ランサムウェア対策の必需品:イミュータブルバックアップとエアギャップセキュリティ
2022年5月27日、Tony Burgess
Cybersecurity Ventures社のリサーチによると、ランサムウェアはいちだんと検知されづらい最新テクノロジーを使って、11秒に1人の犠牲者を生み出しています。バックアップシステムはランサムウェア攻撃に対する防御策として極めて重要な役割を担っています。バックアップシステムがあれば、ランサムウェアにデータを暗号化されたり盗まれたりしても、身代金を支払わずにデータを復元できるからです。
犯罪者もそれを知っています。だからこそ、最新のマルチベクター・ランサムウェア攻撃の一環として、バックアップシステムを悪用し、破損させようと懸命に狙ってくるのです。犯罪者がバックアップシステムの管理コンソールを悪用するか、バックアップデータストレージに直接アクセスすることでバックアップシステムを管理制御してしまえば、ランサムウェアに対するあなたの最後の、そして最善の防御策は排除されてしまうのです。ランサムウェア攻撃の被害に遭ったあなたは身代金を支払うか、データを永遠に失うかのどちらかしかなくなってしまいます。
データ保護を強化する
データに対するランサムウェアのリスクを最小限に抑えるためには、Barracuda Backupのようなバックアップシステムを導入するとよいでしょう。Barracuda Backupは、構造レベルも含めた複数の高度な保護機能を組み合わせて不正アクセスを防止します。
イミュータブルバックアップ保護
イミュータブル(変更不可)バックアップとは、その時点でのスナップショットのようなバックアップファイルで変更することができないため、侵入者はこれを手に入れて身代金を要求することはできません。
例えば、Barracuda Backupは、データへの直接アクセスを防止してイミュータブル(変更不可)バックアップコピーを保持し、API経由でのデータの変更や削除を防止します。データへのアクセスや削除は、セキュアなBarracuda Backupインターフェースでのみ可能です。インターフェースは、不正アクセスを防止するために多要素認証(MFA)を使用して保護できます。Barracuda Cloudのデータは一度書き込まれると、更新されません。
安全なクラウドストレージ(エアギャップ)
バックアップ用ストレージとインターネットとの間にエアギャップを設けることで、データの安全性が極めて高まります。テープをオフサイトに保管するといった物理的なエアギャップは安全性が高いのですが、データ復旧に時間がかかったり、リソースのオーバーヘッドが大きかったり、メディアが劣化したり、人為的ミスの可能性が高かったりと、さまざまな問題を抱えています。
Barracuda Cloudの暗号化されたバックアップファイルは、セキュアなBarracuda Backupインターフェースを通じてのみアクセス可能であり、バックアップアプライアンスとクラウド間のロジック上のエアギャップを効果的に形成しています。また、クラウドのファイルをパージする前にあらかじめ遅延の設定がされているため、ローカルアプライアンスから誤ってまたは悪意を持って削除された場合もデータを失うことはありません。
このロジック上のエアギャップを利用してクラウドデータストレージを保護することで、物理的なリムーバブルメディアの利点を、付随する問題なしに活かすことができます。
多層防護(DiD)
今日の高度に進化したランサムウェア攻撃は、複数のベクトルにわたり、電子メールやネットワーク、アプリケーション、データストレージのセキュリティギャップを悪用します。こうした攻撃に対する完全なセキュリティには、多層防護(Defense in depth, DiD) が必要です。このアプローチでは、統合された包括的なシステムを使って、インフラストラクチャ全体を保護します。
バックアップは完全なDiD戦略の核となる要素です。Barracuda Backupは、イミュータブルバックアップとエアギャップを施したクラウドストレージに加えて、フルスタックのセキュリティ機能を実装しています。
- 多要素認証(MFA)は、攻撃者が盗んだログイン情報を使ってシステムにアクセスすることを防ぎます。
- ハード化されたLinuxプラットフォームは、マルウェアやランサムウェアの攻撃を受けにくくし、不正なサービスの実行を防止します。
- バックアップソフトウェア、ストレージ、オフサイトストレージの統合は、ネットワーク共有プロトコルを排除してリスクを削減し、全体的な攻撃対象領域を縮小することで、包括的なセキュリティを容易に実現します。
- ロールベースのアクセスコントロールは最小特権の原則に従い、さまざまな権限を持つユーザーロールを簡単に割り当てることができ、完全な管理者権限を持つクレデンシャルを最小限に抑えることができます。
- ネットワーク共有プロトコルがない :ネットワークファイルシステム(NFS)または共通インターネットファイルシステム(CIFS)を使用してネットワーク接続ストレージデバイスに保存されたバックアップは、簡単に検出され、ハッキングされます。Barracuda Backupのストレージは、ファイル共有プロトコルが公開されていないため、このような方法で攻撃することはできません。
- エンドツーエンドでAES 256ビットでの暗号化は、アプライアンス保管時のデータにも、オフサイトに送信されるデータにも、レプリケーション先に保管されているデータにも適用されます。ですので、攻撃者がデータを読み取ることはできません。アプライアンスとの通信はすべて暗号化されたVPNトンネルを経由して行われます。
- IP/ネットワークアクセス制限は、Barracuda Backupにアクセス権のあるユーザごとに指定されているため、指定した範囲外のIPアドレスからWebインターフェースにアクセスすることはできません。
複数のバックアップコピーを
ランサムウェア対策には、強力なバックアップがセキュリティ要素として不可欠です。ITセキュリティ専門家と執行担当者は、バックアップセキュリティをいかに最適化し、ランサムウェア攻撃による壊滅的被害のリスクをいかに最小化するかに注目しています。
Barracuda Backup では、データ保護および障害復旧計画を成功させるために、3-2-1ルールに従うことを強く推奨しています。
- 3. データは少なくとも3部用意しておくこと。すなわち、オリジナルデータ1部とバックアップコピー2部である。
- 2. データのコピーの保管先として、少なくとも2つの異なるタイプのメディアを用意すること。例えば、ローカルのBarracuda BackupデバイスとBarracuda Cloudストレージを使う。
- 1. 少なくとも1つのバックアップは、オフサイトに保管すること。例えば、Barracuda Cloudやリモートサイトに物理的あるいは仮想のBarracuda Backupアプライアンスを用意する。
ランサムウェアはますます複雑化しており、単一のセキュリティで完全に防護できるわけではありません。多層防護(DiD)戦略が、ランサムウェア攻撃から身を守る最善策です。バラクーダのWebサイトで完全なランサムウェアセキュリティの詳細をご覧ください。
原文はこちら
Anti-ransomware must-haves: Immutable backups and air-gap security
May 27, 2022 Tony Burgess
https://blog.barracuda.com/2022/05/27/anti-ransomware-must-haves-immutable-backups-and-air-gap-security/
No comments yet.