サイバー攻撃者はますます効率的になり、世界中の組織が使用しているソフトウェアやアプリケーションを標的にしています。最近の例を1つ挙げるとすれば、ESXiargsランサムウェアの大規模キャンペーンで、ESXiのゼロディ脆弱性が標的になりました。今のところ、この2か月間で、世界中の3,000以上のESXiサーバーと数え切れないほどの仮想マシンが被害にあったと報告されています。
攻撃が明らかになった先月、その脆弱性に対するパッチがすぐに提供され、広くインストールされました。また、米国サイバーセキュリティ・インフラストラクチャ庁(CISA)と連邦捜査局(FBI)が共同で、ESXiargsランサムウェアの被害軽減に関するサイバーセキュリティ勧告(CSA)を発表しました。CISAもFBIも組織に対して身代金を支払わないことを勧めているため、ESXiargsランサムウェアの被害者の復旧に役立つように、この勧告を発表しました。このランサムウェア攻撃はパッチが適用されていない版のESXiを使用している組織を標的にしています。
未来のランサムウェア攻撃への対策とその影響の軽減
CSAガイドでは、CISAとFBIはランサムウェア攻撃の影響を低減する何らかの予防措置を講じることを推奨しています。ここで、CSIの重要な推奨事項をいくつか検討し、以下の推奨事項への準備と実装にRubrikの機能がどのように役立つか詳述します。
すべてのバックアップデータを暗号化して書き換え不可にし、組織のデータインフラストラクチャ全体をカバーすること。
Rubrikはバックアップデータをデフォルトで暗号化し、Rubrik専有のファイルシステムに保存します。これによりデータは書き換え不可になり、システムは、オンプレミス、クラウド内またはその両方などデータがどこにあろうと、各種データソース全体でデータレジリエンスを確保できます。
データのオフラインバックアップを維持し、バックアップと復元機能を定期的にテストすること[CPG 7.3]。これらを行うことで、組織の業務継続性が保護され、少なくとも、ランサムウェア攻撃時に発生し得るダウンタイムを最短にでき、データ損失を防ぐことができる。
Rubrikはデータのバックアップを論理的に隔離された状態で保存するため、攻撃の可能性を低減および制限します。さらに、独自の専用に構築されたファイルシステムが、顧客のデータを守るもう一つの保護レイヤーとして機能します。オフラインバックアップは確かに極めてセキュアで優れていますが、多くのユースケースで非効率であったり、費用対効果が良くなかったりします。Rubrikのエンタープライズデータの保護とRubrik Cloud Vaultはオフラインバックアップの必要性や頻度を最小限に抑えます。
ランサムウェアインシデントの対応手順を含めた基本的なサイバーインシデント対応計画と関連する連絡計画を作成、維持、実行すること[CPG 7.1、7.2]。
Rubrikのデータ修復機能は、サイバー攻撃またはイベント後のデータおよびシステム復元の対応計画の策定に役立ちます。Rubrikの製品・サービスは、素早く、自信をもって、組織全体が連携して復旧作業を実施するための、プレイブック作成の一助となり、ダウンタイム、データ損失、組織や顧客への影響を最小限に抑えます。
ネットワーク内のサーバーメッセージブロック(SMB)プロトコルを必要なサーバーへのアクセスのみに制限し、古いバージョンのSMB(SMBバージョン1)を削除または無効にすること。脅威アクターはSMBを使用して組織全体にマルウェアを伝播させます。
サイバー攻撃の軽減では、システムの攻撃対象領域を減らすことと、バックアップを忘れないことが不可欠です。バックアップデータソリューションで実行およびリッスンしているポートやプロトコルが多いほど、攻撃者がそれらを見つけて攻撃する確率は高くなります。Rubrikは、ゼロトラストの精神の下、これらの多数の原理を念頭に構築されました。たとえば、Rubrikシステムはバックアップストレージにアクセスできるものとアクセスできる方法をロックします。
フィッシングに対抗するMFAをできるだけ多くのサービスに適用すること[CPG 1.3]。これには特に、ウェブメール、VPN、重要なシステムにアクセスするアカウント、バックアップを管理する権限付きアカウントが該当する。
アプリケーションやリモートアクセスに対して許可リストポリシーを適用し、既知の許可されたプログラムの実行のみをシステムに許可すること。
上記のセキュリティ推奨事項はどちらも重要なサイバーセキュリティ制御であり、MFAとロールベースアクセス制御の両方がRubrikソリューションに組み込まれています。これらはゼロトラストアーキテクチャの柱となるデータでコンプライアンスに準拠するための重要な手順です。
バックアップをスキャンする。可能であれば、ウィルス対策プログラムを使ってバックアップデータをスキャンし、マルウェアが含まれていないことを確認すること。バックアップを侵害の可能性から守るために、隔離された信頼できるシステムを使ってスキャンすること。
Rubrikは第三者にアクセスすることなく、ファイルハッシュ、YARAルール、脅威インテリジェンス、専用検知アルゴリズムを活用して脅威を特定し、データバックアップ内の悪意あるコードや機密データを検出できます。この機能が重要なのは、安全な復元ポイントがすぐに特定できるのはもちろん、流出した機密データや、敵が攻撃の実行に使用した可能性のある方法に関するインサイトを提供できるからです。また、Rubrikを使用すると、バックアップを瞬時にライブマウントし、必要なデータの分析・テスト・復元を迅速に行って、データの整合性を確保できます。
実証済みのサイバー復旧機能でサイバーレジリエンスを獲得
CISAが政府組織全体と協力し、現実問題に非常に直結したサイバーセキュリティ勧告を極めて素早く作成することで、攻撃の詳細な説明と未来の攻撃を防ぐ方法に関するガイダンスを提供しているのは素晴らしい取り組みです。Rubrikは業界をリードするゼロトラストデータセキュリティプラットフォームで、世界中の5,000を超える顧客のデータを保護しています。Rubrik Forwardバーチャルカンファレンスで、サイバーレジリエンス戦略に対するRubrikのサポートを詳しく説明しますので、ぜひカンファレンスにご参加ください。登録はこちらから。