ネットワーク境界の暗号化から身を守る方法

暗号化に対する最も効果的な保護はエンドデバイスに実装されていますが、それでもネットワーク境界で予防措置を取る価値があります。 Panda GateDefenderでこれを行う方法を紹介します。



最近の出来事は、従来のアンチウイルスソリューションが、暗号化からの脅威を含む未知の脅威や攻撃との戦いにあまり効果的でないことを示しています。 私たちの記事では、EDRテクノロジーの使用に基づいた新しいセキュリティモデルに繰り返し注意を向けようとしました。継続的な監視のおかげで、すべてのプロセスと100％のアクティブなプロセスの分類との関係を追跡することで、現代の未知の脅威に対するセキュリティレベルを大幅に高めることができます：標的型攻撃、ファイルレス攻撃、マルウェアのない攻撃、未知のエクスプロイトとエンクリプターなど。 たとえば、EDRテクノロジを使用したソリューションのPanda Adaptive Defenseファミリは、このような「驚き」に対処するように設計されています。



しかし、このようなソリューションは、エンドデバイスを直接保護するためのソリューションです。 そして、ネットワークの境界で何がいいと思いますか？



今日の記事では、企業ネットワークに侵入する前に暗号化をフィルタリングし、このクラスの脅威の代表者の一部がまだアクティブ化されている場合に起こりうる結果を減らすために、ネットワークの境界に実装する予防セキュリティ対策について説明しますエンドデバイス上。



暗号作成者について少し



ご存知のように、ランサムウェアは、特定の種類のマルウェアでエンドデバイスがブロックされた被害者から金銭を強要するために使用される詐欺の一種であり、その結果、彼女（被害者）はこれらのデバイス上のデータにアクセスできなくなります。



暗号作成者は、エンドデバイスにインストールされ、そのハードドライブと接続されているすべてのネットワークドライブのコンテンツ（すべてまたは特定の種類のファイル）を暗号化するマルウェアの一種です。 この結果、ユーザーは身代金を支払うまで保存されたデータへのアクセスを失います（そして、これがすべてのデータへの完全なアクセスを得ることが可能になるという事実ではありません！）。 CryptoLockerは、RSA公開キーを使用する暗号化プログラムの最も「人気のある」例の1つです。 最近、他のセンセーショナルな例も知られています。



簡単に言えば、暗号化プログラムは通常、メール添付ファイル、写真を含むzipファイル、または潜在的な被害者が開く可能性のある他の種類のファイルなどの完全に正当なコンテンツを通じて偽装された形で配布されます。に。 危険を意味するものではありません。 ただし、このようなファイルを開くと、暗号化プログラムは管理サーバー（いわゆるC＆Cサーバー）と通信します。このサーバーは、RSAキーの新しいペア（公開/秘密）の生成と秘密キーの保存を担当し、公開キーを被害者のデバイスに送信します。その後、このマルウェアは、ローカルドライブ上のハードドライブおよび接続されたリソースにあるすべてのものを暗号化します。 その後、暗号化されたデータは、C＆Cサーバーでのみ使用可能な秘密キーを使用して復号化されるまでアクセスできません。



（暗号作成者の最新のインスタンスは、潜在的な被害者からのアクションなしでアクティブ化することを「学習」したことは注目に値しますが...）。



実際、暗号化に使用されるキーのサイズは原則として少なくとも2048ビットであるため、秘密キーなしで暗号化されたファイルを復号化することは事実上不可能です：もちろん、これは理論的には可能ですが、実際には多くの時間がかかります。 したがって、データへのアクセスを回復する唯一の方法は、影響を受けるすべてのデバイスを再インストールしてバックアップを復元するか、身代金を支払うことです（推奨されません！）そして、秘密鍵を取得することを望みます（ただし、被害者が受信しなかったケースは非常に多くあります）支払い後のキー）。



したがって、すべてのシステムとアプリケーションを最新の状態に保ち、疑わしいファイルやサイトを開く危険性を会社の従業員が十分に認識していることを確認することをお勧めします。 予防措置は、不快なイベントを防ぐための最良のソリューションです！



なぜネットワーク境界に注意を払うのですか？



暗号作成者やその他の現代の脅威との戦いを確保するには、さまざまな分野で予防措置を講じる必要があります。 はい。最も効果的な対策（すべてが厳密に禁止されているため、誰も実際に作業できない場合）は、エンドデバイスのレベルで実行できます。 同じEDRテクノロジーは、暗号化装置や新しい脅威との戦いにおいて非常に高い効率を示します。



