ランサムウェアに関して言えば、3オンスの予防はXNUMX倍の治療の価値があります。
データの復旧に関しては、ビジネス継続性計画はほとんど同じように見える場合があります。データの損失が自然災害によるものか、ランサムウェア攻撃によるものかは関係ありません。 今年の初めに、私はQumuloの 組み込みのセキュリティ制御 全体的なセキュリティ体制の一環として、マルウェアからデータを保護するのに役立ちます。
このシリーズでは、ランサムウェアに焦点を当てます。 事業継続と災害復旧 なぜなら、ランサムウェアas-a-service(RaaS)の出現と巨額の身代金の支払いにより、攻撃が増加しているからです。 例えば、 FBIは調査を行っています 100を超えるRaaSの亜種に分類され、その多くは複数のランサムウェアキャンペーンで使用されています。 その間 最近のランサムウェアインシデントh非常に公表されており、被害者の評判を保護するためにさらに多くの人が非公開にされています。
ビジネスクリティカルなデータは身代金のために暗号化されており、サイバー犯罪者はビジネスの継続性のために報酬を受け取っています。
ソフォスによると 2021年のランサムウェアの状態、5,400か国以上を代表する30人の意思決定者(平均して組織)からのデータに基づくレポートは、身代金を支払った後、データの65%しか取得しませんでした。 しかし、ビジネス継続性のコストであるダウンタイムは、組織に最も大きな打撃を与えます。 レポートによると、中規模の組織が支払った身代金の平均は170,404米ドルでした。 ただし、ダウンタイム、人員時間、デバイスコスト、ネットワークコスト、機会の喪失、身代金の支払いなどを考慮した、ランサムウェア攻撃を是正するための平均請求額は1.85万米ドルでした。
ランサムウェアはどのように侵入しますか? 方法を数えましょう…
サイバー犯罪者は巧妙な戦術を使用して、企業の環境に複数の層で侵入します ランサムウェアを配備します。 最も一般的なもののXNUMXつは、ソーシャルエンジニアリングです。これは、企業の内部関係者がだまされて資格情報を共有したり、マルウェアをダウンロードして脅威を侵入させたりするフィッシングメールです。
USBドライブ、パートナーネットワーク、パッチが適用されていない脆弱性、および入手しやすいパスワードはすべて、マルウェアが侵入する潜在的な脅威ベクトルです。 新しいハイブリッド作業モデルは、さらに多くを作成する可能性があります。 これが、侵入を防ぐためにセキュリティに対して全体的なアプローチを取ることが重要である理由です。 ランサムウェアを検出する それが起こったとき、それがネットワークの他の部分に広がるのを止めます。 最後になりましたが、全体的なアプローチには、データを含む事業継続計画を実施することが含まれます バックアップとディザスタリカバリ ランサムウェアから。
ランサムウェア:攻撃の構造
ランサムウェアは、ネットワークデバイス、IoTデバイス、デスクトップコンピューター、サーバー、デジタルカメラ、プリンター、zipドライブなど、オペレーティングシステムまたはデジタル接続を備えたほぼすべてのデバイスに感染する可能性があります。 ほとんどのランサムウェア攻撃の目的は、データを盗み出したり、データを暗号化して、組織にデータを復号化するためのキーの支払いを強制することです。 攻撃は通常、段階的に発生します。
- ネットワークと少なくともXNUMXつの初期デバイスへのアクセスを取得します
- 情報を収集するために、できるだけ多くの追加デバイスに感染します
- データを盗み出す
- 追加のモジュールを展開します。 たとえば、データを暗号化する
- 恐喝のためにデータを暗号化する
最初のフェーズでは、侵入者はインフラストラクチャ(ユーザー、データフロー、ネットワークトポロジ、デバイス)に関する詳細情報を収集し続けます。 その後、後の段階で、データの盗用や追加のマルウェアのロードを開始して、データにアクセスしてファイルを暗号化できる他のスレッドを開始します。
このため、攻撃ベクトルに焦点を当てて感染を防止したり、ネットワーク上のポイントで初期段階を検出したり、感染が発生したデバイスを計算したりする効率的なリスク管理戦略が必要になります。 データストレージは感染サイクルの終わりにあります。 マルウェアの実行時間が長くなるほど、感染が広がり、災害復旧と運用の再開が複雑になります。
Qumuloの全体的なセキュリティアーキテクチャ:概要
全体的なセキュリティアプローチ ランサムウェアの検出 可能な限り多くのデバイスからデータをキャプチャして、分析と相関のためにエントリポイントでの疑わしいイベントを特定します。 検出されると、ランサムウェアがファイルストレージを含む後続のレイヤーにアクセスするのを防ぐためのアクションが実行されます。
ネットワーク、コンピューティング、デバイス、およびイベントの監視技術と、 データの相関と分析は、ストレージシステムに組み込まれているサイロ化されたセキュリティソリューションよりも望ましいです。 目標は、ランサムウェアがファイルデータの近くに侵入しないようにすることです。
Qumuloファイルデータプラットフォーム はセキュリティを中核として構築されており、データを安全に保つように設計された幅広い最新テクノロジーとデータサービスが含まれています。 Qumuloのソフトウェアアーキテクチャは、ネイティブに開発されたプロトコルスタックを備えた専用のファイルシステムです。 ファイルデータアクセスプロトコルにサードパーティのコードを使用しません。 隔週のソフトウェアアップデートには、Qumuloイメージとオペレーティングシステムが含まれ、アップデートと修正は、一般的な脆弱性と露出(CVE)の問題を含むQumuloによって組み込まれています。
