エンドポイント向けランサムウェアリカバリ
概要
サイバーセキュリティの失敗リスクは、もはや企業の評判や顧客の負担に限定されるものではなく、企業自体の存続に関わるリスクです。ランサムウェアは、すべての企業が大切にしている 1 つの普遍的なもの、つまり自社のデータを使ってビジネスを強要します。言うまでもなく、この危険に備える必要があります。
本ページは、不運にもランサムウェアに攻撃された場合に、Druva によるランサムウェア リカバリがどのように役立つかを理解するのに役立ちます。
感染において、検疫 (Quarantine) とは感染を封じ込めて拡散させないように、感染した部分を隔離することです。ランサムウェアリカバリを使用すると、影響を受けるリソースで感染したスナップショットを隔離できます。これにより、ユーザーまたは管理者が他のリソースにデータをダウンロードまたは復元することを禁止することで、システムがさらなる感染から保護されます。
ダウンタイムと生産性損失を減らすために、安全と思われる最新のセキュアなスナップショットからデータを復元し、リソースを再び操作できるようにすることができます。
ランサムウェア リカバリを使用して、感染したスナップショットを以下の方法で隔離します。
- 影響を受けるリソースを手動で検索し、感染したスナップショットまたはすべてのスナップショットを隔離します。
- サードパーティのセキュリティおよびインシデント対応ソリューションとランサムウェアリカバリを統合し、Ransomware Recovery API を使用してリソースを隔離するための対応を自動化します。
隔離の影響を知る
- スナップショットを隔離すると、そのリソースの管理者とユーザーは、隔離されたスナップショットへのアクセスが行えなくなります。
- 管理者とユーザーは、隔離されたスナップショットからデータをダウンロードしたり、データを復元したりすることはできません。隔離されたスナップショットは、[Restore Data] ウィンドウのスナップショット作成タイムスタンプの横に表示されるロック アイコン (
) で識別できます。
リソースの隔離されていない (クリーンな) スナップショットのデータへは引き続きアクセス可能であり、管理者とユーザーは表示、ダウンロード、または復元することができます。
手法を決定する
Druva では、ランサムウェア リカバリへの対応を設定できます。影響を受けるデバイスのスナップショットを手動で隔離するか、Ransomware Recovery API を使用してサードパーティのセキュリティおよびインシデント対応ソリューションと統合することで、隔離プロセスを自動化できます。
感染したスナップショットを手動で隔離する
リソース上のスナップショットを手動で隔離する方法は、潜在的なリスクについてデバイス ユーザー自身や、セキュリティ インフラストラクチャやウイルス対策ソフトウェアによって生成されたアラートなど、信頼できるソースから影響を受けたデバイスについて把握したときに役立ちます。
前提条件
リソースがランサムウェアに感染した可能性のある日付を特定します。リソースのスナップショットを隔離する日付を決定するのに使います。
注: 日付がわからない場合、現在の日付またはシステム定義の制限である 2019 年 11 月 10 日から、影響を受けるリソースのスナップショットの隔離を開始できます。これより前は、Druva inSync でスナップショットを隔離できません。
影響を受けたデバイスを持つ社内ユーザーと会話し、デバイスに感染した特定の日にファイルのダウンロードや操作を行ったなどの潜在的なアクティビティを追跡できます。
リソースを隔離する最善の方法の選択
次の使用可能な方法のいずれかを使用して、デバイスを手動で隔離できます。
- リソースを検索して隔離する - このオプションは、影響を受けるリソースを検索し、スナップショットを特定してから、スナップショットに対して隔離アクションを実行する場合に使用します。このオプションを使用するには、「リソースを検索して隔離する」を参照してください。
- CSV を使用してリソースを一括で隔離する - 複数のデバイスを隔離する必要があり、工数を削減するために以下の情報を利用できる場合は、このオプションを使用します。
- Email (メール) - デバイスを隔離する必要があるユーザーの電子メール アドレス。
- Device Name (デバイス名) - 隔離するデバイスの名前。
- From Date (開始日) - スナップショットを隔離する開始日 (YYYY-MM-DD 形式)。これは、デバイスが影響を受けた日付である必要があります。日付を入力しない場合、inSync は 2019 年 11 月 10 日からデバイスのすべてのスナップショットの隔離を開始します。
- To Date (終了日) - デバイスを隔離する日付 (YYYY-MM-DD 形式)。特定の期間にスナップショットを隔離したい場合は、inSyncがスナップショットを隔離する日付を入力します。日付を入力しない場合、inSyncは無期限にスナップショットを隔離し続けます。
このオプションを使用するには、「CSV を使用してスナップショットを一括で隔離する」を参照してください。
リソースを検索して隔離する
デバイスを検索し、スナップショットを特定して隔離する場合は、このオプションを使用します。
手順
- Druva Cloud Platform(DCP)コンソールにログインし ます。
- DCP コンソールダッシュボードの[Cyber Resilience]で、[Ransomware Recovery] サービスをクリックします。
