Rubrikは2018年から、サイバー攻撃からの復旧支援に取り組んできました。当社はサイバー攻撃に直ちに注目し、お客様への支援を強化するために、より効果的な対応プロセスと手順の開発に早い段階から着手しました。継続的改善と現場から学んだ教訓の実践という当社の精神は、製品とプロセスの両方に多数の進化をもたらしてきました。その重要な進化の一つが、2021年初頭のランサムウェア対応チーム(RRT)の設置と展開です。
お客様もサイバー攻撃も、それぞれ千差万別です。サイバーインシデント中には、多数の変数が作用します。大まかに言うと、変数には攻撃の方法論と実行、攻撃の範囲や影響や深刻度、対応と復旧に必要な行動などがあります。さらに、社内および社外関係者、その人たちの意思疎通、依存関係を加えると非常に複雑になる可能性があります。とはいえ、対応および復旧プロセスの最適化に対して、完全にお客様の管理下であるものが一つあります。包括的かつテストされたインシデント対応・復旧計画を使った適切な対策です。
2023年1月のブログ、『 Ransomware Recovery: RTO and Optimizing the Recovery Process(ランサムウェア復旧:RTOおよび復旧プロセスの最適化)』でお客様による対策について触れました。そして、さらに知見を繰り返し提供することが必要だと感じました。対策は攻撃前と攻撃中/攻撃後の段階で分別できます。それぞれの重要なアクションは次の通りです。
攻撃前:
- 十分にテストされたインシデント対応プレイブック
- 代替連絡方法
- 社内関係者の役割/責任の定義
- 全管理者アカウントのMFA
- 検証済み復旧戦略
攻撃中/攻撃後:
- プレイブックのプロセスの実施
- 攻撃の範囲/影響の特定
- 脅威の封じ込め/無力化
- Rubrikなど信頼できるベンダーの手配
- インシデント後に得た教訓
攻撃前の対策例では、インシデント対応チームの連絡計画の策定は不可欠です。これには、会社のインフラストラクチャ外で、独立した代替連絡体制を含むべきです。攻撃直後と攻撃中は多くの場合、会社の通信の一部、時にはすべてがオフラインになったり、信頼できなくなったりします。
攻撃後の対応態勢で見過ごされがちな例は、復旧作業にかかわる工程順序で、これを覚えておくことが重要です。アプリケーションや業務などの高次の回復を試みる前に、基盤となるインフラストラクチャ(Active Directory、DNS、証明書サービスなど)がネットワーク上にあり、信頼に足ることを確認しなければなりません。
Rubrikはお客様の復旧ワークフロー内の基本的要素です。RubrikのRRTとサポートは、最高レベルの緊急性、継続性、機密性を伴う支援を、24時間年中無休で実施します。当社は、お客様の復旧が完了して通常の業務に戻るまで、作業に関与し続けます。Rubrikユーザーになると本質上、ビジネス関連のすべての意思疎通はNDAで保護されます。当社は信頼できるベンダーであり、お客様が最も必要なときに力になります。当社のサポートの効果を最大限生かすためには、以下が必要です。
社内の部署、幹部、取引先、サイバー保険企業のすべてが、Rubrikを信頼できるベンダーとして認識すること。
社内の部署、幹部、取引先、サイバー保険企業のすべてが、Rubrikの製品とサポート機能を認識すること。
信頼できるベンダーと社内部署との連携および連絡を促進すること。
対策に関するさらなる情報や詳細については、当社のホワイトペーパー、『Ransomware Preparation and Incident Response(ランサムウェア対策とインシデント対応)』をRubrikサポートポータルでご覧ください。