ランサムウェア攻撃からバックアップデータを守る
改ざんや削除、暗号化を防ぎ、バックアップの健全性を維持
バックアップ処理を活用して早期マルウェア検出
バックアップのベストプラクティスとして知られる「3-2-1ルール」ですが、このルールではバックアップファイル自体の健全性を確保することができません。ランサムウェア攻撃によって、バックアップファイルそのものを改ざん・削除されてしまう可能性があるからです。
このリスクに備えるために、Veeamでは「3-2-1-1-0ルール」でのデータ保護を提唱しています。
3-2-1ルールに補足して、メディアに保存したデータの1つはオフラインorイミュータブルに、リカバリプロセスを検証しバックアップエラーを0にするというものです。Veeamではバックアップを取得するだけでなく、バックアップを書き換え不能な状態で保持、クラウドやテープへアーカイブ、隔離環境での検証やウイルススキャンなどの機能が備わっており、3-2-1-1-0ルールに準拠したデータ保護が実現できます。
セキュアな保護
イミュータブルなバックアップ
Linuxのリポジトリ(保存先)をイミュータブル(Immutable)なストレージとして利用可能です。
イミュータブルとは作成したファイルを変更、削除できない状態を指し、これによってランサムウェア等によるバックアップファイルの暗号化や削除を防ぎます。
- 使い捨ての認証情報を使用し、Veeamに認証情報を保存しない
- 導入時とアップデート時のみSSHを使用
- Linuxリポジトリのみ使用可能
- 永久増分バックアップモードは使用不可
参考記事:Immutable(不変的)なバックアップでランサムウェアから防御を!!「Hardened Repository(堅牢化リポジトリ)」の実践
Windowsでも変更不可な保持を実現
Blocky for Veeamは、独自のフィンガープリントチェックによって、Windows上でバックアップデータへのアクセスを制御し、変更や削除を防ぐことで、ランサムウェアやマルウェアなどの脅威からバックアップデータを保護するセキュリティ対策ソリューションです。アプリケーションホワイトリスト(AWL)というアプローチを採用することで、未知のアプリケーションに対して「デフォルトで拒否」する、より強固なアプローチを提供します。Blocky for VeeamをVeeamサーバ上で実行することで、Windowsマシン1台でバックアップのイミュータブル化を実現できます。
参考製品:Windowsリポジトリでランサムウェア対策するなら Blocky for Veeam
オフサイト/クラウドへの隔離
クラウドへのアーカイブ
ローカルへ取得したバックアップをクラウドのオブジェクトストレージへアーカイブすることが可能です。ローカル環境とエアギャップのあるクラウドへバックアップをアーカイブすることによって、ランサムウェアに感染してもクラウドのバックアップから復旧が可能です。
また、Veeamでは一次バックアップ先やバックアップコピー(二次バックアップ)先としてオブジェクトストレージを利用することが可能です。さらに、オブジェクトストレージのバケット作成時にオブジェクトロック/バージョニングを有効にすることで、クラウドへのイミュータブルなバックアップを実現できます。
参考記事:Veeamによるクラウド(オブジェクトストレージ)へのアーカイブ
対応クラウド
- Amazon S3
- Azure Blob Storage
- Google Cloud Storage
- IBM Cloud Object Storage
- Wasabi hot cloud storage
- S3互換ストレージ
テープへのアーカイブ
ストレージに取得したバックアップを二次バックアップとしてテープに保存することが可能です。WORMテープもサポートしていますのでイミュータブルな保存も可能です。さらにこのテープを物理的に異なる拠点(オフサイト)に保管することで、運用環境が災害やランサムウェア被害などにあったとしても、テープ上バックアップから復旧ができます。
健全性検証
ウイルススキャン
Scan Backup
v12.1以降の機能で、取得済みのバックアップデータに対してウイルスチェックを行い、正常なバックアップを検出します。