これらの理由やその他の理由により、QumuloはXNUMXつのドメインにわたる包括的なセキュリティ戦略をサポートできます。 この記事では予防と検出について説明し、このXNUMX部構成のシリーズのXNUMX番目の記事では回復と再開について説明します。
- リスク面を減らすための予防
- 疑わしい活動を早期に発見して停止するための検出
- ビジネス継続性をサポートするための回復と再開
Qumuloファイルデータプラットフォーム
ホリスティックドメイン:防止
最も一般的なマルウェア攻撃のエクスプロイトはストレージシステムの外部で発生し、そこに到達するのを防ぎたいと考えています。 ランサムウェアの最初の目的は、ファイアウォールの背後に侵入し、悪意のある攻撃者が攻撃を監視、移動、計画できるネットワークに侵入することです。 ランサムウェアやその他のエクスプロイトが利用できる脅威の表面を減らすために、Qumuloファイルシステムソフトウェアに組み込まれている使いやすいセキュリティ機能の多くを次に示します。
- ロックダウンされたLinuxOS –リスク面を減らすための最小限のUbuntuイメージ
- 隔週の製品アップデート—組み込みのセキュリティ機能とパッチ
- ファイルシステムは完全にユーザースペース(LD / LDAP)で実行されます
- ロールベースのアクセス制御(RBAC)-各ユーザーグループが事前定義されたロールで何ができるかを指定し、最小限の特権を委任します
- ネットワーク上のホストへのSMBおよびNFSファイルアクセスの制限
- アクセスベースの列挙(ABE)-必要な特権
- SMB共有を非表示にする機能(共有をマウントするには正確なパスが必要です)
- データの暗号化(保存データはデフォルトで暗号化されます))
- 有線のデータは暗号化してXNUMX株あたりに設定できます
ホリスティックドメイン:検出
現代との統合 セキュリティ情報およびイベント管理(SIEM) ソリューションはデバイスからデータをキャプチャし、マルウェア感染を検出して阻止するための包括的なアプローチを提供します。 探偵制御の重要な側面のXNUMXつは、中央のイベントのキャプチャと相関です。 一元化されたSIEMアプローチの利点は、すべてのデータセンターまたはクラウドのインスタンスとサービスに共通のソリューションを提供することです。 データは簡単に収集でき、インデックス作成、フィルタリング、分析、検索、および視覚化できます。 疑わしいアクティビティが検出されると、自動または半自動のアクションをトリガーできます。 ランサムウェアはファイルシステムに到達する前に識別および停止されるため、これは最も効果的なアプローチです。
Qumuloは、業界標準のsyslog形式で監査ログを市場のSIEMソリューションに送信します。 Splunk、Elastic Search、AWS Cloudwatch、およびAzureSentinel。
さらに、侵入検知システム(IDS)は、危険なネットワークトラフィックのパターンを検出できます。 たとえば、エクスプロイト手法に関連するデータパケットを盗み出すために使用される異常なドメインネームサーバー(DNS)クエリ。 多くの企業は、侵入防止システム(IPS)を使用して、高度な防火壁と、一部のカテゴリの攻撃をブロックするエクスプロイト検出機能を備えた検出制御を行っています。
QumuloAPIを使用して自動応答を実装する
Qumuloファイルデータプラットフォーム 監査機能を通じて、市場に出回っているすべての主要なセキュリティソフトウェアをサポートします。 さらに、QumuloのAPIを使用すると、悪意のあるアクティビティが検出された場合に、あらゆる攻撃対象領域から自動緩和アクションを開始できます。 Qumulo APIを直接API呼び出しで活用する方法は複数あり、QumuloはPythonライブラリを提供してAPIスクリプトの開発と Qumulo コア CLI.
ネットワーク上で、IDSシステムがファイルの疑わしい、または悪意のあるアクティビティを検出すると、システムは自動化されたイベントをトリガーしてリスクを軽減できます。 Qumuloは 自動化を可能にする豊富なRESTAPI セキュリティイベントの場合のマルウェア軽減タスクを含む、クラスター上のすべての種類の管理タスク:
- ディレクトリのクォータを設定するか、システム全体を0に設定します。新しい書き込みアクティビティは防止されます(ただし、上書きは引き続き可能です)。
- 共有を読み取り専用または制限付きIPアドレスに設定します
- ユーザーの権限を削除します
- スナップショットを撮るか復元する
- ウイルス対策オンデマンドスキャンを開始します
最近の歴史は、優れたセキュリティ制御でさえランサムウェアによって克服できることを示しています。 したがって、操作を回復して再開する手段が必要です。 Qumuloのファイルシステムは、非常に効果的で実装が容易なディザスタリカバリ戦略をサポートしています。 データサービス QumuloCoreに組み込まれているもの イレイジャーコーディング、不変のスナップショット、クラウドバックアップ、およびスナップショットポリシーレプリケーション。
このシリーズの次の記事、 XNUMX番目の全体的なドメインであるデータrについて説明します。ランサムウェア攻撃後のエコベリーと運用の再開(ロールバック)。
さらに詳しく
お問合せ
- クリック こちら 会議をスケジュールします。
- 試乗する インタラクティブなハンズオンラボまたは デモを予約する.
- Qumuloブログを購読する カスタマーストーリー、技術的洞察、および製品ニュース。