- 左ペインで [ Quarantine Bay ] をクリックして、隔離されたすべてのリソースのリストを表示します。
- [Add Resources] > [Find Resources] をクリックします。 リソースの種類として[Endpoints]を選択します。
- 影響を受けたデバイスを検索します。Profiles (プロファイル)、Users (ユーザー)、およびDevice Name (デバイス名) のいずれかまたは組み合わせを使用して、デバイスを検索できます。
- スナップショットを隔離するデバイスを選択し、[Next] をクリックします。
- [Quarantine Response]ページで、入手可能な情報に基づいて次のいずれかを選択します。
- Quarantine all snapshots from the impacted date (影響を受けた日付からすべてのスナップショットを隔離する) - リソースが影響を受けた日付が確実な場合にのみ、このオプションを選択します。日付が不明な場合は、次の方法である [Quarantine all snapshots (すべてのスナップショットを隔離する)] を選択します。[Quarantine all snapshots from the impacted date] を選択すると、すべてのスナップショットを隔離する特定の日付を指定できます。inSyncは、inSyncバックアップによりデバイス上に形成されたすべてのスナップショットを隔離し続けます。すべてのスナップショットを隔離済みとしてマークする日付を選択します。
- 2019 年 11 月 10 日より前の検疫用のスナップショットを選択できます。
- inSync は UTC タイムゾーンを使用してリソースを隔離します。日付を選択するときは、デバイスのタイム ゾーンと UTC ゾーンの違いを考慮に入れる必要があります。
- [Quarantine all snapshots] (すべてのスナップショットを隔離する) - リソースが影響を受けた正確な日付がわからない場合は、この方法を選択してスナップショットを隔離します。[Quarantine all snapshots]を選択すると、inSync は 2019 年 11 月 10 日以降 (システム定義の制限) にすべてのスナップショットを隔離し、inSync バックアップのためにデバイス上に形成されたすべてのスナップショットを隔離し続けます。
- Quarantine all snapshots from the impacted date (影響を受けた日付からすべてのスナップショットを隔離する) - リソースが影響を受けた日付が確実な場合にのみ、このオプションを選択します。日付が不明な場合は、次の方法である [Quarantine all snapshots (すべてのスナップショットを隔離する)] を選択します。[Quarantine all snapshots from the impacted date] を選択すると、すべてのスナップショットを隔離する特定の日付を指定できます。inSyncは、inSyncバックアップによりデバイス上に形成されたすべてのスナップショットを隔離し続けます。すべてのスナップショットを隔離済みとしてマークする日付を選択します。
- [Finish] をクリックします。
Druva inSync は、指定された日付からスナップショットの隔離を開始し、通常の inSync バックアップの一部として作成されたスナップショットも隔離します。 推奨される一連のアクションを実行するには、次の手順を参照してください。
CSV を使用してスナップショットを一括で隔離する
複数のユーザーとそのデバイスのスナップショットを隔離する場合は、このオプションを使用します。
手順
- Druva Cloud Platform(DCP)コンソールにログインし ます。
- DCP コンソール ダッシュボードの[Cyber Resilience]で、[Ransomware Recovery] サービスをクリックします 。
- 左ペインで [ Quarantine Bay ] をクリックして、隔離されたすべてのリソースのリストを表示します。
- [Add Resources] > [Import CSV] をクリックします。 [Import from CSV] ダイアログ ボックスが表示されます。
- サンプル CSV ファイルをダウンロードします。
- CSV ファイルを開き、次の情報を必要な形式で提供します。
- Email (メール) - デバイスを隔離する必要があるユーザーの電子メール アドレス。
- Device Name (デバイス名) - 隔離するデバイスの名前。
- From Date (開始日) - スナップショットを隔離する開始日 (YYYY-MM-DD 形式)。これは、デバイスが影響を受けた日付である必要があります。
日付を指定しない場合、inSync は 2019 年 11 月 10 日からデバイスのすべてのスナップショットの隔離を開始します。 - To Date (終了日) - デバイスを隔離する日付 (YYYY-MM-DD 形式)。特定の期間にスナップショットを隔離したい場合は、inSyncがスナップショットを隔離する日付を入力します。
終了日を指定しない場合、inSync は無期限にスナップショットを隔離し続けます。
- CSV を保存します。
- [Import from CSV] ダイアログ ボックスで、CSV ファイルを選択し、[Import] をクリックします。
CSV の検証後、Druva inSync は、CSV に記載されているユーザーのデバイスでスナップショットの隔離を開始します。
