ランサムウェアへの心構え
ランサムウェアに対抗するにはエアギャップ(オフライン)またはイミュータブル(不変)バックアップストレージの利用が有効です。しかし今できること、そして実際に攻撃が起こったときにどうするか。残念ながら、ほとんどの人にとって避けられない現実であるため、私たちが経験したユーザから学んだことを共有することで、皆さんが同じことに直面したときの心構えをより良くする理解することができればと思います。
最初に次のことをできるだけ早く実行してください。
1. まだサイバー保険に加入していない場合は、今すぐ加入する。サイバー保険に加入していないと、まともな復旧専門家を探すのに苦労します。ランサムウェアの台頭以来、サイバーセキュリティ業界の人手不足がどれだけ深刻か、その結果、どの程度の専門家を急遽見つけることができるのか、考えてみてください。
2.予備の連絡手段として、携帯電話やフェイルバックメール(Gmail)のような完全に外部のもの)を考えておくこと。Veeamのようなベンダーと通信するために何か必要ですが、通常の電話やメールシステムがダウンする可能性が高いです。そのため、予備の通信チャネルがITベンダーに登録されていることを確認してください。そうでなければ、会社を代表してサポートケースを開くことさえできないかもしれません。
3. 攻撃を受けたら、どこに環境を復旧させるか計画する。私は、お客様が証拠品として本番用ストレージを警察に押収され、身柄を拘束されたケースを何度も見てきました。つまり、バックアップは十分に取れているのに、それを復元するためのハードウェアがないのです。現在のサプライチェーンの問題から、新しいハードウェアを手に入れるには時間がかかるし、予備のハードウェアをただ置いておくことは多くの人にとって余裕がないので、クラウドIaaSに環境をリストアすることが文字通り唯一の選択肢になるかもしれないです。Veeam社は、AWS/Azure/GCPに直接リストアすることができ、Veeam Cloud Connectを利用するサービス・プロバイダーのいくつかは、バックアップを彼らのデータ・センターにリストアすることができます 。しかし、サプライズ(失敗)がないように、プロセス全体をテストするようにしてください。これはまた、必要なすべてのネットワークを配置することで、後でこのことに時間を浪費しないようにするためです。
進行中の攻撃に気づいたら
1. 被害を最小限に抑えるため、影響を受ける可能性のあるものをすべてオフラインにする。ハッカーは、重要な本番データを環境の外に流している可能性があり、これによって、後でそのデータを公開すると脅すことができるようになります。
2. 重要なインフラ・ベンダーにサポート・ケースを開設する。いずれはすべてのベンダーからの支援が必要になる可能性があります。ケースを開設する際には、連絡先を明記することを忘れないでください。ほとんどの人がこのことを忘れてしまい、すべてのシステムがダウンしているため、メーカのS特別チームが連絡することができません。
3.バックアップの復元は絶対にしないでください。侵入は通常、実際の攻撃の数週間前に起こるので、最新のバックアップを大量にリストアする意味はほとんどないです。ただし、ランサムウェアが存在し、攻撃者が高い権限でリモートアクセスできる状態(さらに、既知の管理者アカウントのパスワードを無効化したり変更したりするときのために、複数のフォールバックオプションが隠されている状態)に環境を復元することに時間を浪費することに問題がない場合は、この限りでありません。
4. 経営陣と現実的な期待値を設定する:完全復旧には長い時間がかかる可能性があります。最近の実際の攻撃の例では、ある顧客はVeeamの強固なバックアップを持っていましたが、サイバー保険会社によって任命されたセキュリティ専門家は、これらのバックアップの復元を開始する前に何が起こったのかを再構築するのに2週間を要しました!Veeamのバックアップを復元するためには、Veeamのセキュリティ専門家が必要です。ランサムウェアが実際の暗号化攻撃の4週間前から環境に侵入していたことが判明したこともあります。
5. 攻撃を完全に理解した後にのみ、最近のバックアップの復元を開始することができ、それは常に段階的に行われます。まず、各マシンは隔離環境にリストアされ、そこで決定された脅威からの実際のクリーニングが行われます。さらに、各マシンは複数の高度なセキュリティツールでスキャンされ、他に眠っている脅威がないことが確認されます。これらすべてが完了した後、クリーンアップされたマシンの状態は本番環境に移行します。Veeamをよくご存知の方は、ステージド・リストアの仕組みと同様です。
6. バックアップストレージが遅いと問題が長期にわたります。このため、小さくても高速なプライマリバックアップリポジトリを使用することをお勧めします! その他、最近のある攻撃では、ユーザは最終的に、重複排除バックアップストレージから各VMをオールフラッシュアレイのある隔離されたラボにリストアし、そこでクリーニングとスキャンを行い、その後、処理済みのマシンを本番ストレージに移動することを選択しました。たとえこれが実質的にVM全体のリストアを2回行うことになったとしても、重複排除ストレージ上でバックアップからVMを実行するよりもずっと速いのです。Veeamの場合、VM全体のリストアは非常に高速ですが、これは「シーケンシャルリード>ランダムライト」のアプローチで適切なリストアパフォーマンスを得るためです(デデュープ・アプライアンスはシーケンシャルI/Oに最適化されているため)。
”あるバックアップ・エバンジェリストからのアドバイス”
Immutable(書き換え不能)レポジトリーバックアップによるランサムウェア対策
この記事が気に入ったらサポートをしてみませんか?