ドルの身代金を支払うまで、2021年に米国東海岸の大部分へのガソリン供給を5日間停止させました。 同じ頃、シカゴを拠点とする保険大手のCNAは、ランサムウェアの攻撃者に4,000万ドルを支払い、個々の攻撃に新たな最高水準を設定しました。
2021年後半、世界的なHRソフトウェアソリューションのリーダーであるUltimate Kronos Groupが攻撃を受け、クリスマス休暇の2週間前に、主要な雇用主が労働者に支払う別の方法を模索しました。 要求された身代金の金額は公表されていませんが、UKGが2021年に33億ドルの収益を報告したことを考えると、多額になる可能性があります。
犯罪者の利益の指数関数的成長は、世界中からより多くの日和見主義者を引き付けています。 中国はサイバー犯罪のホットスポットとして知られています。 ハッカーが活動している他の国には、ブラジル、ポーランド、イラン、インド、米国、ロシア、ウクライナなどがあります。
今日のランサムウェア攻撃はますます冷酷です
ランサムウェア攻撃は、非常に単純な手順に従っていました。 一部のファイルは暗号化されます。 これらのファイルを取り戻すには、ビットコインで身代金を支払う必要があります」とSubrahmanian氏は言います。 この種の攻撃は1980年代後半に始まり、コンピュータウイルスがフロッピーディスクで配布され、コンピュータのロックを解除するために匿名の私書箱に現金を送金しなければならない無防備な被害者に配布されました。 グローバルビジネスがオンラインに移行するにつれて、スキームも移行しました。
何年にもわたって、組織は、ファイルを外付けハードドライブまたはクラウドサーバーに頻繁にバックアップすることで、データロックダウンの脅威を中和することに気づきました。 「つまり、ランサムウェアの脅威アクターが行ったことは、手口を変更することでした」とSubrahmanian氏は言います。 「彼らが攻撃を実行するとき、彼らはあなたのデータを暗号化するだけではありません。 彼らはまたそれのいくつかを盗みます。」
盗まれたデータを利用して、ハッカーは現在、攻撃中に最大4種類の恐喝を定期的に採用しています。 1つは、被害者のデータを暗号化し、サイバー犯罪者が管理するサーバーにデータを盗み出す(削除する)ことです。 2つ目は、企業の評判を傷つける可能性のある組織の専有情報や情報を公開すると脅迫することです。 3番目のタイプの恐喝には、組織の公開Webサイトをシャットダウンするサービス拒否(DOS)攻撃の脅威が含まれます。
これらは本当に攻撃的なサイバー攻撃であり、それらを実行する人々は国民国家よりも強力です。 —Austin Dimmer、DevSecOpsエキスパート
新しい第4のタイプのランサムウェア恐喝、いわゆる「外部恐喝」は、フィンランドで25のメンタルヘルスクリニックを運営する民間企業に対する初めての攻撃で2020年に出現しました。 攻撃者は、会社がシステムへのアクセスを取り戻し、内部データの公開を回避できるように金銭を要求しただけでなく、数万人の個々の患者を恐喝し、秘密のセラピストノートと治療記録を公開しないと脅迫しました。それぞれ平均200ユーロを支払います。
「これらは本当に攻撃的なサイバー攻撃であり、これらの攻撃を実行している人々は、現在、国民国家よりも強力です」とオースティンディマーはToptalInsightsに語っています。 欧州委員会、レゴ、パブリシスワールドワイドの安全なネットワークを構築および管理してきたDevSecOps(開発、セキュリティ、運用)の専門家であるディマーは、サイバー犯罪者の仕事のシェアを見てきました。 「彼らはただ悔い改めず、慈悲を示さない。」
複雑なネットワークは攻撃者を捕まえるのを難しくします
ランサムウェア市場の分散型で複雑な性質により、攻撃者を逮捕することは非常に困難です。 単一の攻撃を実行する人々のウェブは、マルウェアを作成する1人の悪意のあるソフトウェア開発者をはるかに超えています。 開発者が自分で攻撃を行うことはめったにありません。 むしろ、彼らは購入またはレンタルのために彼らの製品をダークウェブに捨てます。 その時点で、ディストリビューターはソフトウェアを展開して攻撃を実行する権利について開発者と契約します。
次に、身代金が支払われると、暗号通貨マネーロンダラーのネットワークがステップアップし、資金をスクラブして、開発者、ディストリビューター、およびその他の関係者に利益を分配します。
ランサムウェアの攻撃者が発見されて逮捕された場合でも、被害者への金銭的賠償は一般的に最小限です。 たとえば、コロニアルパイプラインの場合、FBIは暗号通貨取引を追跡することしかできず、支払われた身代金440万ドルの約半分を取り戻すことができました。
将来の攻撃の予測と防止
ランサムウェア攻撃が完了した後、犯罪者や身代金を追跡する見込みはほとんどなく、Subrahmanianは予測と防止に重点を置いています。 彼とノースウェスタン大学の彼のチームは現在、データが危険にさらされる前に、将来のランサムウェア攻撃の種類とタイミングを予測できる予測システムを開発しています。
