ランサムウェアの防止のためのベスト プラクティス

• フィッシング詐欺メールは、悪質な添付ファイルを含めることができます。 これらの添付ファイルは、実行可能形式で常に配信されません。セキュリティ ベンダーやセキュリティ、電子メール経由で実行可能ファイルを受信は、一般的には、回避策としてを防ぐためにしたい何か脅威俳優がある風景の変化に適応します。 これは間接配信メカニズムによって行うことができます。 Windows では、たとえば、悪意のある俳優を選ぶことが少なく、直接配送方法: アーカイブに難読化された JavaScript ファイルを埋め込み、残りのエンド ・ ユーザーに依存します。 を開く. JS Windowsホスト上のファイルはデフォルトブラウザを起動し、JavaScriptは外部に手を差し伸べて URL 実行可能ファイルを取得し、それを被害者に届けて実行することができます。 この時点では、実行可能ファイルは を介して配信されるので、ユーザーが電子メールで実行可能ファイルを受信できないようにすることはもはや効果的ではありません HTTP 。
• エクスプロイト キット (アングラー、ニュートリノなど) は、脆弱な Web サーバーを悪用し、特定の条件が満たされたときに訪問者を悪用する悪意のある Web スクリプトをホストし、悪意のあるペイロードを配信することで、ユーザーにランサムウェアを提供することが知られています (Angler Exploit Kit 記事 @ Unit42)
• ターゲットを絞ったランサムウェアが指摘されており、最近追跡、組織が外部の悪意のある俳優によって、人、環境をマップに進んだし、ファイル cryptor を一斉展開の足場を得るために侵害 web サーバーに直面しています。 (サムサマルウェア記事の進化@ Unit42)

ランサムウェア攻撃の防止 — セキュリティプロファイル
PAN-OS は、ランサムウェアの感染に対処し、ネットワークに侵入しないように、キルチェーン内のさまざまなポイントで保護を行います。 A セキュリティ プロファイルとその目的の概要については、以下のページをご覧ください: セキュリティ policy の基本

1) エクスプロイト キットと既知の脆弱性に対抗するために、コンテンツ内に多数 の脆弱性 のシグネチャが存在します PAN-OS 。 これらのエクスプロイトからユーザーを保護するために、「厳密な」脆弱性保護の使用 policy が支援され、推奨されます。 最低、予防と署名が有効になっているを確保する重大署名に対するアクションが必要。 A 脆弱性保護プロファイルに対する厳格な姿勢は、エクスプロイト キットの公開を防ぎ、既知の脆弱性の悪用から外部の Web サーバーを安全に保つのに役立ちます。

関連する可能性のある署名には、エクスプロイト キットのラベル付きシグネチャ (下記の参照 1 を参照)、マルウェア XOR 難読化検出、Microsoft Windows OLE リモート コード実行、悪意のある PE 検出、JavaScript 難読化検出などがあります。

さらに、JavaScript はファイルブロック用にサポートされていないファイルの種類であるため、フロー内に JavaScript ファイルが存在することを検査するシグネチャ 39002 および 39003 に対するアクションを調査すると有益です SMTP 。

セキュリティの姿勢を改善するために、以下の脅威に対する例外を作成することをお勧 ID めします。これらの署名に一致するトラフィックをブロックする "拒否" に設定します。

ただし、電子メールで送信される.jsファイルの正当な用途はあまりないが、正当なトラフィックがブロックされていないことを確認するために、「アラート」設定を使用して、環境でテストすることをお勧めします。

脅威 ID	説明
38353	この署名は、悪意のある MSO ファイルが検出されていることを示します
38590	この署名は、悪意のある MSO ファイルが検出されていることを示します
38591	この署名は、悪意のある MSO ファイルが検出されていることを示します
39002	この署名は、電子メールで直接送信される .js .wsf または .hta ファイルを検出します
39003	この署名は、 ZIP 電子メールで送信されたフォルダ内の.js .wsfまたは .hta ファイルを検出します

利用可能な脆弱性のシグネチャに関するその他のデータについては、ThreatVault 2.0を参照してください。
(エクスプロイトキットとフィッシングの脆弱性プロファイルカテゴリ|脆弱性保護プロファイル)
 

2)悪意のあるペイロードの配信を防ぐために、 PAN-OS ウイルスコンテンツが最も一般的に転送されるサポートされているプロトコルを検査できる ウイルス対策 スキャンエンジンがあります: http、smtp、imap、pop3、ftp、およびsmb。 予防的処置を伴うウイルス対策プロファイルが、一般的にターゲットとなるトラフィック (インターネットへの Web ブラウジング、電子メールアクセスなど) を許可するセキュリティルールに割り当てられることを保証するには、サポート対象のプロトコルの [Action] 列と [-Action] 列の両方に対して設定された予防アクションを含むウイルス対策プロファイルが割り当てられているのが理想的 Wildfire です。 (違いの詳細については、「予防 - 動的更新」セクションを参照してください)。
(ウイルス対策プロファイル)

