バックアップ・ストレージへのランサムウェア攻撃を防止するための7つの実践的なヒント　[ネットワーク強靭化対策]

バックアップ・ストレージへのランサムウェア攻撃を防止するための7つの実践的なヒントを紹介します。

1.バックアップ・ストレージに対して別々の認証情報を使用する

これは最も一般的なベストプラクティスで、ランサムウェア(Ransomeware )に対して最も重要です。バックアップ・アクセスに使用されるユーザ名は厳格に保持され、この目的のみに使用されるべきです。さらに実際にバックアップ処理に必要なアカウント以外のバックアップストレージにアクセスできる他のセキュリティは使用すべきではありません。どんな場合でもすべてにDOMAIN\Administratorを使用すべきではありません。

2.可用性ストラテジーの一部としてオフライン・ストレージを持つ

バックアップ・ストレージへのランサムウェア暗号化の繁殖に対する最善な防御の1つはオフライン・ストレージを持つことです。Veeamのオフライン・ストレージには次のようなものがあります。

●テープ：ライト/リードで使用されていない時は完全なオフライン

●レプリケーションしたVM：パワーオフで、多くの状況では違った認証フレームワークの場合

●プライマリ・ストレージのストレージ・スナップショット：リカバリー・テクニックと使用でき、通常は別の認証フレームワークを保持

●クラウド・バックアップ：これはバックアップ・インフラに直接続ではなく、別の認証メカニズムを使用

●交換可能なメディア：ライト/リードで使用されていない時は完全なオフライン

3.バックアップ・ストレージに対して違ったファイルシステムの活用

異なるプロトコルが関わっていることは、トランザムウェアの繁殖を防ぐ別の方法になります。違った認証を使用してストレージにバックアップを置くこともアドバイスの1つです。最も良い例はドメイン・コントローラのようなクリティカルなものをバックアップすることです。万が一の場合、ドメインコントローラーを完全に復元する必要がある場合は、バックアップを含むストレージがActive Directoryで認証されたストレージリソースである場合に問題が発生する可能性があります。

よい例がLinuxシステムがレポジトリとして機能している場合です。このVeeamバックアップとリストア用認証はLinux認証で行うことができ、違ったファイルシステム(ext3, ext4 等)を使用することでランサムウェアの増殖リスクを軽減することができます。ランサムウェアは、他のオペレーティングシステム上にも存在しています。 しかしこの追加の手順は、オペレーティングシステム間のバックアップストレージの保護になります。

4.可能であればバックアップ・ストレージにストレージ・スナップショットを配置

ストレージ・スナップショットはプライマリ・ストレージ用の「セミ・オフライン」テクニークと呼ばれます。しかしバックアップを保持しているストレージ・デバイスがこの機能をサポートしている場合にはランスウェア攻撃を防ぐために活用する価値があります。

5.「3-2-1」ルールの使用開始

「3-2-1」ルールはユーザのメディア3つの別々コピー、2つの違ったメディアで、そのうちの1つはオフサイトにすることを意味します。これはほぼすべての障害シナリオに対処することができ、特定の技術を必要としません。ランサムウェアの分野にでは、メディアの1つがオフラインになるルールにもう1つを追加することを推奨します。オフライン要素を実装するためにインストールを完全に再構成する必要はありません。 しかし、これらのオプションを現状のデザインへの追加ステップとみなしてください。

6.怪しい動きに対する可視化

ランサムウェアの最も大きな脅威は他のシステムへの増殖です。可能性のあるランサムウェア活動を可視化することは重要です。Veeam ONE 9.5では「Possible ransomware activity」という新規プレ定義アラームが追加されました。このアラームはディスクへの大量の書込み、高CPU使用があった時をトリガーとします。

7．バックアップ・コピージョブの活用

バックアップ・コピー・ジョブは、通常のバックアップジョブとは異なる保存ルールで、異なるストレージに作成されたリストア・ポイントを持つ有用なメカニズムです。以前のポイントが組み込まれている場合、バックアップ・コピー・ジョブで使用されている復元ポイントが異なるため、バックアップコピージョブはランサムウェアの状況では貴重なメカニズムになります。

バックアップ・コピー・ジョブは、すでにリポジトリにあるバックアップを読み込んで、別のタイプの新しいストレージにリストア・ポイントを作成することができます。例えば、Linuxサーバのインフラストラクチャに特別のストレージ・デバイスを追加するオプションを1つ選択した場合は、そのLinuxサーバをVeeam Backup＆Replicationコンソールに追加し、そのファイルシステムにリポジトリを定義してから、 バックアップ・コピー・ジョブを作成します。

[参考ブログ] ランサムウェアの検知もVeeamで対応!! VeeamONE新アラート「Possible ransomware activity」

関連トピックス:

• iSCSIソフトウェア・イニシエータ（vSphere）の改善【仮想化プラットホーム VMware vSphere】
• ランサムウェアとの戦いでイミュータブル（Immutable：不変）のバックアップだけで十分なのか？
• ESXi 6.0.xでCBT(変更ブロック追跡)を有効にした仮想マシンをバックアップすると誤った変更セクタが返されます。
• vSphere Client 5.5 U2のハードウェアバージョン10VMに対する編集の制限
• 2014年SMB（中小中堅企業）における仮想化データ保護報告書
• ランサムウェア・インシデント対応計画の重要性とテンプレート作成について
• ランサムウェアの攻撃中に起こることと、そして復旧が重要な理由
• バーチャル・ディスク・ファイルのホット・アド (VMware)【仮想化プラットホーム VMware vSphere】