ランサムウェアとの戦いが続く中で、多くの企業のデータ回復力は向上しています。Coveware by VeeamとChainalysisからのレポートによると、2024年第4四半期には身代金支払額が大幅に減少したとのことです。このすばらしい傾向は、さまざまな要因に理由が求められます。連邦規制の改善、主要なサイバー犯罪グループ摘発の成功、そして最も重要なこととして、組織の多くがより効果的に暗号化ベースのマルウェア攻撃への対応と回復に備えて回復力を高めていることなどです。
データ保護は近年、大きく進化しています。中心となる議論は、インライン重複排除かポストプロセス重複排除のいずれを選ぶべきかということから、ワークロードのイミュータビリティ(不変性)、インシデント対応、マルウェア検出といった、セキュリティに重点を置いたトピックへと移っています。マルウェア検出のためのバックアップスキャンは、これまでも、そしてこれからも、従来のエンドポイントや拡張検出・対応ツールを置き換えることを目的としていません。その目的は、マルウェア検出のための多層防御アプローチに追加の検出レイヤーを加えることにあります。Veeamは、データ保護業界において最も実用的で包括的な、バックアップ前、バックアップ中、バックアップ後のマルウェアスキャン機能を提供しています。それぞれのユースケースを詳しく見ていきましょう。
バックアップ前:プロアクティブな脅威評価
MITRE ATT&CKフレームワークとCoveware by Veeamのデータにより、攻撃者は最初にアクセスを得た際に、すぐにバックアップを標的とすることがわかっています。こうした中で、Veeamのみがバックアップを取る前に不審な動作を積極的に検出する機能を提供しています。
- Recon Scanner:バックアップサーバーに対する潜在的な脅威についてプロアクティブにアラートを提供し、リモートアクセスを試みる見慣れないIPや、総当たり攻撃を試みる侵害されたアカウントといった不審なイベントを検出します。脆弱性の特定にも役立ち、クリーンなリストアポイントを特定するためのイベントタイムラインを作成します。
- オブザーバビリティ、分析、AIを活用したインサイト:バックアップ前に本番環境の異常を検出し、異常なVMパターン、ESXiおよびvCenterに対する総当たり攻撃、疑わしいSSHアクティビティを特定します。
- VeeamインシデントAPI:サードパーティのセキュリティツールをVeeamと統合して、悪意のある可能性があるリストアポイントにフラグを立て、アクティブに暗号化されているワークロードのアウトオブバンドバックアップをトリガーします。
バックアップ中:複数層のインライン検出
Veeamでは、バックアップ中に脅威をリアルタイムで入念に検出して軽減します。これは、基本的な一括変更の特定にでさえ、ポストプロセススキャンとメタデータをクラウドに送信することが必須の他のバックアップソリューションをはるかに超える機能です。
- IoCスキャナー:サイバー犯罪者による利用が判明している有害なツールがマシン上で実行されているかどうかを検証し、新たにインストールされたツールを検出します。対象のツールが環境固有のものであっても、データの盗難や暗号化、損傷につながる可能性のあるツールを検出します。
- エントロピー分析:データブロックのランダム性をスキャンし、暗号化されたデータ、オニオンリンク、身代金メモを探します。
- ファイルのインデックス作成:署名ベースの分析を使ってVeeamのデータベースをスキャンし、既知のマルウェアのファイル拡張子を見つけて、潜在的な脅威に迅速にフラグを立てます。
- イミュータブルバックアップVeeam強化リポジトリ、Veeam Vaultストレージ、サードパーティのイミュータビリティ(不変性)といったオプションを通じて、暗号化されたサイバー攻撃からバックアップを復元できることを確実にします。
バックアップ後:高速でクリーンな復元の保証
防止・検知ツールが完璧であればランサムウェアを心配する必要はありませんが、残念ながら実際はそうではありません。組織は、最善を望みつつも最悪の事態に備える必要があります。ポストプロセススキャンは、クリーンなデータを確実に復元し、攻撃者が検出を回避した場合の再感染を防ぐうえで重要です。
- Recon Blast Radius:ランサムウェア攻撃の実際の範囲を特定し、破損したファイルや暗号化されていないファイルを検出して、イベントのタイムラインを作成します。
- Threat Hunter:署名ベースのアンチウイルスエンジンを使用してリストアポイントをマルウェアをスキャンし、復元にクリーンなデータのみが使用されることを保証します。
- YARAルールベースのスキャン:侵害の徴候を探し、他のツールでは見逃された可能性があるマルウェアやゼロデイであるマルウェアを検出します
- オーケストレーションされたリストア&クリーンルームの機能:詳細な復旧計画を作成し、クリティカルアプリケーションの復旧をテストおよび検証します。
全体をまとめる
これらのスキャン機能は、セキュリティチームが関与する場合に最も効果的です。セキュリティチームがすでに使用中のツールやダッシュボードにイベントを転送することで、自動化されたプロセスを有効にできます。こうしたすべてのコンポーネントがどのように連携するのか、ひとつの例にまとめて、よりわかりやすく示していきましょう。
- VeeamまたはEDR/XDRツールが、バックアップ前またはバックアップ中に、マシンでの不審な挙動を検知します。
- イベントは組織のSIEMツールに転送されます。
- プレイブックが自動的に開始され、感染の疑いがあるマシンがクリーンルーム環境に即座にリストアされて、Veeam Threat Hunterからのセカンドオピニオンを受けられるようになります。
- スキャンの結果がクリーンであれば、イベントが誤検知としてマークされます。
- スキャンでマルウェアが確認された場合は、影響を受けるデータのタイムラインと範囲をより把握できるように、Recon Blast Radiusによってマシンがスキャンされます。
- 最後に、HDDバックアップからの復元だけに固執しないよう注意しましょう。攻撃範囲を明らかにし、攻撃者を適切に排除できた場合は、バックアップ以外からも復元を実行できます。
Conclusion
Veeam’s commitment to cybersecurity extends throughout the entire data lifecycle. From before backup, during backup, and after backup. Veeam ensures that your data is protected at every stage. This comprehensive approach not only minimizes the risk and impact of cyberattacks but also ensures that organizations can recover quickly and efficiently. In conclusion, Veeam’s sophisticated scanning technologies and proactive strategies make it the most reliable solution for malware detection and recovery. By integrating advanced tools and maintaining a vigilant approach to cybersecurity, Veeam helps organizations stay one step ahead of cyber threats, ensuring that their data remains resilient and their operations uninterrupted.