3)URLフィルタリングは、マルウェア/フィッシング/不明/動的/プロキシ回避/疑わしい/駐車などの不審なカテゴリのURLへのアクセスをブロックするように設定することができ DNS 、これは、ホストが HTTP Webサーバーを介してパロアルトネットワークスがホストの不審なコンテンツ/マルウェアを見た疑わしいコンテンツ/マルウェアを見ることを防ぎます。 
(エキスパートから: URL フィルタリングの実装とトラブルシューティング)

4)アプライアンスのファイル ブロック機能を使用 PAN-OS します。 PAN-OS は、データ ストリームでサポートされているファイルの種類を識別し、それらを構成する方法に応じてアクションを実行できます。 ランサムウェア (と一般的にマルウェアの作者) の 1 つの一般的な戦術は、配信のための新しいインフラストラクチャに立ち上がる、短時間のために使用し、それを引退することです。 これは知られている悪意のある、巧妙な脅威俳優それを引退しているし、他の場所で動作している時のセキュリティによってベンダーがインフラストラクチャを分類できると評判に基づいてフィルタ リングを防ぎます。 この 1 つの解決策は、一般的な悪意のあるペイロードの種類 (Flash、 PDF 実行可能、および Office ドキュメント) のファイル ブロックを、サービス/カテゴリが URL "不明" に設定され、宛先がパブリック インターネットに設定されたセキュリティ規則を組み合わせることです。 これにより、 AV デバイスがファイルのソースを認識しないため、検出に関係なく、一般的なペイロード PAN-OS タイプの転送を効果的に防止できます。

policyこのタイプの変更は、正当なトラフィックが影響を受けないように慎重に構成する必要があることに注意してください。 Palo Alto Networksは社内のイントラネットサイトをスキャンできないため、 URL この種のブロックを制定する前に、不明なカテゴリアクティビティのフィルタリングログを確認して、内部ユーザーのサービス停止を防ぐことが重要です。 URLパロアルトネットワークスによって現在分類されていないサイトのカスタムカテゴリを作成 firewall すると、この手順の準備をすることができます。

また、 SMTP ランサムウェア キャンペーンのかなりの部分が、悪意のある添付ファイルを含むフィッシングメールを感染ベクトルとして利用しているため、特定の種類のファイルをブロックすることも検討する必要があります。

関連するファイルの種類が含まれます: すべての PE ファイルの種類 (exe, cpl, dll, ocx, sys, scr, drv, efi, fon, pif), HLP , , LNK CHM BAT VBE . 

暗号化されたファイルの種類に対するブロックや警告は、危険を減らすのにも役立つ可能性があります(暗号化されたzip)。

可視性とログ分析のためにブロックされていないすべてのファイルタイプに対するアラートが役立ちます。
(フィールドからのヒント : ファイルブロックプロファイル)

5)ランサムウェアの一部のバリアントは、外部インフラストラクチャに手を差し伸べ、データを受信します(ファイルを暗号化するための暗号化キーを生成するためのインフラストラクチャからの入力など)。そのため、スパイウェア対策プロファイルを「厳密」設定で構成し、トラフィックが公衆インターネットに送信されるセキュリティルール
(スパイウェア対策プロファイル) に適用されていることを確認することが重要です

。 DNS ウイルス対策と Wildfire コンテンツには、Palo Alto Networksが悪意のあるトラフィックに関連している可能性があると特定したドメインのリストが含まれています DNS IP 。 本当に献身的な管理者は、興味深い構成を行う可能性をここで見るでしょう。ハイジャック DNS されてシンクホールにリダイレクトされると、そのアドレスに Web サーバーを立ち上が IP ると、管理者は正常なルックアップの結果として生じる可能性のある内容を検査できます DNS 。
( DNS シンクホール|の設定方法 DNS シンクホール関数が動作していることを確認する方法|ビデオチュートリアル: 設定 DNS 方法Sinkhole)6)  

ライセンスを取得した場合、サポートされているファイルの種類をクラウドに送信して評価できるようにWildfire、サブミッションを構成する必要があります Wildfire 。 これにより、パロアルトネットワークスは firewall 、新しいマルウェアの亜種を特定し、その署名を作成し、コンテンツの更新で提供することができます(コンテンツ配信の詳細については、「防止 - 動的更新」セクションを参照してください
)( WildFire 分析用ファイルの提出|Wildfire構成、テスト、および監視 )  

7) PAN-OS では、外部の評判ソースに基づいて宛先との通信を防止するために、セキュリティ規則で使用する外部動的リストの使用がサポートされています。 パロアルトネットワークスは現在、承認された情報源の独自のリストをキュレーションしていませんが、ここで利用可能な顧客消費のためのリソースの集計リスト があります。 
( |でダイナミック ブロック リストを使用するPolicyダイナミック ブロック リスト ( DBL ) または外部禁止リスト ( EBL ) の設定方法

