緩和策の推奨事項
攻撃者は、組織がバックアップから復旧する能力を麻痺させることが、身代金支払いの可能性を大幅に高めることを理解しています。そのため、Anubisグループの手口の重要な側面には、ボリュームシャドウコピー(VSS)などのバックアップシステムを直接標的にすること、そしてネットワーク偵察を実施して、データベース、エンタープライズリソースプランニング(ERP)システム、仮想マシン、RAIDシステムといった重要なデータリポジトリを含む、戦略的なファイルや接続されたバックアップを特定・侵害することが含まれます。
Anubisは、復旧が可能な限り困難になるよう、バックアップ環境を積極的にマッピングします。これは、標準的なネットワークプロトコル(例:NFS、SMB)に依存する従来型のバックアップソリューション、または侵害された本番環境から容易に発見でき、書き込み可能なソリューションでは不十分であることを意味します。重点は、侵害された本番ネットワークからバックアップを本質的に隔離し保護するソリューションへと移さなければなりません。
効果的で現代的なバックアップおよび復旧機能には、以下が必要です:
-
ネイティブな不変性:「一度書き込み、何度でも読み取り」(WORM)の原則により、復旧のために常にクリーンで改ざんされていないデータのコピーが利用可能であることが保証されます。NFSやSMBのような標準プロトコルでデータを公開し得る汎用ストレージとは異なり、WORMはデータの完全性を確保します。
-
論理的エアギャップ:本番ネットワークに対してオープンなプロトコルでバックアップデータを決して公開しない、専用設計のファイルシステムは、消去(ワイピング)に対する最良の防御を提供します。このアプローチでは、攻撃者がネットワーク越しにデータを発見したりアクセスしたりできないため、侵害された本番環境から効果的に隔離され、攻撃対象領域を低減します。
-
ゼロトラストのクラスタ設計:ゼロトラスト原則の遵守は、ミニマリストなJeOS(Just enough Operating System)Linux OSの採用により、OSレベルで攻撃対象領域を最小化し、不変性と論理的エアギャップをさらに強化します。証明書署名によりバックアップサービスも継続的に検証され、ソリューションやアイデンティティが侵害されていないことを保証します。
-
プロアクティブな検知と強靭な復旧オプション:Anubisグループのような脅威に対して最適な事業継続性を確保するため、組織は高速で粒度の細かい復旧および一括復旧のオプション、仮想マシン向けのオーケストレーションされた復旧、さらにはVSSバックアップスナップショットといった機能を求めるべきです。
-
内部脅威対策:MFAやロールベースアクセス制御(RBAC)といった強力な統制があっても、特権を持つ内部者の脅威により管理者資格情報が侵害されるリスクは依然として懸念事項です。Gartnerは警告しており、正しく設計されていない場合、資格情報が侵害された攻撃者がアクセスを得て、不変性の保持設定を操作できる可能性があります。保持ロック機能は、指定期間にわたりスナップショットやバックアップデータの早期削除や変更を防止し、工場出荷時リセット、SLA変更、スナップショット削除といった行為から保護します。さらに、クォーラム認証のような追加の実践では、特定のデータ変更や重要なシステム操作を実行する前に複数の承認を必要とし、単独の悪意ある行為者が与え得る被害を軽減します。
表2:Anubisのバックアップ標的化戦術と利用可能な保護メカニズムの比較
|
Anubisのバックアップ標的化戦術 |
保護方法 |
保護の技術的説明 |
|
ボリュームシャドウコピー(VSS)の削除 |
不変バックアップ |
本番システム上でのVSS削除は、専用ファイルシステムに保存される別個の不変スナップショットには影響しないはずです。 |
|
接続された/オンラインのバックアップの侵害 |
論理的エアギャップ&ゼロトラストアーキテクチャ |
専用設計のファイルシステムは、オープンなプロトコルでバックアップデータを決して公開すべきではなく、ネットワーク上での発見やマルウェアによる直接アクセスを防ぎます。操作には認証済みAPIが必要です。 |
|
バックアップサービスの無効化 |
セキュア・バイ・デザインのアーキテクチャ&最小権限アクセス |
バックアップシステムはミニマリストOSを用いて本番環境から分離され、強力なアクセス制御(MFA、RBAC)で保護されるべきであり、外部からのサービス停止の試みに対して強靭になります。 |
|
データ消去(0KBファイル) |
不変バックアップ&異常検知 |
本番ファイルが消去されても、バックアップは不変でクリーンなコピーとして残らなければなりません。異常検知は消去活動を特定し、汚染されていない最新のバックアップからの復旧を可能にすべきです。 |
データ消去機能を持つランサムウェアから守るために、ITおよびチームは以下も実施すべきです:
-
従業員向けのフィッシング訓練を定期的に実施する:高度に標的化されたスピアフィッシング手口を見抜く能力を鍛える訓練も含めます。TrendMicroの研究者が調査したところによれば、Anubisのオペレーションは、悪意のあるリンクや添付ファイルを含む高度にカスタマイズされた誘導を用い、信頼できる送信元から来たように見せかけることが多いとされています。
-
厳格なアイデンティティおよびアクセス管理を実装する:すべての重要システム、特にバックアップ基盤へのアクセスに対して多要素認証(MFA)を強制し、ロールベースアクセス制御(RBAC)などの最小権限のベストプラクティスを厳格に遵守します。特権アクセス管理(PAM)ソリューションを検討し、高い特権を持つアカウントを管理・保護してください。
-
サイバー復旧プレイブックを能動的に維持する:徹底した事業継続および災害復旧計画では、関与する人員の役割と責任、最小限の事業継続に必要なデータとアプリケーションを明確に示し、現実的なサイバーセキュリティ危機シミュレーションによる定期的な訓練で支えられるべきです。
要するに、ネイティブな不変性と論理的エアギャップの機能は、Anubisがバックアップデータを暗号化・消去・侵害しようとする試みに対抗し、復旧に利用できるクリーンなデータセットを確実に残します。これらは、被害範囲の把握が事業中断の防止にとって最重要となるワイパー(消去)シナリオにおいて、適切な復旧判断を行うために不可欠です。
翻訳元: https://zerolabs.rubrik.com/blog/anubis-ransomware-stresses-need-for-advanced-data-backup