しかし、脅威の大半はインターネットから企業ネットワークに侵入するという事実により、ネットワーク境界に特定のセキュリティ対策を実装すると、既知の脅威を確実にフィルタリングし、外部管理サーバーと暗号化プログラムの「通信」を複雑にすることができます。 さらに、やることはあまりありません。



ネットワーク境界の暗号化に対する保護の例



例として、 Panda GateDefenderソリューションを検討してください。これは、ウイルス対策、スパム対策、コンテンツフィルタリング、URLフィルタリング、プロキシ、ファイアウォール、IPS / IDS、VPN、ホットスポット、制御のモジュールを提供する統合された包括的なネットワーク境界保護のためのUTMソリューションですWebアプリケーションなど。 このソリューションには、ハードウェア、ソフトウェア、および仮想バージョンがあります。



このソリューションを使用して、ネットワークの境界でこれらの脅威を傍受し、攻撃者が悪意のあるプロセスを制御して感染を広めるために使用するチャネルをブロックすることで活動を最小限に抑えることができるいくつかの方法を示します。

1. Panda Antivirusを使用する

Panda GateDefenderは、Pandaアンチウイルスエンジンを使用して、すべてのタイプのトラフィックをフィルタリングします。 署名をクラウドに保存するため、常に更新された署名を使用して、感染の方向を特定してブロックします。 Pandaアンチウイルスエンジンのおかげで、すべてのチェックは最新の署名とクラウドベースの知識ベースを使用してリアルタイムで実行されます。



ウイルス対策エンジンを有効にするには、Panda GateDefender管理コンソールで[ サービス]→ [ ウイルス対策エンジン ]に移動し、[パンダウイルス対策]タブで、ウイルス対策操作オプションを構成します。

2. IPSサービスを使用する

侵入防止システム（IPS）は、暗号化機能から生成された管理サーバーへのトラフィックを検出するだけでなく、ブロックすることもできます。



IPSを使用した保護を有効にするには、Panda GateDefender管理コンソールで[ サービス]→ [ 侵入防止 ]に移動し、無効になっている場合は[ IPSを有効にする]スイッチをクリックします。







このサービスを有効にした後、[ 侵入防止システム ]タブで、追加のIPS操作オプションを構成できます。







しかし、私たちはこの問題のルールの次のタブにもっと興味があります。 ここの3ページ目で、 auto / emergeing-trojans.rulesルールセットを見つけます 。







この一連のルールでは、感嘆符の付いたアイコンをクリックして、ポリシーを警告からアクティブな使用に変更します。 変更を適用すると、アイコンが赤い盾に変わります。







これで、トロイの木馬で識別されるすべてのトラフィックがブロックされます。 保護を強化するためにauto / emerge-tor.rulesルールセットを適用することもできます。

3.発信接続にファイアウォールを使用する

同じCryptoLockerは、感染のベクトルとしてTorrentを使用し、TOR接続を使用してC＆C管理サーバーとやり取りします。 したがって、セキュリティを向上させるもう1つのヒントは、これら2つのプロトコルを使用するすべての発信トラフィックをブロックすることです。



Panda GateDefender管理コンソールで、 ファイアウォール→送信トラフィックに移動します。







ここで、この発信トラフィックをブロックすることを拒否または拒否するポリシーを持つ新しいルールを作成します。 同時に、より高いレベルの保護を提供するには、Panda GateDefenderの後にあるすべてのネットワークまたはゾーンを追加し、 ソース/タイプオプションに値<Any>を指定します。







また、このルールはルールのリストの最初にある必要があります。したがって、 ポリシー/位置オプションに対応する値を設定する必要があります。

その結果、ルールのリストに次のようなものが表示されます。

4. HTTPプロキシ1/2を使用：Webフィルター

ランサムウェアを拡散させる可能性のある悪意のあるURLをブロックするプロファイルをHTTPプロキシで指定します。



Panda GateDefender管理コンソールで、 プロキシ→HTTPに移動します 。







ここで、[ Webフィルター ]タブに移動して、既存のプロファイルを変更するか、新しいプロファイルを作成します。







セキュリティカテゴリのフィルタリングされたWebサイトのカテゴリを選択するためのブロックで、 アノニマイザー、ボットネット、侵害、マルウェア、ネットワークエラー、パークドメイン、フィッシングと詐欺、スパムサイトへのアクセスをブロックします。