8)SSL復号化の使用は、ベスト プラクティスを実装する際に考慮すべき重要な要素です。上記の予防策は、を通過するデータストリーム firewall が暗号化されており、検査のために復号化できない場合には発生しません。 ウイルス対策検査は HTTPS ストリームや暗号化された電子メールでは機能しません。 URL フィルタリングは SNI 、Web サーバーに割り当てられた証明書上の共通名に対する最善の方法です。 PAN-OS 暗号化中のプロトコルが原因でファイルを識別できない場合、ファイルブロック Wildfire は発生しません PAN-OS 。脆弱性およびスパイウェアプロファイルは、トラフィックが暗号化されている場合、既知の署名に対してトラフィックを検査および比較できません。 これにより、 SSL ネットワークに盲点が存在しないようにするために、復号化が不可欠な部分になります。
(SSL 復号リソース一覧)

9) 可能な限り、セキュリティ規則で特定のアプリケーションを許可します。 可能であれば、 'unknown-tcp' および 'unknown-udp' トラフィックをブロックすることを検討し、必要に応じて内部アプリケーション用のカスタム アプリケーションを作成します。 

10 AutoFocus ) (autofocus.paloaltonetworks.com) を使用して、ランサムウェアの特定のバリアントの動作パターンをより深く理解することができます。 ホストとネットワーク側の両方を生成する成果物は、ランサムウェアの種類です; を識別するのに役立つ十分なユニークなランサムウェアが爆発するときこれは、暗号化されたファイルのファイル拡張子、復旧手順、および C2 交通外部 web ホスト、ちょうど少数を示すために残っている身代金ノートの形式を含めることができます。 一般的なランサムウェア ファミリー タグを確認 AutoFocus すると、どのようなバリエーションに固有の内容を示し、ユーザーが各バリアントの外観を理解するのに役立ちます。 この知識を持つネットワーク管理者は、潜在的な感染に対処するために武装します。

AutoFocus また、どのランサムウェアがどの組織、業界、または同業者をターゲットにしているかについても、コンテキストを与えることができます。 これにより、インシデントの前にプロアクティブなデータ収集を行う手段を利用でき、管理者は将来の攻撃に備えて防御を強化する準備を整えることができます。

外部 AutoFocus 動的リストのような他の予防機能と妥協の指標を組み合わせて PAN-OS 、セキュリティ体制を高めることさえできます。
(ヒントとコツ AutoFocus FAQ :|使用方法AutoFocus)

ランサムウェア攻撃の防止 — 動的更新
セキュリティ プロファイルを適切 PAN-OS に構成すると共に、デバイス上で最新のコンテンツを確実に利用できるようにすることで、ネットワークを最新の脅威から保護できます。
(コンテンツ更新の管理)

パロアルトネットワークスは、さまざまな形式でコンテンツを提供しています。

• URLフィルター処理では PAN-DB 、URL がアクセスされると /BrightCloud ルックアップが発生します (キャッシュは一定期間後に期限切れになります)。 そのため、フィルタ処理にスケジュールされた更新は必要ありません URL 。
• ウイルス対策の 更新は、およそ 24 時間に 1 回行われ、公開が早い AM PST 段階で行われます (これは見積もりであり、品質保証プロセスによって時間がずれる可能性があることに注意してください)。 そのため、少なくとも 1 日 1 PAN-OS 回は、ウイルス対策コンテンツを更新するようにデバイスを構成することをお勧めします。 ウイルス対策コンテンツには既知の悪意のあるファイルのシグネチャが含まれ、 Wildfire 送信されたサンプルのサンドボックス分析の結果としてコンテンツが生成されます。 このコンテンツは、「アクション」列の下のウイルス対策セキュリティ プロファイルに結び付けています。
• Wildfire 更新プログラム (ライセンスが付与されている場合) は、約 15 分ごとに入手できます。 そのため、 PAN-OS コンテンツをできるだけ頻繁に更新するようにデバイスを構成 Wildfire することをお勧めします。 このコンテンツは、"アクション" 列のウイルス対策セキュリティ プロファイルに結び Wildfire 付けられます。
• アプリケーションと脅威 の更新はおよそ 7 日に 1 回発生し、火曜日の夕方から水曜日の朝にリリースされます (定期的に 2 回の週ごとのリリースの間に緊急コンテンツの更新が発生する場合があります)。 そのため、 PAN-OS 少なくとも週に1回はアプリケーションと脅威を更新するようにデバイスを構成することをお勧めします。これらのパッケージにはアプリケーション識別機能の更新が含まれているので、管理者はリリース ノートを徹底的に確認し、コンテンツをインストールする前に必要な影響や構成の変更を十分に理解することをお勧めします。 このパッケージの「脅威」の部分には、(脆弱性保護セキュリティ プロファイルへ結ぶこと) の脆弱性の署名を更新とスパイウェアのシグネチャ (アンチスパイウェア セキュリティ プロファイルへ結ぶこと) への更新が含まれています。

最後の注意点としてはバックアップがランサムウェアに感染しているネットワークに深刻な影響に対する最善の防御であることを言及する価値があります。 最新かつセキュリティで保護されたバックアップ データがある限り、感染後の修復は被災締約国及び機関の大幅より少ない緊張をあります。