彼のソフトウェアは、人工知能を使用してダークウェブやソーシャルメディア上のコミュニケーションとトレンドを追跡し、開発中の新しいマルウェアを特定し、潜在的なディストリビューターに宣伝されている時期を記録します。
Subrahmanianは、ハッカーがいつシステムに侵入しようとするかだけでなく、どのように侵入しようとするかを特定することを目的としています。 彼の最初の調査結果は、セキュリティチェックリストとコンサルタントによって特定された数千の潜在的な脆弱性のうち、ハッカーは弱点の9.3%のみを標的にしていることを示しました。 これは、組織がITセキュリティの取り組みの90%を間違った保護に浪費している可能性があることを意味します。
世界中に広がる匿名のハッキンググループや個人の行動を予測することはほぼ不可能ですが、サイバー犯罪への接続のフラグが立てられた通信の総計を監視することは、脅威の領域が拡大していることを示している可能性があります。 Subrahmanianは、金融市場の流れを監視して傾向を予測するのと同様に、ランサムウェアアクティビティの幅広い市場を観察することで、研究者が新たなマルウェアとその潜在的なターゲットを認識し、組織が積極的な措置を講じることができるようになることを期待しています。
民間部門がサイバー犯罪と戦うのに役立つ革新的な方法
Subrahmanianのチームが作成しようとしているような信頼できる予測がなければ、最前線は依然として組織が運営するための悲惨な場所です。 しかし、これらの4つの戦略は、企業のリーダーが今すぐ反撃するのに役立つ可能性があります。
ランサムウェア攻撃者の利益を減らす
ランサムウェア攻撃がサイバー犯罪者に莫大な給料日をもたらし続ける場合、ディマーは、ほとんどの政府および法執行機関の取り組みが失敗する運命にあると信じています。 特に、ハッカーが拠点を置く国の一部には他のそのような経済的機会が存在しない可能性があることを考えると、利益を得る機会が多すぎると彼は考えています。
この経済的推進力を弱めるために、企業は身代金の支払いに対する内部規則の採用を検討し、身代金の支払いを違法にする法律を支持する必要があります、とToptalの最高技術責任者であるSubrahmanianとIsmaelPeinadoは言います。 「なぜこれらの攻撃を受けているのか考えてみてください。 攻撃者がお金を稼いでいるからです。 そして、なぜそれは悪化しているのですか? 彼らはお金を稼ぎ続けているからです」とPeinadoは言います。 「銀行に行って人質になっている人に身代金を払ってみませんか? 同じ理由で。」
ランサムウェアの被害者が行った行動を犯罪化することは物議を醸すように聞こえるかもしれませんが、Subrahmanianは、攻撃者が国際的な制裁を受けている国やテロを後援する組織に所属している場合、サイバー犯罪者にデータを救済するために支払う企業はすでに国際法に違反している可能性があると述べています。 ランサムウェアの暗号通貨支払いの宛先国を追跡したハッカーへの暗号通貨支払いに関するレポートは、国際法に違反して、支払いの少なくとも15%が禁止されたエンティティの手に渡ったことを示しました。
さらに、支払うことは、ハッカーが交渉の終わりを維持することを保証するものではありません。 サイバーセキュリティ企業であるソフォスが世界中で5,000人を超えるITリーダーを対象に行った最近の調査によると、支払いを済ませた組織は、データの平均65%しか取り戻せませんでした。 被害者の8%だけがすべてのファイルを回復できました。
チェックリストや外部監査ではなく、SecOpsに焦点を当てる
企業を保護しようとするテクノロジーリーダーは、セキュリティのベストプラクティスのチェックリストを採用し、最新のセキュリティソフトウェアに投資し、ネットワークの脆弱性をテストするために高価なセキュリティ監査人を雇うことがよくあります。 残念ながら、政府機関、新興企業、大規模な高成長企業との協力に20年の経験を持つグローバルなサイバーセキュリティリーダーであるPeinadoは、これは間違ったアプローチだと述べています。
チェックリストと認証を追いかけ、単純な規制コンプライアンスに焦点を当てることは、企業のリーダーシップの間に誤った安心感を生み出しながら、機関のITリソースをむさぼり食う可能性があります。 システムへの入り口が追加され、クラウドコンピューティングに依存するようになったため、ネットワークへのアクセスを以前ほど難しくはなくなったと彼は言います。 それでも、セキュリティ会社は、ハッカーの標的になることのないネットワークの脆弱性をチェックするために、数え切れないほどの時間を費やしています。 「結局のところ、彼らは実際のハッカーが行うことに集中できなくなります。つまり、家に1つの方法で侵入すると、別の方法で侵入することになります」と彼は言います。