ところで、この方法は次の方法と組み合わせて使用​​するのが最適です。

5. HTTPプロキシ2/2を使用：アンチウイルスHTTPチェック

オプションのある同じページで、[ ウイルス対策スキャンのアクティブ化 ]オプションが有効になっていることを確認します。 デフォルトではオンになっているため、オンのままにしておくことをお勧めします。

6. HTTPSプロキシを有効にする

HTTPS接続は、感染を広めるためによく使用されます。 したがって、HTTPSプロキシを使用して接続をインターセプトし、有名なWebサイトへの正当な接続のみを許可できます。



なぜなら HTTPSプロキシは、有効なHTTPプロキシと連動する場合にのみ機能します。次に、 プロキシ→HTTPセクションで後者が有効になっていることを最初に確認します 。 その後、[ HTTPSプロキシ ]タブに移動し、[ HTTPSプロキシを有効にする]オプションを有効にします 。

7. SMTPプロキシ1/2を有効にする：ウイルス対策スキャン

多くの場合、ランサムウェアは電子メールの添付ファイルを介して配布されます。これは一見、有名で正当な送信者からの手紙のように見えますが、実際には偽のリンクまたは偽の危険な添付ファイルが含まれています。 この点で、SMTPプロキシでアンチウイルススキャンを有効にすることをお勧めします。



Panda GateDefender管理コンソールで、[ プロキシ]→[SMTP]に移動し、SMTPプロキシを有効にします。 次に、[ ウイルス設定]セクションで、[ ウイルスのメールをスキャンする ]オプションを有効にして、メールトラフィックのウイルス対策エンジンを有効にします。







また、スパムとしてマークされる電子メールの処理方法や、他の多くのオプションを構成できます。



その後、[保存]ボタンをクリックして新しい構成を保存します。その後、確認メッセージで、SMTPプロキシを再起動するために変更した構成を適用する必要があります。

8. SMTPプロキシ2/2を有効にする：ファイル拡張子と二重拡張子

暗号化機能を電子メールの添付ファイルとして配信する別の方法は、二重拡張子を使用して添付ファイルに名前を付けることです。 （たとえば、meeting.png.bat）。その結果、メールクライアントは最初の拡張子（meeting.png）のみを表示するため、ユーザーは写真付きのファイルを受信したと考えます。 このファイルをダブルクリックすると、ユーザーには画像が表示されませんが、ユーザーの許可なしに、バットファイルが起動します。 したがって、別の良い推奨事項は、潜在的に危険なファイル拡張子をブロックし、二重拡張子を持つ電子メールの添付ファイルの転送を禁止することです。



Panda GateDefender管理コンソールを設定するには、[プロキシ]-> [SMTP]セクションに移動し、SMTPプロキシを有効にします（オフになっている場合）。







次に、 [ファイル設定]セクションで、 [ 拡張子でファイルをブロックする ]オプションを有効にして、電子メールの添付ファイルをチェックするシステムをアクティブにします。

その後、拡張子でブロックするファイルの種類を選択するリストで、SMTPプロキシでブロックする必要があるすべての拡張子を選択し、二重拡張子を持つファイルをブロックするオプションを有効にして、表示されるポップアップメニューで適切な値を選択します。

9. DNSプロキシを有効にする

CryptoLockerまたは他の暗号化プログラムが起動すると、感染したマシンのDNS設定を変更して、管理サーバーと通信して正常に動作できるようにします。 この開発は、Panda GateDefenderソリューションでDNSプロキシを有効にすることで回避できます。 この場合、Panda GateDefenderソリューションの背後にあるデバイスからのすべてのDNSクエリは常にインターセプトされ、暗号化プログラムが管理サーバーに接続する可能性をブロックします。



これを行うには、[ プロキシ]→[DNS]セクションに移動します。







ところで、[ スパイウェア対策 ]タブでは、既知の悪意のあるドメインをブロックするために毎日更新を行うのが理にかなっています。

おわりに

上記の簡単な手順の結果として、インターネットから企業ネットワークへの侵入をブロックし、管理サーバーと対話する機能を複雑にすることにより、暗号作成者からネットワーク境界の保護を構成できます。 このような予防策は、感染のリスクを大幅に削減し、企業ネットワークで暗号化を開始した後に起こりうる結果を最小限に抑えることができます。

Panda GateDefenderの詳細



また、sales @ rus.pandasecurity.comにリクエストを送信して、1か月間無料のPanda GateDefenderを注文することもできます。