デモで示した、トレンドマイクロの多層防御
こうした攻撃が行われる中、「Vision One」からはクレデンシャルが窃取されているところと、PsExecが実行されているところが検知されているのが確認できる。
コンソールでは誰が何を実行したのかが図示されていて、掘り下げていくと「何時にどのようなコマンドが発行されたか、どのようなプロセスが起動したか」といった情報を確認できる。
たとえば、「業務時間外」であったり「業務では普段使わないコマンド」であれば、リスクが高いと判断するヒントになる。またPsExecの部分では「内部展開ではないか」という警告も表示されているし、この部分の詳細を確認すると、どこのサーバーと接続したのかも確認できる。
クレデンシャル窃取に該当する警告部分も同様に、コンソールから誰が何をしたかをも確認できる。掘り下げていくと、PsExecで侵入し、コマンドプロンプトを起動し、レジストリに対して操作したという一連の動きが確認可能だ。実際に実行されたコマンドを見ると、クレデンシャルが窃取されたのがわかるようになっている。
また今回の攻撃シナリオでは、マシンAからマシンBへと侵入しクレデンシャルを窃取したため、攻撃者が再度マシンBに侵入するのを防ぐためにマシンBを隔離することも可能となっている。「Vision One」のコンソールからエンドポイントを隔離するタスクを実行すれば、この「Vision One」以外からマシンBへはログインができなくなるという形だ。
このように「Workload Security」と「Vision One」を併用することで、クラウド環境で多層防御とEDR/XDR機能を利用できる。岡本氏は「Workload Securityをご購入いただければ、最新のランサムウェアに対する防御と検知となる「Vision One」のXDR機能を無料でお使いいただけます」と念を押す。
冒頭に述べたように、2019年からランサムウェアの被害が増え続けている。これからのランサムウェア対策は(オンプレにある)エンドポイントだけではなく、クラウド環境も視野に入れていく必要がある。最新型のランサムウェアに対応し、被害を最小限に抑えるには、サーバーにおける多層防御とEDR/XDRによる検知の両立が重要となる。
最後に岡本氏は、「実際にサーバーの多層防御とEDR/XDRを実現したいとなった場合には「Trend Micro Cloud One - Workload Security」と「Vision One」を思い出していただければと思います」と述べて講演を締めた。
