ランサムウェア自体が災害であることは周知の事実です。必要なのは、現実を直視することです。
- 今日も支払われた身代金はとんでもないものです。
- 攻撃にかかる総費用も驚く金額です。
- 平均で35%のデータが失われ、永久に失われています。
今の時代、データは新しい金座なのです。衝撃を受けるかもしれませんが、サイバー犯罪者にとって、あなたの顧客情報や専有情報は本当にそれほどの価値があるのです。しかし、フルバックアップを実施していても、ランサムウェアに感染した場合のデータ喪失を防ぐことはできません。
ランサムウェアの攻撃は、対策を施していても、そのリスクを回避することはできません。しかし、理論上のランサムウェアのトンネルの終わりには、いくつかの光があります。今日、攻撃が発生する前に強固な防御戦略を構築し、遭遇、違反、または攻撃された場合に迅速かつ効果的に対応するために、導入できるツールや戦略は数多く存在します。
ここでは、サイバー攻撃からデータを保護したい場合に、組織が最優先で取り組むべき重要なポイントについて紹介します。
イミュータビリティの台頭
ランサムウェアの脅威が一般化する以前、企業はデータの保存とバックアップのためのシステムを構築していました。しかし、デジタル化・インテリジェント化が進む現在、こうした時代遅れのシステムは、もはや期待するほど安全ではありません。多くの企業が気づいているのは、現代社会の変化を反映し、データバックアップシステムの構造を再設計する必要があるということです。
そのような悩みを解決する方法のひとつが、「イミュータビリティ(不変性)」の採用です。
攻撃者がバックアップやレプリケーションツールにアクセスし、データを削除してから暗号化ロックや顧客への攻撃を行うようになったため、イミュータビリティが一般化したのです。つまり、ハッカーはより大きな防御策を講じることなく、データの改ざん、変更、削除を行うことができたのです。
この問題に対処するため、多くの組織が不変性アプローチ、つまり攻撃に対して効果的にレンガの壁を投げ出すようなアプローチを取るように調整しました。データが不変性を持って保管されていれば、改ざんや削除から保護されます。
さらに、より重要なこととして、データムーバーは、たとえ不変のバックアップをとっても、攻撃の影響を受けやすいということがあります。
データムーバーを保護する
先に述べたように、バックアップだけでは安全なディザスターリカバリープランとは言えません。攻撃者は現在、データムーバーを狙い、バックアップの読み取り/書き込み/変更を開始します。ほとんどの場合、犯罪者は無効化を開始し、不変性タイマーが切れるのを待って、データを削除します。そのデータムーバー自体を保護しない限り、ランサムウェアから身を守ることはできないのです。以下の変更で、データムーバーを保護することができます。
認証の分離
●バックアップインフラ用のセグメント化されたネットワーク
●ハード化されたレポとオフライン・モード
●自動化されたファイアウォールルール(スケジュールによるオンとオフ)
●バックアップの暗号化
●バックアッププラットフォームの多様性 vs 本番環境
●オフサイトバックアップ
・認証方法の制限
・認証の分離
・多様な暗号化キー
ここで重要なのは、単に適切なハードウェアにお金を払うだけでは、データムーバーを保護することはできないということです。これらの保護設定はデフォルトではなく、構築するのが非常に面倒な場合があります。これらは、正しい保護設定を行わないと効果がありません。データムーバーを保護するだけでなく、企業はランサムウェアの別の側面、すなわちディザスタリカバリプラン(DR:災害対策)にも注意を払う必要があります。
ディザスターリカバリーにスポットライトを
特に最近のランサムウェアの事例でバックアップの脆弱性が証明された後、多くの企業が「バックアップとディザスタリカバリはどう違うのか?バックアップとディザスタリカバリの違いは何なのか、自分のディザスタリカバリプランはランサムウェア攻撃から守ってくれるのか?」と戸惑っています。ではバックアップとディザスタリカバリの違いは何でしょうか。
バックアップ:
目的:長期的かつ歴史的なポイントインタイム・チェックポイントを提供し、そこから復元を
●重要なデータの実際のコピーにより、組織は復元する能力を得ることができます。
●戦略ベースではなく、ソリューションベース
●「インスタント・ブート」機能は存在するが、「ブート&ブラウズ」ユースケースに限定される
●攻撃が始まると、フォレンジックができない。
ディザスターリカバリー:
目標:業務を再開するための即座の能力を提供する
●自然災害、人為的ミス、サイバー攻撃などの災害による衰弱したダウンタイムから組織を保護するための戦略
●災害発生時に何が起こるか(アプリケーションの立ち上げは誰が行うか、RTOとRPOの要件は何か、テストは誰が行うか、など)、実際のプロセスや考察が含まれる。
より高度なセキュリティは、かつてないほど重要なものとなっています。幸いなことに、ディザスタ・リカバリは、不変のバックアップでは不十分なランサムウェアからの徹底的な保護を提供します。
ランサムウェアの脅威からさらに保護するために、次のような要件が必要になります。
●ディザスタ・リカバリおよびレジリエンス(回復力)の要件
●フェイルバック、テスト、ネットワークなど、DR戦略を成功させるための重要なコンポーネント
●ランサムウェアの検出によるバックアップとディザスタリカバリ戦略のレベルアップ方法