最新のランサムウェア攻撃から学べる教訓は何ですか？

学んだ主な教訓の1つは、セキュリティサービスがゼロデイとそれらを悪用するツール（特に）を適切に保護できない場合、それらを利用するべきではないということです。

ただし、覚えておくべきことは、WannaCryptとPetyaの両方にヒットする前にパッチがあり、どちらも不適切な構成を利用していたことです。

さらに、大規模な打撃を受けた多くの組織は、標準的なベルトとブレースのセキュリティ対策を実施していれば、一部（場合によってはすべて）の痛みを回避できたはずです。

組織が学ぶ必要がある主なレッスンは、基本の権利を取得することです。

例えば：

脆弱性管理

定期的に脆弱性スキャンを実施し、すべての資産のセキュリティ状況、存在する脆弱性、これらの脆弱性に関連する脅威、およびIT資産とそれが提供するビジネスにもたらすリスクを理解します。

これには、欠落しているパッチ（MS17-010など）と不適切な構成（SMBv1が有効になっているなど）の両方が含まれます。

これはすべて、適切なプロセスによってサポートされ、継続的な発見、脆弱性の修正（アクションまたはリスクの受け入れによる）、および修正の確認を可能にします。

理想的には、IT資産全体にわたるallリスクを認識し、管理する必要があります。

さらに、上記のすべてが正しく行われるように、役割と責任を割り当てる必要があります。これには、セキュリティマネージャー、セキュリティアナリスト、脆弱性マネージャー、IT技術者などが含まれます。

パッチ管理

パッチがタイムリーに展開されていることを確認します。これは、最新の火曜日のパッチをプッシュすることを意味するだけではありません。これには、IT資産にどのようなソフトウェアがあるかを理解し、すべてにパッチが適用されていることを確認するための資産の完全なインベントリを用意することも含まれます。

リムーバブルメディアコントロール

リムーバブルメディアが許可されたデバイスのみに限定されていることを確認します。理想的には、すべてのリムーバブルメディアをブラックリストに登録し、承認したものはすべてホワイトリストに登録します。 （ただし、これは私の見解です）

マルウェア防止

すべてのエンドポイントに何らかの種類のAV、少なくとも古典的なヒューリスティックと定義ベースのAVがあることを確認してください。 （より高度なソリューションが利用可能ですが）、それが最新で機能していることを確認してください。

災害復旧

重要なデータのオフサイト、オフラインバックアップを含むバックアップがあることを確認します。

インシデント管理

重大なセキュリティインシデントに対応する計画があることを確認してください。適切なプロセスでサポートされた適切な場所に適切な人材がいることを確認します。

ユーザー特権の制御

これは言うまでもありません。すべてのユーザーに最小限の特権を与えるようにしてください。これは、これが定期的に監査されることを保証するためにサポートされるべきです。

ユーザー教育とエンゲージメント

すべてのスタッフが組織のセキュリティポリシーを理解していることを確認してください。ユーザーをテストするフィッシングキャンペーンなどの演習を実施し、ユーザーが関連するリスクを理解できるようにトレーニングを提供し、メール、ウェブサイト、ソーシャルエンゲージメントなどを突き止める準備を整えます。セキュリティはユーザーの問題ではなく、ITの問題である必要があります）

良好なネットワークセキュリティ衛生

境界に適切なアクセス制御を設定し、ネットワーク内のすべての適切な場所にファイアウォールを適切に構成し（定期的なルール監査とレビューを使用）、VLANが必要なだけのセグメンテーションで適切にセットアップされていることを確認します。すべてのリモートユーザーが安全に接続できること、および接続元のデバイスがネットワーク上に既にあるデバイスと同じように少なくとも1対1のパッチレベルを持っていることを確認してください。また、堅牢なBYODコントロールがあることを確認してください。