ランサムウェアを考慮した運用

ランサムウェアからのシステムの保護とは

ランサムウェアの入口/内部/出口対策の中で、バックアップソリューションは重要な内部対策となります。

ランサムウェアの感染には、システムの脆弱な部分より侵入され、システムの管理者ユーザーを作成されるケースもあります。この場合、セキュリティソリューションは全て停止され、短時間で広範囲に感染することがあります。感染対象としてバックアップファイルも含まれるため、バックアップファイルの分散化や、最低でも2か所以上の保存先確保を推奨しています。

ActiveImage Protectorはマルチスケジュールに対応していますので、例えば、日々のバックアップはNASへ、月次ではLTO/RDX/USB HDD/SSDなどの取り外し可能なデバイスへ保存することができます。このようなバックアップファイルへの感染を回避できる運用は、とても重要で効果的です。

また、ローカルエリアネットワーク内のNASと比較して感染が遅い遠隔地、およびS3互換のオブジェクトストレージなどを活用して、感染の検知と連携させることにより、感染前にバックアップファイルを退避させるなど、先手を打つ対策が可能です。

復元の際には、対象マシンをネットワークなどから隔離して復元後、ログなどを参照して不審なユーザーの有無などの安全確認をおこなってから、従来の環境に接続する必要があります。ActiveImage Protectorでは、HyperBootを使用してバックアップファイルから直接仮想環境で起動して作業ができるため、復元するバックアップファイルも様々な方法で確認してから選定することが可能です。

感染予防策として、各種保存先に対して隔離オプション機能を有効にすることで、バックアップ完了後に保存先を切り離し保護することが可能です。