メインコンテンツまでスキップ
 
新しい会話を開始

未解決

MW

MSS-W

8 メッセージ

590

2022年3月23日 18:00

バックアップをサイバー復旧にレベルアップさせる重要ポイント <第2回>

サイバーリカバリ対策してますか?
前回に引き続き、今回もバックアップをサイバー復旧にレベルアップさせる重要ポイントについて、お話させていただきます。

前回ご紹介をさせていただいた稼働OSと比較すると少し敷居が高くなってまいりますが、最後までお付き合いのほど、よろしくお願いいたします。

 

3、アクセスを限定
昨今、"サイバー攻撃を受けた"というニュースは珍しいものではなくなってきています。
多くの場合、それらのニュースはサーバやパソコンなどの端末がランサムウェアにより暗号化され、脅迫文が残されていた。当該データについてはバックアップにより復旧し、業務影響は出ていない。という形で締めくくられています。

それで締めくくることのできない一部ケースでは、何日も業務が停止した、データを復旧させる手段がない、と深刻な影響が生じています。その差は攻撃を受けた範囲、特にバックアップデータの被害有無が大きな要因となっています。

そこでバックアップデータに被害が出た環境に目を向けると、バックアップデータについてバックアップサーバからであれば、WindowsやLinuxコマンドで削除や暗号化が可能な状態だった。CIFS/NFSマウントされた領域に全世代が保管されてしまっていた。と外部からの不正アクセスの防御についてはファイアウォールやIDS/IPSと多くの投資を行って、気を配られているものの、侵入されてしまった後のケアについては一歩足りていないケースもあります。

バックアップデータはサイバー攻撃の被害が出た際に、復旧を行うために最も大切なものです。

CIFS/NFSといった汎用的なプロトコルでアクセス可能な状態での保管を避け、書き込みや読み出しに際しては独自プロトコルでのアクセスに限定することでデータ侵害が起こりにくい領域にバックアップデータを保管することが重要です。

また、最近では重要データの保管にエアギャップという概念が取り入れらています。業界団体による定義やWikipediaなど、各媒体によってその定義に若干の差異はあるものの、僅かなデータのインポート時間を除いてインターナルを含むネットワークから電気的に切断された状態を指します。サイバー復旧を考慮したデータの保管に際しては、このようなプロトコルによる隔離、物理的な隔離をデータに対して適用な可能なソリューションを選択しましょう。

 

"2、多要素認証の選択"とも被る観点ですが、パスワード漏えいに外部保管が組み合わさる場合は非常に厄介で、正常なリクエストとして処理をされることから、設定によってはアラートが出力されることなく、攻撃者がHTTPアクセスし自由にデータをダウンロードできる状態が継続した事例も存在します。
<https://diriga.com/2020/03/06/ransomware-attackers-use-cloud-backups-to-steal-information/>

多要素認証と合わせて、バックアップデータに対するアクセス方法、時間を限定することは当然重要な選択基準の一つです。
 
ex)独自プロトコルを用いたアクセス方式

MSSW_2-1646732795384.png

 

 

 4、格納データの改ざんを防止
攻撃者は復号化を条件とした金銭の要求などの目的を達成しやすくするために、バックアップデータに対しても改ざん(削除、暗号化含む)を行うことによって復旧を困難にしようとします。

一般的にバックアップデータは一度保存した後に、頻繁な更新を行うことはなく、次の世代のバックアップが取得されるか、必要な保存期間を満了するまで削除する必要もないかと思います。

そのデータ特性から、保持期間満了までデータへの変更を禁止する設定を行うことが、データの改ざんを防止し、確実にデータを保持するために有効です。バックアップシステムを選択する上ではそうした変更禁止の仕組みを取ることができるソリューションを選択しましょう。

加えて、ファイルのatime(アクセスタイム)から制限を有効にするまでの猶予期間を設定するなど、柔軟な設定を取ることができるものを選択することで、誤って置いてしまったデータが無期限に保管されてしまう、長時間残ってしまう、というよう運用上の懸念も払しょくできるのではないかと考えています。

 

ex)atime(アクセスタイム)を利用したデータロックの仕組み 

MSSW_3-1646732998674.png

 

 

5、ランサムウェアの感染を検知
サイバー攻撃に用いられるランサムウェアは感染してすぐに被害が出るケースもありますが、一方で長期間潜伏し感染範囲を広げる、データを改ざんしていくといった動作をとることも多くあります。

そのため、被害を確認し、バックアップデータを活用し復旧をした後に、一部のデータが破損しており業務が再開できないというケース、潜伏したものをリカバリしてしまっており再開後に再発したというケースも発生しています。

早期に復旧するためには、せめて、いつ被害が発生したのか、を特定しそれ以前に復旧させる。欲を言えば、ランサムウェアを発見し、被害範囲を特定することで可能な限りの最新バックアップデータを活用できるようにしたいものです。

それらを満たすために、バックアップシステムについては、世代間のデータの変更率をチェックすることでランサムウェアの暗号化や削除といった動作を検知する、ファイルの内容や振る舞いをチェックしランサムウェアの感染有無を確認する等の、取得済みのバックアップデータを検証する機能を持ったソリューションを選択しましょう。

MSSW_4-1646733129506.png

 

 

 今回もお読みいただきありがとうございました。前回お話させていただいた内容と合わせて、今回お話させていただいたポイントを整理させていただきます。

今回のまとめ
1.稼働OSの選択:(ポイントは)Windows以外の選択肢があるかを必ず確認
2.多要素認証の選択:(ポイントは)影響の大きい操作は多要素認証で多層防御できるかを必ず確認
3.アクセスを限定:(ポイントは)誰でもいつでもバックアップにアクセスできる状態になっていないかを必ず確認
4.格納データの改ざんを防止:(ポイントは)保管期間前に編集や削除ができる状態になっていないかを必ず確認
5.ランサムウェアの感染を検知:(ポイントは)取得済みデータを検査し、ランサムウェアを検出できるかを必ず確認




 それでは、第3回もよろしくお願いいたします。


レスポンスがありません。

もっと見る

すべて表示

イベントは見つかりませんでした!

Top