TokyoBlackHatNews

zerolabs.rubrik.com 5分で読了

クラウドネイティブバックアップは思うほど信頼できない――Googleが確認

クラウドネイティブのバックアップと復旧における固有の課題

Googleの調査結果は重要ですが、脅威アクターだけがクラウドバックアップのリスクではない点にも注意が必要です。悪意がなくても、データガバナンスやクラウドリソース管理の課題によって、クラウドネイティブの復旧ソリューションの信頼性が損なわれる可能性があります。
 

たとえば、私たちが調査したITおよびセキュリティのリーダーは、主な課題を次の3つの大きな領域にわたって挙げました。

  • 集中管理の欠如(30%)

  • クラウドベースのデータに対する可視性と制御の欠如(29%)  

  • 複数環境にまたがる機密データの保護(35%)

一見すると3つの別々の問題に見えるかもしれませんが、根本原因は1つです。セキュリティ運用チーム、IT、バックアップの専門家がサイロ化して動きがちで、その結果、データバックアップの集中化が妨げられ、管理が過度に複雑になります。統合や共通プラットフォームがなければ、コミュニケーションはぎこちなくなり、データの相関付けも困難です。クラウドの利用範囲が拡大するほど、各サイロにおける可視性は低下します。こうした複雑さの中で、過失すれすれの防げたはずのミスが起こります。Crowdstrikeが年次レポートで報告しているとおり、2025年にはクラウド侵入が26%増加したのも不思議ではありません。

しかし、たとえデータのスプロール(拡散)が効果的に解消されたとしても、クラウドネイティブのバックアップソリューションには多くの危険要因が伴います。脅威アクターがそれらを悪用することはあり得ますが、コストを増大させ、復旧作業を長引かせ、データ整合性を危うくするのに、必ずしも悪意ある攻撃が必要というわけではありません。

これらには次のようなものが含まれます。

  • クラウドプロバイダーの障害– 主要クラウドプロバイダーは高可用性のSLAを提示していますが、障害が発生すると、影響を受けたクラウド環境内のバックアップおよび復旧メカニズムへのアクセスや運用性が直接阻害される可能性があり、災害対策計画に織り込む必要があります。  バックアップが維持されていても、管理者が復旧を開始できない、管理コンソールにアクセスできない、復旧インフラをプロビジョニングできないといった事態が起こり得て、RTO未達につながります。

  • ベンダーロックインとデータ可搬性の問題– マルチクラウド環境では、組織は固有のデータ形式、API依存、互換性の欠如を考慮し、ベンダーごとに異なる多様な復旧運用を計画しなければなりません。複数のクラウドプロバイダー向けにバックアップ計画を作成・管理・検証しようとすると、通常リソース不足のバックアップチームにとって、復旧計画は必要以上に複雑で、時間がかかり、ミスが起こりやすく、コストも増大します。

  • 性能上の制約– ネイティブツールによるテラバイト級データの一括復元は、APIのスロットリング、ネットワーク帯域の制限、サービスクォータによって遅延が発生する場合があります。設定ミスやプロビジョニング不足により、バックアップジョブが想定より大幅に長引き、RTOが延伸し、障害発生時のデータ損失ウィンドウが拡大する可能性があります。クラウドの重要な約束はスケーラビリティですが、一括復元は予想外に大きなOpExコストを招くことがあります。

  • ヒューマンエラー– 設定を誤った自動化スクリプトにより、クラウドネイティブバックアップシステム内の重要な本番データベース、あるいはスナップショットチェーン全体が削除される可能性があります。エラーが当初見過ごされたり、復旧手順が誤って実行されたりすると、取り戻せないデータ損失や、破損した復旧につながり得ます。過度に許可が広いIAMポリシーなどアクセス制御の誤設定は、バックアップを不正アクセスにさらし、悪意ある削除やデータ持ち出しにつながる可能性があります。

これらの固有の制約は、クラウドネイティブのバックアップおよび復旧ソリューションに対して悪意ある攻撃者がもたらす脅威を軽視するものではありません。むしろ、クラウド復旧の取り組みを混乱させるのに、悪意が厳密に必要というわけではないことを強調しているにすぎません。多くの場合、これらの制約は、管理オーバーヘッドを増やし、(人的・デジタル双方の)リソース制約を悪化させることで、プロセスを複雑化し、復旧までの時間を延ばします。 

しかし、Rubrik Zero LabsとGoogleの調査が示唆するように、悪意はしばしば明確に存在します。 

Rubrik Zero Labsの調査結果によると、ランサムウェア被害を経験したITおよびセキュリティのリーダーのうち、約4分の3(74%)が、脅威アクターがバックアップおよび復旧データに少なくとも部分的に損害を与えることができたと報告し、35%ではその損害が全面的でした。

GoogleのCloud Threat Horizonsレポートは、脅威アクターがクラウドネイティブのデータバックアップインスタンスを標的にして、次のことを行っているのを観測したと詳述しています。

  • バックアップ作成の確立されたプロセスを積極的に排除する

  • 現在のデータと、以前に作成されたバックアップコピーを削除する

  • ユーザー権限を変更し、セキュリティチームによる対応・復旧の取り組みを妨害する

著者らは「特筆すべきことに」と書き、「金銭目的の脅威グループが、主要目的を支援するためにバックアップ基盤を標的にする傾向が強まっているのが見られる」と述べています。

とりわけ、調査では、複数のランサムウェア亜種を展開することで知られるロシア拠点の金銭目的の脅威アクター「UNC2165」(別名EvilCorp)が、被害者に圧力をかけるためにこの手法を用いているのが観測された点が指摘されています。政府系の一部情報源は、UNC2165が世界中の被害者から3億ドル超を恐喝できたと推定しています。

翻訳元: https://zerolabs.rubrik.com/blog/cloud-native-backups-arent-as-reliable-as-you-think-google-confirms

ソース: zerolabs.rubrik.com
#Google Cloud Threat Horizons #Rubrik Zero Labs #クラウドセキュリティ #クラウドネイティブバックアップ #データ復旧(リカバリ) #バックアップ基盤への攻撃 #ベンダーロックイン #マルチクラウド運用 #ランサムウェア対策 #人的ミス(設定ミス)

関連記事

内部構造の解析:「Gentlemen」ESXiランサムウェアの解剖 | CXO Transformation

抽象から成果物へ:LLMトラストバウンダリのエンジニアリングブループリント | CXO変革

内部構造の解析:「Gentlemen」ESXi ランサムウェアの分解 | CXO Transformation