ランサムウェア攻撃の中断と追跡
ランサムウェア攻撃の中断と追跡
Northernは、ランサムウェア攻撃の保護に関して重要な機能を提供しています。Northernソフトウェアソリューション(NSS)の機能では、ランサムウェアに関連付けられた拡張子のファイル作成をブロックすることで攻撃が中断され、これらの保存がブロックされたときにメール通知が送信されます。さらに、過去にあった攻撃に関する情報をダッシュボードに表示できます。
このソリューションは、ランサムウェア攻撃との戦いにおいて強力な保護層を提供します。他のツールやアプローチと組み合わせることで、企業はこのようなサイバー攻撃に対するより堅牢で抵抗力のある防御を確立できます。
このユースケースの詳細(解決方法、その効果、実施方法など)については下記に説明いたします。ご興味を持った方はぜひお読みになってください。
“Northernのソリューションのおかげで、ニューヨークタイムズの1ページに載るような事態にはならずにすみました。”
NSSをランサムウェア対策の1つのレイヤーとして利用する米国のお客様のコメント引用
解決・改善方法
Northernのソフトウェアは、特定のファイルタイプ(ファイル拡張子)の保存をブロックし、これらのポリシーがトリガーされたときにログに記録して警告し、管理ダッシュボードでこれらのアクティビティに関する情報を提供することができます。
ソフトウェアの構成は簡単で、事前構成されたパッケージとNorthernのPowerShellツールキットを使用して実行されます。構成後、ブロックするファイル拡張子のリストはお客様が管理する必要があります。変化する脅威に対応するために、リストを確認および更新する定期的なプロセスを実装することを推奨します。ブロックする拡張子のリストを作成し、PowerShellツールキットを利用してそのリストをインポートすることが最も有効的です。
実施されたら、このソリューションは次のように活動します。
- 禁止されているファイルタイプを継続的に監視し、保存をブロックします。
- 攻撃があった場合、それに関する情報(ブロックされた拡張子、使用されたアカウントなど)を記載したメール通知を脅威対応チームに送信します。
- パターンを識別できるように定期的に更新されるダッシュボードを提供し、有効性を示します。
攻撃のブロック
NSSは、拡張子に従ってファイルの作成をブロックするように構成できます。このファイルブロックポリシーは、ランサムウェアが新しいファイル拡張子でファイルを暗号化して保存するのを防ぐために使用されています。つまり、ランサムウェアはユーザの暗号化されたデータを保存できず、無効化になります。
ユーザインターフェイスまたはPowerShellツールキットを介して、NSSの構成を更新する定期的なプロセスを実装することにより、ランサムウェアの脅威の変化に応じてポリシーを継続的に維持できます。新しいランサムウェアの種類が出るたびに、そのファイル拡張子がブロックされるようにリストに追加します。ただし、ランダムな拡張子を使用する、元の拡張子を保持する、または現在リストに入れていない拡張子を使用するランサムウェアは検出されません。
メール通知
NSSは通常デフォルトでは、ファイルがブロックされてから2分以内に(間隔は変更可)脅威対応チームへメール通知を送ります。これらの通知には書き込もうとしたアカウント、書き込む回数とブロックされた拡張子などの対応に役立つ情報が含まれます。
ファイルブロックアクティビティに関して維持している監査証跡を利用して、これらの通知が作成されます。ターゲットプラットフォームによって、このログおよび通知に含めることができる内容が制御されます。詳細についてはNorthernのプロフェッショナルサービスチームにお問い合わせください。
メール通知の例:
ダッシュボート
攻撃をブロックしながら、ブロックされた攻撃に関するデータを収集することが重要です。この情報は、パターンを見つける場合に不可欠です。これにより、長期的なソリューションを実装できます。また、セキュリティチームは実施されているプロセスの有効性を監視し、その有効性を関連する関係者に報告できます。
Northernのセルフサービスインターフェースでは、設定されたファイルブロックポリシーのアクティビティに関する概要と詳細情報の両方を表示させるように構成できます。この構成は、事前構成された設定をインポートすることにより、非常に簡単に実施できます。
デフォルトのダッシュボードの概要情報:
詳細情報:
ダッシュボードは、過去に成功してしまった攻撃に関する情報を表示することもできます。同じセルフサービスインターフェイスで、パス、所有者、作成日など、ランサムウェア関連の拡張子を持つファイルに関する情報を提供できます。
想定されるNorthern効果
このソリューションは、「完全なランサムウェア保護」ではありません。完全な保護には、セキュリティ、プロセス、および認識の複数の場面を確立することが必要です。Northernはこれらの場面の1つとして、攻撃を中断させ、警告し、追跡できるソフトウェアソリューションを提供いたします。
既にNorthernの顧客であり、クォータとファイルシステム分析の両方の機能を使用している場合は、新しいインフラストラクチャを準備したり、新しいアプリケーションIDを準備したりする必要はありません。現在のITインフラストラクチャを変更する必要はありませんので、事前に管理部から実施許可を申請する必要がないかと思います。これは、組織のランサムウェア保護を改善するために簡単で実用的な方法です。
実施の項目
以下の表では、目的を満たすために行う項目、各項目にかかる目安時間と誰が担当するかが書いてあります。
| 項目 | かかる時間 | 担当 | |
|---|---|---|---|
| 1 | スキャン設定の設置 | 0.5時間 | Northern |
| 2 | 拡張子のデフォルトリストの確認・変更 | 1時間 | お客様 |
| 3 | Powershellツールキットのコマンドを実行 | 0.5時間 | Northern |
| 4 | 定期的にリストの確認・変更* | 1時間 | お客様 |
| * 新たなランサムウェアが出現するため | |||
実施要件
| コンポーネント | 要件 |
|---|---|
| NSS | バージョン9.91以降 |
| SQLデータベース | SQL Server 2012以降 |
| ソリューションエリア | 一元的ファイル・サービス・マネジメント(CFSM) |
| 対応プラットフォーム | NetApp CDOT、NetApp 7-Mode、NetApp Cloud Volumes ONTAP、Dell EMC Unity/VNX、またはHitachi Vantara HNAS |
次のステップ
こちらのソリューションをご希望のお客様はアカウントマネージャまたはプロフェッショナルサービスチームにお問い合わせください。
