クラウド環境も含めた、最新のランサムウェア対策決定版
クラウド環境も視野に入れたランサムウェア対策で防御と検知が有効となる中、トレンドマイクロが提供しているのが「Trend Micro Cloud One - Workload Security」と「Trend Vision One」だ。
「Trend Micro Cloud One - Workload Security」(以下、Workload Security)はクラウド環境における脆弱性対策や多層防御を実現する。クラウド環境のサーバーにエージェントをインストールすれば、トレンドマイクロの管理サーバー経由で機能が提供されるため管理サーバーの構築や運用は必要ない。
「Trend Vision One」(以下、Vision One)は、一言でいえばリスクが可視化されたコンソールだ。高度なスレットインテリジェンスと相関分析で迅速なインシデント対応、環境全体のリスクを可視化、リスクに基づく動的なアクセス制御などを通じてゼロトラストを実現するサイバーセキュリティプラットフォームとなる。
「Workload Security」から様々なデータを収集し、「Vision One」で脅威の可視化とインシデント対応するため、メールやエンドポイント製品と組み合わせればXDRとして機能させることが可能となっている。
クレデンシャル情報の窃取を「Vision One」から見ると?
ここからは岡本氏が「Workload Security」と「Vision One」が導入された環境において、ランサムウェア攻撃がどのように見えて、何ができるのかをデモを通して解説した。今回のデモで注目すべきは、以下の3点だ。
- 防御よりも検知に焦点を当てていること
- クレデンシャル情報の窃取を検知できること
- 正規ツールの悪用を検知できること
デモでは「攻撃者がRDSで社内サーバーAに接続し(権限昇格済み)、PsExecを使い別の社内サーバーBへとログインし、レジストリからAdmin権限のパスワードハッシュを取得してクレデンシャル情報を窃取する」という流れとなる。
