レガシー・アセスメントでは最新のランサムウェアに対応できない-その理由とは?
2025年4月10日
|
ほとんどの組織は、手遅れになるまでバックアップ戦略が機能していないことに気づかない。
表面的には、すべてがカバーされているように見える:バックアップは実行され、保持ポリシーは整備され、リカバリ計画は卓上テストされ、誰かが6ヶ月前に行った評価では、すべてが "適切 "に見えた。もしかしたら "成熟 "しているかもしれない。
しかし、ランサムウェアに襲われると、これらのチェックボックスはあまり意味をなさない。
というのも、これが真実だからだ。ほとんどの評価は、実際のランサムウェア攻撃で起こることを想定して構築されていない。ほとんどの評価は、実際のランサムウェア攻撃で起こることを想定して構築されていないのだ。そして、ITチームやセキュリティチームには、プレッシャーに耐えられない誤った準備態勢という危険なものが残されている。
私たちは、何百件もの実際の侵害を経験してきました。私たちは、従来の評価がどこで(そしてなぜ)不足するのか、そして実際に機能するアプローチを構築する方法を知っています。
従来の評価が間違っている点
ほとんどの査定は、危機ではなく、コンプライアンスのために構築されている。
それらは予測可能な公式に従っている:
- バックアップはスケジュール通りに実行されていますか?
- オフサイトや不変のストレージに保存されているか?
- 復旧計画が文書化されているか。
- 過去12ヶ月以内に検査を受けましたか?
それらに「はい」と答えれば、ほとんどの査定に合格する。しかし問題がある。攻撃者は、あなたのコンプライアンス・チェックリストの内容など気にしていない。攻撃者が気にするのは、あなたが気づく前に、何を暗号化し、何を流出させ、何を破壊できるかということなのです。
典型的な査定が日常的に無視していることがここにある:
脅威行為者の行動
従来の評価では、列挙やバックアップの破壊はテストされない。これらは、攻撃者が一旦アクセスすると最初に使う手口です。ハイパーバイザーのスナップショットからリカバリソフトウェア、ドメインに接続されたサービスに至るまで、現実の世界ではバックアップインフラが攻撃者の最初の手口であることを私たちは繰り返し見てきました。バックアップがドメインからセグメント化されていない場合(ほとんどの場合そうではない)、すでに侵害されている。
横方向の動き
従来の評価報告書では、システムを切り離して扱う傾向があった。ファイル共有はここ、ADはあそこ、バックアップは別のバブルの中。現実の侵害では、脅威者は横方向に積極的に移動する。ドメインに接続された管理ワークステーションが侵害された場合、セグメンテーションとアクセス制御が厳重でなければ、最終的にバックアップインフラにつながる可能性があります。従来の評価では、攻撃者が人事部門からITオペレーション部門、そしてインフラ部門に移動した場合のシミュレーションはほとんど行われていません。封じ込め(あるいはその欠如)のテストもない。
ストレステスト
管理された環境でテスト用VMをリストアするのは一つのことだ。破損したバックアップ、漏洩した認証情報、5分ごとに回答を求める経営陣がいる重要なシステムを立ち上げるのは、また別の話だ。従来の評価では、「スタッフの半分がロックアウトされ、攻撃者がまだ活動している状態で、あなたのチームはこの計画を実行できますか?
