RaMP チェックリスト - ランサムウェアからの復旧の準備
この迅速な近代化計画 (RaMP) チェックリストは、ランサムウェア攻撃者が要求する身代金を支払うことに代わる実行可能な手段を確保できるよう組織を準備するのに役立ちます。 組織を制御下においた攻撃者は、さまざまな方法を使用して、支払うよう圧力をかけますが、要求では主に次の2つの種類に重点が置かれます。
アクセス権を回復するための支払い
攻撃者は、システムやデータへのアクセス権を返さないという脅しで支払いを要求します。 これは、システムとデータを暗号化し、復号化キーへの支払いを要求することによって最も頻繁に行われます。
重要
身代金の支払いは、思うほど単純で簡単な解決法ではありません。 取引相手は支払いにのみ関心がある犯罪者であるため (しかも他の誰かから提供されたツールキットを使用している比較的未熟なオペレーターであることも多い)、身代金の支払いが実際にどれだけうまくいくのか、多くの不確実性があります。 システムとデータを100% 復号化するキーを提供する法的保証もなく、キーを提供する保証すらありません。 これらのシステムを復号化するプロセスでは、攻撃者の自家製ツールが使用され、多くの場合、使いづらい手動のプロセスです。
漏えいを回避するための支払い
攻撃者は機密データや恥ずかしいデータを闇サイト (他の犯罪者) や世間に公開しないことと引き替えに支払いを要求します。
支払いを余儀なくされること (攻撃者にとって有益な状況) を防ぐために実行できる最も迅速かつ効果的な行動は、まだランサムウェア攻撃によって感染または暗号化されておらず、攻撃者もユーザーも変更もできない不変ストレージから、組織が企業全体を復元できるようにすることです。
最も機密性の高い資産を特定し、より高い保証レベルで保護することも非常に重要ですが、実行するプロセスはさらに長くて困難です。 その他の領域の進行を妨げることはしたくありませんが、ビジネス、IT、セキュリティの利害関係者を集めて、次のような質問と回答を行うことによってプロセスを開始することをお勧めします。
- 侵害された場合に最も損害を被るビジネス資産は何ですか? たとえば、攻撃者に制御された場合にビジネス リーダーが脅迫要求に対して進んで支払うような資産は何ですか?
- これらのビジネス資産は、ファイル、アプリケーション、データベース、サーバーなどのIT 資産にどのように変換されますか?
- これらの資産を保護または分離して、一般的な IT 環境へのアクセス権を持つ攻撃者がアクセスできないようにするにはどうすればよいですか?
安全なバックアップ
重要なシステムとそのデータがバックアップされ、攻撃者による意図的な消去または暗号化から保護されるように不変でなければなりません。 バックアップはランサムウェア攻撃によって感染または暗号化されていない必要があります。そうでないと、復旧後に攻撃者によって悪用される可能性のあるエントリ ポイントを含む一連のファイルを復元することになります。
バックアップに対する攻撃は、組織が支払わずに対応する能力を損なうことに焦点が当てられ、多くの場合回復に必要なバックアップと主要なドキュメントをターゲットにして、脅迫要求への支払いを余儀なくされるようにします。
ほとんどの組織では、このレベルで意図的に標的にされることに対してバックアップと復元の手順を保護していません。
Note
この準備を行うことにより、自然災害や WannaCry や (Not)Petya といった急な攻撃に対する回復力も向上します。
ランサムウェアから保護するためのバックアップと復元の計画では、Azure Backup とその他の Microsoft クラウド サービスを使用して、攻撃の前に重要なビジネス システムを保護し、攻撃の最中に事業運営を迅速に復旧できるようにするために、何を行うべきかを説明します。 サードパーティが提供するオフサイト バックアップ ソリューションを使用する場合は、用意されているドキュメントを参照してください。
プログラムとプロジェクト メンバーのアカウンタビリティ
次の表では、結果を判別して推進するスポンサー、プログラム管理、プロジェクト管理の階層の観点から、ランサムウェアからのデータの全体的な保護について説明します。
| リード | Owner | 責任 |
|---|---|---|
| 中央 IT 運用または CIO | エグゼクティブ スポンサー | |
| 中央 IT インフラストラクチャからのプログラム リーダー | 結果とチーム間のコラボレーションを推進する | |
| インフラストラクチャ/バックアップ エンジニア | インフラストラクチャ バックアップを有効にする | |
| Microsoft 365 管理者 | OneDrive と保護されているフォルダーに対する Microsoft 365 テナントへの変更を実装する | |
| セキュリティ エンジニア | 構成と標準に関してアドバイスする | |
| IT 管理者 | 標準とポリシードキュメントを更新する | |
| セキュリティガバナンスおよび/またはIT管理者 | コンプライアンスを確保するために監視する | |
| ユーザーエデュケーションチーム | OneDrive と保護されたフォルダーの使用についてユーザーに推奨するガイダンスを確認する |
展開目標
これらの展開目標を満たし、バックアップ インフラストラクチャをセキュリティで保護します。
| 完了 | デプロイ目標 | Owner |
|---|---|---|
| 1.復元手順のドキュメント、構成管理データベース (CMDB)、ネットワーク ダイアグラムなど、復旧に必要なサポート ドキュメントを保護します。 | IT アーキテクトまたは実装者 | |
| 2.すべての重要なシステムを定期的なスケジュールで自動的にバックアップし、準拠を監視するプロセスを確立します。 | IT バックアップ管理者 | |
| 3.事業継続とディザスター リカバリー (BCDR) 計画を定期的に実行するためのプロセスとスケジュールを確立します。 | IT アーキテクト | |
| 4. バックアップ計画に、意図的な消去と暗号化からバックアップを保護することを含めます。 - 強力な保護 – オンライン バックアップ (Azure Backup など) を変更する前にアウトオブバンドの手順 (多要素認証または PIN) を必須にします。 - 最も強力な保護 – バックアップをオンラインの不変ストレージ (Azure BLOB など) および (または) 完全なオフラインまたはオフサイトに格納します。 |
IT バックアップ管理者 | |
| 5. ユーザーに OneDrive のバックアップと保護されたフォルダーを構成させます。 | Microsoft 365 生産性管理者 |
次のステップ
手順 3 のデータでデータ、コンプライアンス、ガバナンスのイニシアチブを続行します。