ランサムウェアによる情報漏えいに見舞われた場合に、特に身代金を支払った場合は、再攻撃に直面する可能性が高くなるだけです。実際、最初の侵害から数カ月後に再びランサムウェアに感染するリスクは、6倍近く増加するというデータもあります。
だからこそ、ランサムウェアのリカバリーを、単に事故を乗り切って次に進むこと以上のものにすることが非常に重要なのです。今後の攻撃で再び身代金を支払う羽目にならないようにするには、あるいは、すべてのケースで現実的ではありませんが、攻撃の発生を完全に防ぐには、最初に何が問題だったのか、そして今後どのようにすれば良いのかを把握が必要です。
そのために、ランサムウェア攻撃の被害に遭った後、どのように対応すべきかを考えてみましよう。ここでのヒントは、攻撃によって被った金銭的・風評的な損失を帳消しにすることはできませんが、不利な状況を打開し、再び同じような損失を被るリスクを最小限に抑えるのに役立つでしょう。
目次
ランサムウェアの復旧は
ランサムウェアのリカバリには、ランサムウェア攻撃の影響を軽減し、通常業務を回復するために完了しなければならないいくつかの重要なタスクが含まれます。攻撃直後は時間が非常に重要な要素となるため、データ損失を最小限に抑え、ビジネスの継続性を維持するための迅速な対応が必要となります。
- 損害アセスメント パニックに陥る前に、セキュリティ・チームを結集し、侵害の程度を評価し、取り組みの優先順位を決定するのが最善です。
- 早急なコミュニケーション:信頼関係を維持し、危機が回避されつつあること、つまり復旧対策が実際に実施されていることを保証するためには、親密なコミュニケーションとすべての利害関係者への情報提供は極めて重要です。
- 災害災害復旧計画の実行: しっかりとした計画持つことが鍵となります。文書化され、使い慣れ、チームが簡単にアクセスできるものでなければなりません。
- 機能強化:セキュリティ対策の見直しとアップグレード(パスワードや権限の強化、ソフトウェアの更新など)。DR計画に不都合があった場合は、直ちに対処します。
ランサムウェア復旧計画の重要性
ランサムウェア攻撃の頻度と巧妙さが増している現在、そのリスクはかつてないほど高まっていることは明らかです。 ランサムウェアの復旧計画の重要性 サイバー犯罪者が要求する身代金の支払いに頼ることなく、迅速かつ安全に制御を回復し、ビジネスの継続性を回復する能力が極めて重要です。
サムウェアの復旧計画は、単にデータを復旧するだけではありません。ランサムウェア攻撃は避けられないものであり、積極的な姿勢が必要であることを認識し、復旧を第一に考えるメンタリティを採用しなければなりません。
ランサムウェア攻撃は避けられないものであり、積極的な姿勢が必要であることを認識し、リカバリーを第一に考える必要があります。
ランサムウェア攻撃後の対応
ランサムウェアの復旧について理解しておくべきことは、短期的なプロセスと長期的なプロセスの両方があるということです。
短期的には、ランサムウェアからの復旧には、貴社が通常業務に戻れるように業務を復旧させることが含まれます。 復旧には、次のような方法があります。短期的には、身代金を支払うことなくシステムを復旧させることができるデータ・バックアップを使用するのが一般的です。 残念ながら、バックアップに成功している企業はほとんどありません。しかし、バックアップ・ベースの復旧に成功している企業はほとんどありません。報告書によると、バックアップを使用してランサムウェア攻撃からの復旧に成功した企業は、全体のわずか16%でした。バックアップをまったく取っていなかったか、バックアップからうまく復元できなかったかのどちらか(後述するように、バックアップがあるだけでは、それを使って実際に復元できる保証はない)。 その結果、ほとんどの企業は、身代金を支払う必要があった。そのため、ほとんどの企業は身代金を支払って事業を継続しなければならなりませんでした。