代わりに、Peinadoは、テクノロジーリーダーがセキュリティをエンジニアリング操作に直接統合し、テストとパッチ適用の一定のサイクルを廃止することを推奨しています。 DevSecOpsまたはSecOpsと呼ばれるこれらのタイプのセキュリティ操作は、セキュリティを企業のソフトウェア開発操作に直接統合し、新しい脅威への機敏な対応の環境を促進すると彼は言います。
たとえば、企業のWebサイトの新しい機能が構築されて公開されると、ハッカーに対する新しい一連の脆弱性が発生します。 従来の作業サイクルでは、開発者は新しいWebサイトの機能をサイロで作成し、内部(場合によっては外部)のセキュリティ専門家によるテストのために提出していました。 その後、セキュリティにパッチが適用され、事後に見つかった脆弱性に適用されます。
SecOps環境では、サイトまたは機能を構築するエンジニアと開発者がセキュリティエンジニアと一緒に座って、製品の開発時に適切なレベルのセキュリティが統合されるようにします。 この統合されたアプローチにより、SecOps開発者は、従来の手順では単純に不可能な方法で、より認識し、説明責任を果たすことができます、とPeinadoは言います。
偶発的なサイバーセキュリティの才能を活用する
Toptalの開発者タレントネットワークの一部としてクライアントと協力しているDimmerは、SecOpsの視点をクライアントのプロセスに導入しようとすると、さまざまな反応を受け取ると言います。これは、多くの場合、社内のITチームのスキルのギャップが原因です。あなたはそれらをより安全にします。 成功とは、適切なシステムを導入するだけでなく、訓練を受けた担当者がそれらを使用できるようにすることも意味します。
セキュリティエンジニアなどの価値の高い技術職に人員を配置することは、企業にとって引き続き問題となっています。 TechBeaconによるStateofSecurity Operationsレポートの調査対象となった組織の10分の1近くが、2021年のサイバーセキュリティの最大の課題は熟練した人材の不足であり、30%近くが上位3つの障害の1つであると述べています。
プレミア技術者は、Toptalなどの派遣ネットワークを通じて雇用され、これらのギャップを埋めることができます。 塹壕内の開発者やDimmerのような技術リーダーは、何十年にもわたって高い需要がありましたが、サイバーセキュリティワーカーの大幅な不足により、今ではさらに需要が高まっています。 情報システムセキュリティ協会は、2019年に業界で400万人の専門家のギャップを推定し、2021年のITリーダーの調査では、ギャップがその後拡大していることがわかりました。
一部の企業リーダーは、SecOpsの塹壕にフリーランサーを含めるなど、最も機密性の高いセキュリティプロジェクトに外部の人材を使用することをためらう場合があります。 しかし、セキュリティ運用の一部を外部の人材にアウトソーシングすることは、実際にはすでに標準となっています。TechBeaconが調査した組織の半数以上が、サイバーセキュリティ機能に取り組むために社内と社外のリソースを組み合わせて使用していると報告しています。
サイバー犯罪との戦いの未来
これまでのところ、Subrahmanianの早期警告AIソフトウェアは、実験モデルでのランサムウェア攻撃の予測に70%効果的であることが証明されていると彼は言います。 テストが引き続きうまくいく場合、彼は2022年半ばに始まる実際の攻撃の予測を公開したいと考えています。
彼の研究は、ソフトウェアの脆弱性が特定されたときと、ソフトウェアのパッチやセキュリティアップデートが広く一般に公開されたときとの間のギャップにも焦点を当てています。 この調査の最初の調査結果によると、マルウェア攻撃のほぼ半分がこの期間に発生し、平均して約132日間続きます。 この長期間の脆弱性により、ハッカーが新たな脅威の発生を阻止するためには、効果的な予測モデルの追求がさらに重要になります。
その間、BigTechはステップアップしています。 Googleは、ソフトウェアサプライチェーンを保護し、すべての内部および外部ユーザーを継続的に認証する必要があるセキュリティフレームワークであるゼロトラストシステムの使用を拡大するために、今後5年間で100億ドルを費やすことを約束しました。 マイクロソフトは、米国の地方自治体が防衛を強化するのを支援するために、1億5000万ドルの技術サービスを提供しています。 また、Amazonは、従業員に提供するのと同じセキュリティ認識トレーニングの提供を開始し、すべてのアマゾンウェブサービス(AWS)クライアントに2段階認証を無料で提供することを約束しました。
進化し続ける脅威としてランサムウェアと戦うことは世界的な村を取ります、とSubrahmanianは言います、そして企業は大小を問わずその一部でなければなりません。
関連: SecOpsTalentのToptalの開発者スキルディレクトリを参照する