セグメンテーションがインシデント対応においてIRおよびリカバリ企業にどのようなメリットをもたらすか

記録的なセキュリティ支出にもかかわらず、侵害は依然として一般的です。 2022 年のデータ侵害のコストに関するレポートで、IBM は侵害を受けた数百の組織にインタビューし、83% が複数回侵害の被害にあったことを明らかにしました。侵害された場合、最初に行うべき電話の 1 つは多くの場合、サイバー セキュリティに問い合わせることです。 保険会社は通常、攻撃の阻止、修復の実行、フォレンジック調査の実施のために、デジタル フォレンジックおよびインシデント対応会社 (DFIR) または復旧会社に料金を支払います。これらの会社にとっての課題は、ネットワークに侵入するよう求められることです。 彼らは知りません、本質的に盲目です。 そして、お客様のビジネスへの影響と損害を制限するために、保険会社も昼夜を分かたずに取り組んでいます。攻撃が広がれば広がるほど、より多くのデバイスが侵害され、より多くの時間がかかることになるため、保険会社も侵害の影響を最小限に抑えるために多大な投資を行っています。 そしてそれらを修正するために費やされたお金。 その結果、侵害による支払い件数の増加による通信事業者の経済的損失により、サイバー保険料が上昇しています。

ゼロトラストセグメンテーションがインシデント対応に効果的な理由

Illumio は、侵害の封じ込めと回復のためのインシデント対応業務におけるゼロトラスト セグメンテーション (ZTS) の有効性を証明しました。

• Illumio ZTS は環境を把握するのに役立ち、これまで見たことのないネットワークに入る DFIR および復旧チームにネットワークの即時の可視性を提供します。
• Illumio ZTS はクライアントの物理ネットワークに触れないため、IR 契約の一般的な部分である VLAN の作成やファイアウォールの使用が不要になります。
• Illumio ZTS は、調査や回復プロセスが完了する前、さらには攻撃者がまだ環境内にいるときでも、クライアントの最も重要なビジネス機能を優先することで侵害の拡大を阻止し、回復速度を高めます。

保険会社はサイバー攻撃の増加に最前線で対応しており、セグメンテーションによって攻撃対象領域が劇的に減少し、そもそもマルウェアの伝播を阻止できることを認識しています。

‍

アクティブなエンゲージメントと侵害後のエンゲージメントでセグメンテーションがどのように機能するか

侵害が進行している場合、Illumio は EDR ツールと並行して導入され、脅威の検出と修復に EDR に割り当てられる時間が増加します。 Illumio IR チームは、DFIR または復旧パートナーに代わってテナントを管理し、セグメンテーションを使用してダウンした事業ラインを復旧し、侵害の拡大を阻止し、感染したシステムをリアルタイムでインテリジェントに分離します。侵害後の取り組みでは、Illumio は ここでは、保険要件または緊急措置のための重要なアプリケーションの保護を支援するためにセグメント化が使用されます。 Illumio IR チームは、将来の脅威に対する一般的な攻撃ベクトルを積極的にブロックすることもできます。どちらのタイプの取り組みでも、Illumio パートナーは、大手 DFIR および復旧会社と協力して、実際の積極的な侵害に取り組んでいる広範な背景を持つ Illumio の専門家に 24 時間年中無休でアクセスできます。 私たちのチームは DFIR パートナーの延長であるため、実際の侵害へのアプローチに合わせたツールとワークフローを必ず理解しています。 当社のチームは、IR および復旧プロジェクトの管理とワークフロー向けに完全にカスタマイズされた Illumio テナントを作成します。テナントはパートナーに無料で提供されます。

イルミオの IR チームは、DFIR および復旧会社と協力して侵害に取り組んでいます

アクティブな侵害において、Illumio ZTS がセグメンテーションを使用して実行できる重要なことの 1 つは、侵害された環境を「クリーン」バブルと「ダーティ」バブルに分離することで再感染を防ぐことです。 汚染された環境は、感染したデバイスのみが含まれるように分割されており、感染したデバイスはすべての対応と回復作業にわたって封じ込められ、基本的に隔離されていますが、それでも IR 企業はそれらのデバイスにアクセスできます。 イルミオは、復旧会社が必要なデータにアクセスできるように「復旧」バブルを設定します。 その後、Illumio は「クリーン」バブルを設定し、クリーンで修復されたすべてのデバイスがオンラインに戻ります。 これは、IR チームや復旧チームが作業を開始する前に VLAN や個別のネットワークを作成する必要がないようにするためです。最後に、重要なビジネス アプリケーションのセグメント化を開始し、レガシー ツールを使用した従来の方法と比較してより迅速にオンラインに戻します。 物理ネットワークの構築。

セグメンテーションによりインシデント対応の方法が変わります

多くの場合、攻撃者が環境内で活動しているかどうかが不明な間は、ビジネスラインを回復することはできません。 これは、多くの場合、最初に EDR をあらゆる場所に導入し、完全にクリーンな健康状態の証明書を取得する必要があり、その後でのみ先に進むことができることを意味します。 チームが時間との戦いをしている場合、これはかなりの貴重な時間を浪費する可能性があります。たとえば、ランサムウェアの被害に遭い、生産現場がオフラインになった製造会社を考えてみましょう。 彼らは商品を生産する必要があるが、それができない。 Illumio IR チームはアクティブな侵害に取り組み、侵害された環境をバブルに分割します (攻撃者が環境内でまだ活動している場合でも)。そして、実稼働環境をオンラインに戻し、製造元にアクセスを戻して業務を再開できるように支援します。 調査と復旧作業は並行して行われます。

Illumio インシデント対応パートナー プログラム

イルミオは、大手 DFIR および回収会社と協力して、IR および法医学活動の一環として ZTS を組み込むように設計された、新しいインシデント対応パートナー プログラムを発表できることを嬉しく思います。 セキュリティ侵害の影響を受けているクライアントに対して、Illumio は、修復を優先してビジネスを再開することで、従来の方法よりもはるかに早く回復できるよう支援します。DFIR および回復パートナーに対して、Illumio は経験豊富な、 - デマンド サポート チーム、待機中のカスタマイズされたテナント、およびすべての業務において完全な機密性を提供しながら既存のワークフロー内にセグメンテーションを統合するように設計されたプログラム。インシデント対応パートナー プログラムの詳細について知りたい場合は、Illumio の責任者、Ben Harel にお問い合わせください。 インシデント対応担当者（[email protected]）。

または、インシデント対応パートナーになることに興味がある場合は、こちらで詳細をご覧ください。