日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ランサムウェアからの保護対策

寄稿者 このページの PDF をダウンロード

ここでは、 NetApp ONTAP データ管理ソフトウェアの主な機能と、ランサムウェア攻撃から効果的に保護してリカバリするために使用できる Cisco UCS および Cisco Nexus のツールについて説明します。

ストレージ: NetApp ONTAP

ONTAP ソフトウェアには、データ保護に役立つさまざまな機能が用意されています。そのほとんどは、 ONTAP システムをお持ちのお客様には無償で提供されています。次の機能を常に使用して、攻撃からデータを保護できます。

  • * NetApp Snapshot テクノロジ。 * Snapshot コピーは、ボリュームの読み取り専用イメージであり、ファイルシステムの「ある瞬間」の状態をキャプチャしたものです。これらのコピーによって、システムパフォーマンスへの影響がなく、データが保護されると同時に、大量のストレージスペースが消費されることもありません。Snapshot コピーの作成スケジュールを作成することを推奨します。また、マルウェアの中には、感染後数週間または数か月後に休止して再アクティブ化できるものがあるため、長期の保存期間を維持する必要があります。攻撃が発生した場合、感染前に作成された Snapshot コピーを使用してボリュームをロールバックできます。

  • * NetApp SnapRestore テクノロジ。 * SnapRestore データ・リカバリ・ソフトウェアは、データ破損からのリカバリや、ファイルの内容のみの復元に非常に役立ちます。SnapRestore はボリュームの属性をリバートせず、 Snapshot コピーからアクティブファイルシステムにファイルをコピーすることで、管理者が達成できる処理よりもはるかに高速です。データのリカバリ速度は、できるだけ多くのファイルをリカバリする必要がある場合に役立ちます。攻撃が発生した場合、この非常に効率的なリカバリプロセスにより、ビジネスを迅速にオンラインに戻すことができます。

  • * NetApp SnapCenter テクノロジ。 * SnapCenter ソフトウェアは、ネットアップのストレージベースのバックアップ機能とレプリケーション機能を使用して、アプリケーションと整合性のあるデータ保護を実現します。このソフトウェアは、エンタープライズアプリケーションと統合され、アプリケーション固有およびデータベース固有のワークフローを提供して、アプリケーション、データベース、仮想インフラの管理者のニーズを満たします。SnapCenter は、使いやすいエンタープライズプラットフォームを提供し、アプリケーション、データベース、ファイルシステム全体でデータ保護をセキュアに調整、管理します。アプリケーションと整合性のあるデータ保護を提供できるかどうかは、整合性のある状態へのアプリケーションのリストアをより迅速に行えるようにするため、データリカバリの際に重要になります。

  • * NetApp SnapLock テクノロジ。 * SnapLock は、消去や書き換えが不可能な状態でファイルを保存し、コミットできる特殊な目的のボリュームを提供します。FlexVol ボリュームに保存されているユーザーの本番データは、 NetApp SnapMirror または SnapVault テクノロジを使用して、それぞれ SnapLock ボリュームにミラーリングまたは保存できます。SnapLock ボリューム内のファイル、ボリューム自体、およびホストアグリゲートは、保持期間が終了するまで削除できません。

  • * NetApp FPolicy テクノロジ。 * 特定の拡張子を持つファイルの操作を禁止することにより、 FPolicy ソフトウェアを使用して攻撃を防止します。FPolicy イベントは、特定のファイル操作に対してトリガーできます。イベントはポリシーに関連付けられており、ポリシーは使用する必要があるエンジンを呼び出します。ポリシーにはランサムウェアを含む可能性のある一連のファイル拡張子を設定できます。拡張子が許可されていないファイルで許可されていない操作を実行しようとすると、 FPolicy によりその操作が実行されなくなります。