オンデマンドの実行だけでなく、スケジュールでの定期的な実行にも対応しており、バックアップ完了後に、あとからウイルススキャンを行えます。スキャンするマシンのディスクをマウントサーバにマウントし、ウイルス対策ソフトやYARAルールを利用して、バックアップジョブ全体や特定のマシンに対してウイルスチェックを行うので、取得済みの最新のバックアップデータに対しての整合性をチェックできます。こちらの機能をSureBackupやセキュアリストアにも使用することができ、バックアップの検証やリストアとあわせてウイルスのスキャンが可能です。
セキュアリストア
仮想マシンを本番環境へリストアする前に、Scan Backupを使用してウィルス対策ソフトやYARAルールによってバックアップファイルをスキャンすることができます。これにより、コンピューターレベルのウィルスやランサムウェアなどのマルウェアを実際にリストアする前に検出することができます。マルウェアを検出した場合には、リストアを取りやめるか、ネットワークアダプタを無効にしてリストアを実施することができます。
- アンチウイルスソフト
- Symantec Protection Engine
- ESET
- Windows Defender
- Kaspersky Security 10 ※Windows OSのリストアのみ対応
SureBackup
ネットワーク的に隔離された環境で実際にVMを起動させることでバックアップの健全性を事前に確認することが可能です。任意のタイミングで実行することも可能ですが、バックアップ終了後に自動で検証を開始することもできます。このときにScan Backupによるウィルススキャンの実行によって感染の有無を確認したり、任意のスクリプトを実行することによってVM上のサービスやアプリケーションの動作確認も可能です。※VMware/Hyper-V環境のみ対応
マルウェア検知
インラインマルウェア検知
エントロピー分析を使用して、処理されたディスクイメージ内で暗号化されたファイルを検知します。
ジョブでのデータ処理時、その乱雑さ=エントロピーを分析し記録、前回と比較して大幅な増加(よりランダムなデータになっている)が確認されると、ランサムウェアなどで暗号化されている可能性があるバックアップとしてマーク、潜在的なマルウェア脅威のアクティビティを検知できます。このような高度な分析を含む以下手法でバックアップと並行した検知を可能にし、マルウェア発覚までのタイムラグを短くできます。
- 暗号化されたファイルの検知(エントロピー分析)
- マルウェア関連のテキスト検知(ダークウェブのonionアドレスやランサムノートなど)
- ファイルシステムインデックスのスキャン(ファイル名一覧から疑わしい名前や多数のファイル名変更、削除を検知)
参考記事:Veeamで行うマルウェア検出 – インラインスキャン
Veeam ONE
仮想環境のモニタリング、レポートが可能なVeeam ONEを利用することでランサムウェア感染の疑いがあるアクティビティを早期に検出できます。CPUやメモリ、ネットワーク、ディスクI/Oの不自然な高騰をアラートやレポートで検知し、ランサムウェア感染の疑いがある仮想マシンを発見します。
比較
ランサムウェア対策比較表
●:対応 ▲:部分的に対応 ✖:未対応
| 機能 | Veeam | A社 | B社 | C社 | D社 | E社 |
|---|---|---|---|---|---|---|
| ストレージに依存しないソフトウェア定義されたバックアップの不変性 | ● | ▲ | ● | ▲ | ▲ | ▲ |
| オブジェクトストレージによるバックアップコピーとアーカイブの不変性 | ● | ● | ● | × | ● | ● |
| エアギャップのあるバックアップ | ● | ▲ | ● | ● | ▲ | ● |
| 時間ベースのバックアップの保持ロック | ● | ● | ● | ● | ▲ | ● |
| コンソールアクセスのMFA | ▲ | ● | ● | ▲ | ● | ● |
| バックアップデータのランサムウェアスキャン | ● | ● | × | ▲ | ● | × |
| 復旧前のランサムウェアチェック | ● | ▲ | × | ▲ | × | ▲ |
| 潜在的なランサムウェア活動のほぼリアルタイムなアラート | ● | × | ● | ● | × | ● |