感染したリソースの隔離に成功したため、ランサムウェア攻撃を封じ込めることができます。ランサムウェア リカバリ ページを更新して、隔離されたデバイスのリストを表示します。
次の手順
感染したスナップショットを隔離したので、次に何をすべきか疑問に思うかもしれません。次のアクションを実行してランサムウェアを封じ込め、リソースを起動して業務を再開できます。
このような状況を解決するために、データ セキュリティおよび IT チームと協力して適切な措置を講じることを強くお勧めします。
- 疑わしいファイルとフォルダーをバックアップから除外します。 ランサムウェアの名前、ファイルの種類、ファイル拡張子を特定したら、そのようなファイルを検出し、他のユーザー デバイスからのバックアップを制限できる正規表現を作成できます。
- 感染したデータとデバイスをさらに分析するために、影響を受けたデバイスを組織のデータおよび情報セキュリティ チームと共有します。
- ユーザーに新しいデバイスを提供します。感染したデバイスを新しいデバイスと交換する場合、デバイスの交換プロセス中に最新のクリーンなスナップショットを新しいデバイスに復元できます。デバイスを交換したら、影響を受けるデバイスの将来のスナップショットを隔離解除してください。そうしないと、inSync は新しいデバイスでもスナップショットを隔離し続けます。リソースの隔離を解除するには、リソースの隔離を解除するを参照してください 。
リソースの隔離を解除する
データ セキュリティ チームと IT チームの助けを借りて、影響を受けたリソースについて必要な調査を完了した後、一部のリソースがランサムウェアの影響を受けたと誤ってマークされていることに気付く場合があります。この場合、リソースとスナップショットを隔離された状態から戻し、クリーンとしてマークすることをお勧めします。
スナップショットの隔離を解除した後、inSync 管理者とユーザーは、これらのクリーンなスナップショットからデータを安全に復元およびダウンロードできるため、データが失われることはありません。
手順
- Druva Cloud Platform(DCP)コンソールにログインし ます。
- DCPコンソールダッシュボードの[Cyber Resilience]で、[Ransomware Recovery] サービスをクリックします 。
- 左ペインで、[Quarantine Bay] > [EndPoints] をクリックします。
- 削除するリソースを選択します。
- [(3ドットメニュー)] > [Remove from Quarantine Bay] をクリックします。
削除すると、ユーザーと管理者は隔離されていないスナップショットのデータにアクセスし、ダウンロードして復元できます。
感染したリソースのスナップショットを削除する
データまたは情報セキュリティ チームが影響を受けるリソースの分析を完了した後、既存のデバイスをクリーニングするか、ユーザーに新しいデバイスを提供する必要がある場合があります。
ユーザーがすべてのデータを新しいデバイスに同期した後、古いデバイス上の感染したスナップショットをすべて削除できます。
スナップショットの削除は回復不可能なアクティビティです。削除されたスナップショットからデータにアクセスして回復することはできません。削除されたスナップショットは 、inSync 管理コンソールの復元ウィンドウに表示されません。また、これらはinSyncクライアントの復元ウィンドウにも表示されません。
注 : リソースの最新のクリーン スナップショットは削除できません。そのデバイスの [Manage Snapshots] ウィンドウに移動すると、最新のクリーンなスナップショットには、スナップショットを削除できないことを示す情報アイコンが表示されます。
手順
- Druva Cloud Platform(DCP)コンソールにログインし ます。
- DCPコンソールダッシュボードの[Cyber Resilience]で、[Ransomware Recovery] サービスをクリックします 。
- 左ペインで、[Quarantine Bay] > [EndPoints] をクリックします。
- リソース名をクリックして、そのリソースのスナップショットを表示します。
- [Snapshots] タブをクリックします。感染したすべてのスナップショットのリストが表示されます。
- [Confirm Deletion] 確認ポップアップで、削除の理由を指定し (理由は 10 ~ 150 文字の範囲で必須です)、[Delete] をクリックします。一度削除されたデータは復元できません。削除の理由は、 監査目的で監査証跡に記録されます。
注: 削除されたデバイスの場合、それらのデバイスの検疫範囲を表示することはできません。ただし、 ロールバック アクション オプションを使用して、削除されたデバイスを取得し、隔離範囲を表示できます。
API を使用して、感染したスナップショットを自動的に隔離する
API を使用して、ランサムウェア リカバリを既存のセキュリティ ツールと統合したり、カスタム スクリプトを作成して、ランサムウェア攻撃があった場合に自動的にアクションを実行したりできます。
開始するのに役立ついくつかのリンクを次に示します。
- Druva API の詳細については、開発者ポータルにアクセスしてください。
- 組織をより安全にするために提供されている API を試すには、 Ransomware Recovery APIを参照してください。
感染したデバイスの ID と感染日がわかっている場合に、API を使用してスナップショットを隔離する場合、次のようなワークフローが考えられます。