ネットワーク: Cisco Nexus

Cisco NX-OS ソフトウェアは、ネットワーク異常およびセキュリティの検出を強化する NetFlow 機能をサポートしています。NetFlow は、ネットワーク上のすべてのカンバセーション、通信に関係する側、使用されているプロトコル、およびトランザクションの期間のメタデータをキャプチャします。情報を集約して分析すると、正常な動作に関する洞察を得ることができます。

収集されたデータを使用すると、疑わしいアクティビティのパターンを識別することもできます。たとえば、マルウェアがネットワーク全体に拡散し、これが気付かない場合があります。

NetFlow では、フローを使用してネットワークモニタリングの統計情報を提供します。フローは、送信元インターフェイス(または VLAN )に着信し、キーの値が同じパケットの単方向ストリームです。キーは、パケット内のフィールドの識別された値です。フローレコードを使用してフローを作成し、フローに固有のキーを定義します。フローエクスポータを使用して、 Cisco StealthWatch などのリモート NetFlow コレクタに NetFlow が収集するデータをエクスポートできます。StealthWatch では、この情報を使用してネットワークを継続的に監視し、ランサムウェアの発生が発生した場合にリアルタイムの脅威検出およびインシデント応答フォレンジックを提供します。

コンピューティング: Cisco UCS

Cisco UCS は、 FlexPod アーキテクチャのコンピューティングエンドポイントです。複数のシスコ製品を使用して、スタックのこのレイヤをオペレーティングシステムレベルで保護することができます。

コンピューティングレイヤまたはアプリケーションレイヤには、次の主要製品を実装できます。

  • * エンドポイント向けの Cisco Advanced Malware Protection ( AMP )。 * Microsoft Windows および Linux オペレーティングシステムでサポートされているこの解決策は、防止、検出、および応答機能を統合しています。このセキュリティソフトウェアは、セキュリティ侵害の防止、侵入ポイントでのマルウェアのブロック、ファイルおよびプロセスのアクティビティの継続的な監視と分析を行い、フロントライン防御を回避できる脅威を迅速に検出、阻止、修復します。

    AMP の Malicious Activity Protection ( MAP )コンポーネントは、すべてのエンドポイントアクティビティを継続的に監視し、エンドポイント上の実行中のプログラムのランタイム検出と異常な動作のブロックを提供します。たとえば、エンドポイントの動作がランサムウェアを示している場合、攻撃の原因となっているプロセスは終了し、エンドポイントの暗号化を防ぎ、攻撃を停止します。

  • * 電子メールセキュリティに関するシスコの高度なマルウェア対策。 * 電子メールは、マルウェアを拡散し、サイバー攻撃を実行するための主要な手段となっています。平均して、 1 日に約 1 、 000 億通の電子メールが交換されます。これにより、攻撃者はユーザーのシステムに非常に優れた侵入ベクトルを与えることができます。そのため、この種の攻撃を防御することは絶対に不可欠です。

    AMP は、ゼロデイ攻撃や悪意のある添付ファイルに隠された不潔なマルウェアなどの脅威を電子メールで分析します。また、業界をリードする URL インテリジェンスを使用して、悪意のあるリンクに対抗します。スピアフィッシング、ランサムウェア、その他の高度な攻撃から高度な保護を提供します。

  • * 次世代侵入防御システム( NGIPS )。 * Cisco firepower NGIPS は、データセンターの物理アプライアンスとして、または VMware の仮想アプライアンスとして導入できます( NGIPSv for VMware )。この非常に効果的な侵入防御システムは、信頼性の高いパフォーマンスと低い総所有コストを実現します。オプションのサブスクリプションライセンスで脅威からの保護を拡張して、 AMP 、アプリケーションの可視化と制御、および URL フィルタリング機能を提供できます。仮想化された NGIPS は、仮想マシン( VM )間のトラフィックを検査し、リソースが限られたサイトで NGIPS ソリューションの導入と管理を容易にして、物理資産と仮想資産の両方の保護を強化します。