ランサムウェアのリカバリとは、何が問題だったのかを突き止め、二度と同じことが起こらないようにするための綿密なプロセスを指します。 この項では、ランサムウェアのリカバリについて説明します。ランサムウェアのリカバリーは、攻撃を受けた後、通常の状態に戻ってしまうと見過ごされがちです。 しかし、長期的なリカバリーが必要です。今後の攻撃に対する防御を強化するための長期的な復旧作業を行わなければ、身代金を支払う以外に復旧する手段がないまま、何度もハッキングされることになりかねません。
ランサムウェアによる攻撃の事後検証 復旧戦略
ランサムウェアからの短期的な復旧が完了した後は、長期的な復旧プロセスとして、どのような過失がランサムウェアの侵入を招いたのか、また今後どのようにすればリスクを最小限に抑えられるのかを多角的に分析する必要があります。
注力すべき主な分野サイバーセキュリティの防御
明らかなように、どのサイバーセキュリティの欠点が脅威行為者に貴社のデータを人質に取らせることになったのか、また、脅威行為者が同じことを繰り返さないようにするために何ができるのかを見極めます。
従業員がフィッシング攻撃に引っかかり、脅威行為者にアクセス認証情報を渡したためにデータが人質に取られたのであれば、フィッシング対策教育は攻撃後の賢明な投資である。 インプルも同様である。また、多要素認証のような防御策を導入することで、攻撃者をデータから切り離すことができます。攻撃者がソフトウェアの脆弱性を悪用した場合、パッチの適用を強化することで、将来のランサムウェア攻撃から保護することができます。
しかし、サイバーセキュリティにいくら投資しても、二度とランサムウェア攻撃が成功しないという保証はないということを念頭に置いておく必要があります。最初の事故が発生した際には、防御を強化し、攻撃者の侵入を許したギャップを埋める必要がありますが、将来の攻撃から免れられるとは決して考えないでください。
結局のところ、ランサムウェア攻撃の頻度は前年比で上昇し続けています。調査会社からのデータ侵害コストに関する調査から入手可能な最新のデータによると、ランサムウェアインシデントの平均コストは過去最高を記録しています。
これは、企業がサイバーセキュリティに費やす金額が増加しているにもかかわらず、ランサムウェア攻撃の頻度と影響も増加していることを意味します。 もしサイバーセキュリティが単独で有効であればつまり、防御への投資は増加しているものの、ランサムウェア攻撃の頻度と影響も増加しているということです。
包括的なデータ
バックアップ将来のランサムウェア攻撃を防ぐためには、データのバックアップ戦略を強化することが重要です。
まず、RPO(Recovery Point Objective)とRTO(Recovery Time Objective)の目標に沿った間隔で、すべてのデータをバックアップしていることを確認することから始める必要があります。 RPOとRTOについてデータのバックアップをどのくらいの頻度で実行すれば、業務を効果的にリストアできるほどデータが新しくなるかを確認します。
例えば、バックアップがランサムウェアからの保護に有効でない一般的な理由のひとつに、この領域があります。 直近のバックアップ・データが1週間前のもので、それ以降に発生した重要な情報なしでは生きていけない場合、バックアップからの復元を選択すると重要な情報を永久に失うことになるため、身代金を支払う価値があると判断するかもしれません。
バックアップの作成は、将来のランサムウェアのリスクを軽減するための最初のステップに過ぎません。バックアップを使用してシステムを迅速かつ効果的に復元できることを確認する必要があります。
リカバリ中に想定外の問題が発生する可能性があります。 データバックアップの移行 ストレージ・システムのハードウェアの劣化によりバックアップが破損し、それを元に復元することが不可能になる可能性があります。 データの移動に時間がかかる可能性があります。ネットワーク帯域幅やディスクI/O速度の制限により、バックアップ・ストレージから本番システムへのデータ移行に予想以上に時間がかかり、その間に業務が休止状態になる可能性があります。 次のような可能性があります。元々ワークロードをホストしていたクラウドや環境とは異なるクラウドや環境で復旧作業を行おうとして、復旧作業中にソフトウェアの非互換性の問題がプロセスを著しく複雑にしていることが判明。 このようなリスクやその他のリスクがあるため、企業はバックアップ・ストレージから本番システムへのデータ移行に予想以上に時間がかかる可能性があります。その他のリスクとして、組織はデータのバックアップが手元にあったとしても、バックアップを使用して十分に迅速にリカバリできないという理由だけで、身代金の支払いを選択することになるかもしれません。
