ルーブリックのオーストラリアとニュージーランドの技術リーダーであるデール・ヒース氏は、多くの現地組織が依然として運用上の回復力を重視しており、ランサムウェア攻撃者が境界防御を突破した際のサイバー回復力を考慮して設計されていないシステムに依存していると述べた。
現地のITチームは、ゼロトラストアプローチを採用し、ITOpsチームとSecOpsチーム間のコミュニケーションを改善し、ランサムウェアのシナリオをテストして未知の要素を減らし、さらに迅速なデータバックアップリカバリを優先することで、優位に立つことができると彼は述べた。
ジャンプ先:
- ランサムウェア攻撃は、緊急の「侵害想定」への移行を要求
- 迅速なデータ復旧により、組織は数百万ドルを節約できる可能性がある
- 現在のサイバーセキュリティへのアプローチにおける3つの問題点
- 攻撃準備において未知の敵が敵になる可能性
ランサムウェア攻撃は、緊急の「侵害想定」への移行を要求
世界経済フォーラムによると、サイバー犯罪は2019年から2023年の間に世界の企業に5.2兆米ドル(8.8兆豪ドル)の損害を与えると予想されており、これは世界第3位の経済大国であるオーストラリアの損害額を上回る。さらに、ランサムウェア攻撃は2031年までに2秒ごとに発生すると予想されている。
オーストラリアでは、多くの組織が著名な被害に遭っています。一例として、2023年にロシアと関連のあるランサムウェア集団「ALPHV/BlackCat」が法律事務所HWL Ebsworthを攻撃したことが挙げられます。この攻撃では、オーストラリア政府の省庁や機関計65機関が被害を受けました。
Rubrikは、世界中の顧客が日々ランサムウェアの被害に遭っているのを目にしています。100社を超えるオーストラリアの顧客のうち3社が、ここ数ヶ月だけでもランサムウェア攻撃に遭っています。
「境界セキュリティへの投資は、サイバーレジリエンスとサイバーセキュリティの観点から、組織にとって依然として不可欠です」とヒース氏は述べています。「しかし、アプリケーション、ネットワーク、そして境界セキュリティを保護するだけでは十分ではありません。境界防御が破られ、悪意のある攻撃者が侵入しているからです。」
プレミアム: 包括的なリソースとデータ復旧ポリシーをダウンロードしてください。
サイバー攻撃の標的となるデータバックアップ
ヒース氏は、アプローチの転換が必要だと述べた。これまで組織はサイバー犯罪者の侵入を防ぐための防御策の構築に重点を置いてきたが、現在のリスクの高い環境においてデータを守るための最善の策は、ゼロトラスト原則を採用してデータを守ることだ。
「侵入を想定するマインドセットは今や絶対に不可欠です」とヒース氏は述べた。「彼らは侵入し、データにアクセスしようとします。そして、最後の防衛線であるデータバックアップを狙い、ランサムウェア攻撃を実行するのです。」
サイバー犯罪者がアクセスに成功する手段が、設定ミスのあるファイアウォール、ゼロデイ攻撃、ユーザーの認証情報の漏洩、サードパーティのソフトウェアベンダーのいずれであっても、侵入は可能であり、侵入した際にはデータのバックアップを含む機密データを狙うとヒース氏は述べた。
Rubrikのサイバーセキュリティ研究部門Zero Labsは、「データセキュリティの現状:厳しい真実」の中で、サイバー攻撃中に悪意のある攻撃者がデータバックアップに影響を与えようとしたと報告した組織が99%あることを明らかにしました。さらに、74%の組織が、これらの試みが少なくとも部分的に成功したと回答しています。
身代金を支払ってもデータが回復する保証はない
Rubrikの調査によると、オーストラリアのITおよびセキュリティ責任者の64%が、サイバー攻撃を受けた後、データを復旧するために身代金を支払う可能性が高いことが分かりました。その主な理由は、身代金を支払わなければデータにアクセスできないためです。しかし、ランサムウェア攻撃後に攻撃者に復号ツールを購入して身代金を支払ったオーストラリアの組織のうち、すべてのデータを復旧できたのはわずか14%でした。
迅速なデータ復旧により、組織は数百万ドルを節約できる可能性がある