前提条件
人々はしばしばバックアップの成功率に自信を持っている。そうではないはずだ。レポートには90%のバックアップが成功したと書かれているかもしれない。しかし、誰が完全性と回復可能性をチェックしているのでしょうか?破損したACL、ずれたエージェント、アプリケーションレベルの障害によって、"成功した "バックアップは役に立たなくなる可能性がある。
結論:ほとんどの評価は、あなたがすでに知っていると思っていることを確認するためのものだ。明確さではなく、心地よさを提供する。仮説に挑戦することもない。脅威行為者をモデル化していない。また、実際のランサムウェア攻撃の複雑さを反映していません。
情報漏えい時に起こること
ランサムウェア攻撃は孤立しており、明白で、クリーンリストアで簡単に修復できるという根強い俗説がある。
私たちは300件以上のランサムウェアのリカバリーを実施してきましたが、それは真実ではありません。
私たちの経験では、バックアップは主要なターゲットです。脅威者はデータを暗号化することだけが目的ではありません。リカバリーを不能にすることが目的なのです。彼らは、代わりの手段を残さないことが、最も手っ取り早い方法であることを知っています。だからこそ、バックアップ・インフラは最初に狙われる場所のひとつなのです。
理想的な状態であっても、本番環境の復旧はボタンを押すだけではできません。ネットワークのセグメンテーション、クレデンシャルのリセット、マルウェアの封じ込め、インフラの再構築、オンラインに戻されたすべてのシステムの検証を含むプロセスだ。そこにランサムウェアが加わると、バックアップの一部や失敗、RPO/RTOの不明確な決定、ランブックの紛失、クレデンシャルの焼失、そして取締役会から法務、広報、重役、規制当局に至るまで、組織全体からの圧力に対処しなければならなくなる。
あなたの "成熟した計画 "は、2時間目には崩壊しているかもしれない。
異なる種類の査定が必要
一般的な評価では、ポリシー、製品、人材、プロセス間の重要な相互関係を包括的に評価することはほとんどありません。それらは、企業のインフラとバックアップが現代の脅威行為者の攻撃にどのように耐えるかという現実的な評価ではなく、データの生存性、不変性、MTTR(平均復旧時間)に関する仮定に基づいているため、組織がランサムウェアのイベントに備えるのを助けることはできない。
これが、ランサムウェア・バックアップ&レジリエンシー・アセスメント(RBRA)が根本的に異なるように設計されている理由です。
Fenix24傘下のAthena7大隊が構築・提供するRBRAは、従来の評価モデルを覆します。世界をリードするランサムウェアリカバリーの専門家としての実体験に基づき、「ショルダーサーフィン」と自動化された手段によってバックアップの構成と回復力を分析し、今日の脅威要因に直面した場合に貴社のバックアップとインフラがどのように機能するかをお伝えします。私たちは、ランサムウェア攻撃者の行動をモデルにして評価を行います。これは、実際の侵害後の環境における数千時間に基づく実践的な評価です。
焦点は生存力と回復力だ。
結局のところ、組織の回復力の鍵は、何が攻撃を受けても生き残るのか、そして回復にどれくらいの時間がかかるのかを理解することである。これらを理解するために、私たちは評価を行います:
- あなたのデータはどれくらい生き残るだろうか?身代金が支払われたとしても、100%生き残ることは稀です。
- バックアップは生き残るのか、使えるのか?我々の情報では、不変と思われるバックアップの80%は生き残らない。
- ADを含むインフラは存続するのか?これは、復旧したデータに水分を補給し、IDを検証するために必要である。
- ストレージ、帯域幅、接続性は十分ですか?これは迅速にリストアするために必要です。
RBRAは、現実の攻撃で機能不全に陥る可能性のあるギャップを、まだ間に合ううちに表面化させます。RBRAは、上記の各質問を掘り下げ、どのようなデータとアプリケーションが生き残り、使用可能であるかについての現実的な評価と、復旧のための複数ステップのタイムラインを提供します。
攻撃者があなたのためにそれを行う前に、あなたの回復力を検証する
コンプライアンス・チェックリストで阻止できた脅威者はいない。
バックアップの実行頻度やリカバリーの文書がどれだけ整理されているかは気にしない。リストアとリカバリーの能力について、あなたがどれだけ自信を持っているかということも気にしない。
彼らが気にするのは、アクセス、特権、そしてスピードだ。もしあなたのシステムが、バックアップを破壊し、データを暗号化し、あなたのオペレーションを麻痺させる道を彼らに与えるなら、彼らはそれを取るだろう。そして、おそらくあなたのチームが準備するよりも早くそれを実行するでしょう。CrowdStrikeの2025 Global Threat Reportによると、ブレイクアウト時間(攻撃者がネットワークを横方向に移動し始めるまでの時間)は平均48分に短縮されている。最速のブレイクアウト時間はわずか51秒だった。
これがRBRAを構築した理由です。実際のランサムウェア攻撃者が使用する手口に対して、バックアップとリカバリーの態勢をプレッシャーテストするためです。仮説はありません。チェックボックス演習もありません。どこが脆弱で、それを修正するために何が必要かを明確にするだけです。
Fenix24のランサムウェア・バックアップ&レジリエンシー・アセスメントが、ランサムウェア攻撃の現実にどのように備えることができるか、今すぐお問い合わせください。




