ランサムウェア攻撃の中断と追跡

ランサムウェアの追加対策としても利用できます 。

概要

Northernは、ランサムウェア攻撃の保護に関して重要な機能を提供しています。Northernソフトウェアソリューション(NSS)の機能では、ランサムウェアに関連付けられた拡張子のファイル作成をブロックすることで攻撃が中断され、これらの保存がブロックされたときにメール通知が送信されます。さらに、過去にあった攻撃に関する情報をダッシュボードに表示できます。

このソリューションは、ランサムウェア攻撃との戦いにおいて強力な保護層を提供します。他のツールやアプローチと組み合わせることで、企業はこのようなサイバー攻撃に対するより堅牢で抵抗力のある防御を確立できます。

このユースケースの詳細(解決方法、その効果、実施方法など)については下記に説明いたします。ご興味を持った方はぜひお読みになってください。

Northern Solution

Northernのソフトウェアは、特定のファイルタイプ(ファイル拡張子)の保存をブロックし、これらのポリシーがトリガーされたときにログに記録して警告し、管理ダッシュボードでこれらのアクティビティに関する情報を提供することができます。

ソフトウェアの構成は簡単で、事前構成されたパッケージとNorthernのPowerShellツールキットを使用して実行されます。構成後、ブロックするファイル拡張子のリストはお客様が管理する必要があります。変化する脅威に対応するために、リストを確認および更新する定期的なプロセスを実装することを推奨します。ブロックする拡張子のリストを作成し、PowerShellツールキットを利用してそのリストをインポートすることが最も有効的です。

 

実施されたら、このソリューションは次のように動きます:

  • 禁止されているファイルタイプを継続的に監視し、保存をブロックします。
  • 攻撃があった場合、それに関する情報(ブロックされた拡張子、使用されたアカウントなど)を記載したメール通知を脅威対応チームに送信します。
  • パターンを識別できるように定期的に更新されるダッシュボードを提供し、有効性を示します。

攻撃のブロック

NSSは、拡張子に従ってファイルの作成をブロックするように構成できます。このファイルブロックポリシーは、ランサムウェアが新しいファイル拡張子でファイルを暗号化して保存するのを防ぐために使用されています。つまり、ランサムウェアはユーザの暗号化されたデータを保存できず、無効化になります。

ユーザインターフェイスまたはPowerShellツールキットを介して、NSSの構成を更新する定期的なプロセスを実装することにより、ランサムウェアの脅威の変化に応じてポリシーを継続的に維持できます。新しいランサムウェアの種類が出るたびに、そのファイル拡張子がブロックされるようにリストに追加します。ただし、ランダムな拡張子を使用する、元の拡張子を保持する、または現在リストに入れていない拡張子を使用するランサムウェアは検出されません。

メール通知

NSSは通常デフォルトでは、ファイルがブロックされてから2分以内に(間隔は変更可)脅威対応チームへメール通知を送ります。これらの通知には書き込もうとしたアカウント、書き込む回数とブロックされた拡張子などの対応に役立つ情報が含まれます。

ファイルブロックアクティビティに関して維持している監査証跡を利用して、これらの通知が作成されます。ターゲットプラットフォームによって、このログおよび通知に含めることができる内容が制御されます。詳細についてはNorthernのプロフェッショナルサービスチームにお問い合わせください。

メール通知の例:

ダッシュボート

攻撃をブロックしながら、ブロックされた攻撃に関するデータを収集することが重要です。この情報は、パターンを見つける場合に不可欠です。これにより、長期的なソリューションを実装できます。また、セキュリティチームは実施されているプロセスの有効性を監視し、その有効性を関連する関係者に報告できます。

Northernのセルフサービスインターフェースでは、設定されたファイルブロックポリシーのアクティビティに関する概要と詳細情報の両方を表示させるように構成できます。この構成は、事前構成された設定をインポートすることにより、非常に簡単に実施できます。

デフォルトのダッシュボードの概要情報:

詳細情報:

以下の表では、目的を満たすために行う項目、各項目にかかる目安時間と誰が担当するかが書いてあります。

項目 かかる時間担当
1スキャン設定の設置2 時間Northern
2拡張子のデフォルトリストの確認・変更1 時間お客様
3Powershellツールキットのコマンドを実行0.5 時間Northern
4定期的にリストの確認・変更*1 時間 お客様

* 新たなランサムウェアが出現するため

このソリューションは、「完全なランサムウェア保護」ではありません。完全な保護には、セキュリティ、プロセス、および認識の複数の場面を確立することが必要です。Northernはこれらの場面の1つとして、攻撃を中断させ、警告し、追跡できるソフトウェアソリューションを提供いたします。

既にNorthernの顧客であり、クォータとファイルシステム分析の両方の機能を使用している場合は、新しいインフラストラクチャを準備したり、新しいアプリケーションIDを準備したりする必要はありません。現在のITインフラストラクチャを変更する必要はありませんので、事前に管理部から実施許可を申請する必要がないかと思います。これは、組織のランサムウェア保護を改善するために簡単で実用的な方法です。

コンポーネント要件
NSS バージョン9.91以降
SQL データベースSQL Server 2012以降
NSS Solution Area(s)一元的ファイル・サービス・マネジメント(CFSM)
対応プラットフォームNetApp CDOT, NetApp 7-Mode, NetApp Cloud Volumes ONTAP, Dell EMC PowerStore/Unity/VNX, またはHitachi Vantara HNAS

More of what we deliver

リスク軽減

情報漏洩、サイバー攻撃、データプライバシー保護規制―あなたの組織のデータには必ず機密情報が含まれています。

コスト削減

組織のデータの保管には見えにくい費用も考慮すると相当コストがかかります

効率向上

データが混とんとしているとデータの所有者や使用者の効率も下がります

企業責任・CSR

社内外に関わらずITサービスにはCSRの促進機能を組み込む必要があります

Northern Parklife icon

Get started

If you wish to start using NSS to interrupt and track Ransomware attacks please contact your Account Manager, or the Professional Services team, to schedule the first action: import configuration settings and describe workflows.

Contact Us
Contact Us