ランサムウェア攻撃者は検知を回避するために、より迅速に行動しています。データによると、ランサムウェア攻撃者が侵入から検知までの平均滞在時間は近年急激に短縮しており、2023年上半期には5日間にまで短縮されるとの推定もあります。一方、Statistaによると、ランサムウェア攻撃後の平均ダウンタイムは24日間でした(図A)。
図A
ヒース氏は、ランサムウェアやサイバー攻撃を受けた組織は、迅速な復旧に注力すべきだと主張しています。数日、数週間、あるいは数ヶ月という期間を想定するのではなく、組織は数時間で復旧・再稼働できる可能性があると彼は述べています。
参照: 2023年版データ復旧ソフトウェアシステムベスト8選をご覧ください
「こうした攻撃は今や常に発生しており、組織は復旧に苦慮しています」とヒース氏は述べた。「運用面では復旧可能ですが、サイバー面では復旧に数週間、時には数ヶ月かかることもあり、最終的には数百万ドルもの費用がかかることもあります。」
ラングス・ビルディング・サプライズはビットコインで1500万ドルの支払いを回避した
ヒース氏によると、ルーブリックは組織のデータの「万全な」バックアップを保護することを目指しているという。この目標は、攻撃の範囲と影響をリアルタイムで監視・評価する機能と組み合わせることで、環境を再感染させることなく、数時間以内に顧客の業務を復旧させるという。
彼はラングス・ビルディング・サプライズを例に挙げています。同社は2021年に数十万のファイルに影響を与えた攻撃をRubrikで乗り切りました。24時間以内に完全に復旧し、データを失うことなく、要求された1500万ドルのビットコインによる身代金を支払うことなく、復旧に成功しました。
現在のサイバーセキュリティへのアプローチにおける3つの問題点
組織は、従来どおり境界防御の強化に重点を置いているほか、サイバーセキュリティへのアプローチにおいて、現在、いくつかの重要な課題に直面しています。
システムは運用の回復力を考慮して設計されている
これまで組織は、サイバーイベントからの復旧よりも、運用復旧や災害復旧に重点を置いてきました。システムは、復旧プロセス期間を短縮したり、IT環境への再感染を起こさずに復旧できるように設計されていませんでした。
ITOps チームと SecOps チーム間のコミュニケーション
ITOps と SecOps 間の連携は、技術の自動化などを通じて、より効率化される可能性があります。
「コミュニケーションにはまだ少しギャップがあるようです」とヒース氏は述べた。「ITOpsには役割があり、SecOpsにも役割があります。連携は改善しているものの、まだあるべき姿には程遠いのです。」
サイバー攻撃やランサムウェア攻撃に対するテストと準備
組織はテストが不足しているため、攻撃に対して十分な準備ができていません。つまり、復旧して稼働するまでにどれくらいの時間がかかるかがわからないのです。
「彼らは、それを自動化してテストし、サイバーセキュリティイベントが発生した後に重要なワークロードをいつ本番環境に復帰できるかを絶対的な確信を持って言えるようにするのに苦労しています」とヒース氏は語った。
攻撃準備において未知の敵が敵になる可能性
ヒース氏によると、取締役会は攻撃を受けた際に、2つの質問に対する答えを知りたいだけだという。1つ目は、データ侵害や影響が実際にどの程度の範囲に及ぶか、2つ目は組織が復旧するまでにどれくらいの時間がかかるかだ。
組織が攻撃にどう対処し、回復するかをテストを通じて実証し、またそれにどれくらいの時間がかかるかを明確に示すことができれば、取締役会や組織のデータを保護している IT リーダーにとっての不確実性を払拭することができます。
ヒース氏は、ITリーダーに対し、もし今日ランサムウェア攻撃が発生した場合にどう対応するかを考えるよう推奨しています。また、テストの頻度を3ヶ月ごと、6ヶ月ごと、あるいは12ヶ月ごとではなく、週1回など、増やす能力を身につけることも提案しています。
「攻撃後の復旧能力が不明な場合、その不明な時間は数日、数週間、あるいは数ヶ月にまで及ぶ可能性があります」とヒース氏は述べた。「数ヶ月経ってもなお、攻撃からの復旧と立ち直りに苦戦している組織を私たちは見てきました。」