このような課題こそ、バックアップとリカバリのテストの出番です。
定期的な復旧訓練(災害復旧イベントのシミュレーション)を行うことで、ランサムウェア攻撃のようなインシデントが発生した場合に、チームが実際に必要な時間内に業務を復旧できるかを検証することができます。
バックアップの失敗
バックアップを使用してランサムウェアからの復旧を成功させるためのもう1つの脅威は、攻撃者がバックアップ・データを削除または暗号化するリスクです。 このようなリスクは、以下のような状況で発生する可能性があります。脅威者が本番データだけでなく、バックアップ・インフラも侵害する可能性があります。
イミュータブル・バックアップを作成することを検討してください。攻撃者がバックアップデータを操作できないようにし、バックアップを使用してリカバリするときに、実際にリカバリできるようにします。
クロスアカウント災害復旧の計画
クロスアカウント復旧は、データバックアップを使用してランサムウェア復旧を成功させる可能性を最大化するもう一つの方法です。クロスアカウント復旧では、データを元々所有していたアカウントとは異なるクラウドアカウントを使用してデータを復元できます。
これは、クラウド・アカウント全体が侵害され、別のアカウントでクラウド環境を再構築する必要がある場合に便利です。また、クラウドアカウントがどのようにハッキングされたのか不明で、それを解明するのに時間を費やす代わりに、新たに作成した別のアカウントで操作を復元したい場合にも、クロスアカウント・リカバリーが有効です。
クロス・クラウド・リカバリーの実装
同様に、クラウドアカウントをまたいでデータを復元できることも、将来のランサムウェアの脅威に対する耐性を最大限に高める方法です。つまり、使用しているクラウド環境の1つが攻撃者によって侵害された場合、別の安全なクラウドでワークロードを迅速に復元することができます。
サイバー保険の検討
長期にわたるランサムウェアの復旧プロセスは、サイバー保険が賢明な投資となるかどうかを検討する良い機会となります。サイバー保険は、将来のランサムウェア攻撃からビジネスを経済的に保護し、別の侵害によって組織が致命的な打撃を受けるリスクを低減します。
確かに、サイバー保険がランサムウェアのリスクを軽減するための最善のソリューションとは限りません。効果的なサイバーセキュリティの防御策とデータのバックアップとリカバリのルーチンを導入し、ランサムウェアの攻撃に強いビジネスを実現することに主眼を置くべきです。それでも、サイバー保険はもう1つの保護レイヤーを構築する手段であり、他の分野ですでにランサムウェア防御を最適化しているのであれば、その価値はあるかもしれない。
ランサムウェアの攻撃から立ち直る
ランサムウェアの被害に遭った場合、次のような対策を講じる必要があります。ランサムウェア攻撃は最悪です。しかし、最初の失敗から学べず、繰り返される攻撃に備えることはできません。 その代わり、ランサムウェア攻撃後の期間を大切にすることが重要です。ランサムウェア攻撃を、将来のランサムウェアリスクに対する多面的な保護(サイバーセキュリティの強化、データのバックアップとリカバリの強化、サイバー保険の導入など)に投資する機会ととらえることです。
クライムは、多くのソルーションを提供
包括的なランサムウェア保護戦略を実施するために必要な機能 クロスアカウントなどの機能 アンタイクラウドとクロスクラウドリカバリにより、脅威者がアカウントやクラウド全体を侵害した場合でも、業務を迅速に復旧できます。 一方、イミュータブル(不変)なバックアップ とディザスタリカバリテストは、防御のレイヤーを追加し、最悪のランサムウェアインシデントからの復旧能力を最大化します。