IsilonianTech 第26回 PowerScaleとサイバーセキュリティ ～Cyber Recovery Manager～

いつもご覧頂きましてありがとうございます。2022年も残すところ僅かとなりましたが、いかがお過ごしでしょうか？

前回（第25回）は標的型攻撃からの脅威に対してデータを保護するためにRansomware DefenderとFlowmonによるゼロトラストセキュリティについてご紹介しました。テレビやインターネット上のニュースにおいてもファイルが暗号化されたという言葉をよく耳にされると思いますが、公開されている「IPA コンピュータウイルス・不正アクセスに関する届出について」を確認すると実際にファイルサーバやNASに格納されているファイルデータに対して多くの被害報告が行われております。また、同じくIPAが公開している「情報セキュリティ10大脅威」においても「ランサムウェアによる被害」や「標的型攻撃による機密情報の窃取」が上位にランクインされております。弊社でもファイルデータに対するセキュリティ対策は非常に多くのお問い合わせを頂いておりますので、今回もRansomware Defenderの新機能についてご紹介します。

サイバーレジリエンス戦略とは、組織内にあるデータ資産を理解してリスクを評価し、サイバー攻撃からの防御や検知、対応を行い影響を最小限に抑えて復旧する能力のことです。組織ごとにサイバーレジリエンス戦略が異なることは明らかであり、そのためサイバーレジリエンス戦略の策定は容易ではありません。

識別では保護が必要となる重要なデータの洗い出しやリスク評価による現状と目標のギャップを分析することが重要です。識別にあたっては弊社コンサルティングサービスにてご支援が可能です。

PowerScaleおよびRansomware Defenderは、PowerScaleの標準機能やAirGapによる防御、リアルタイム監査による異常な行動の検知、イベント通知や自動スナップショット作成ならびに自動ユーザロックアウトによる対応、本番からのスナップショットもしくはDRクラスタやAirGapクラスタからの迅速な復旧を提供します。

なお、Ransomware Defenderの概要については第18回でご紹介しておりますので今回は割愛します。

 

 

 

1. Cyber Recovery Manager概要

Cyber Recovery ManagerはRansomware Defenderの一部として実装され、汚染されたファイルの復旧を簡単に行うことができる機能となります。

ランサムウェアの被害に遭った際は、組織内から脅威を取り除いた後に迅速に復旧することが望ましいため直近のスナップショットからファイルを戻すことができるのが理想です。（被害状況によってはDRクラスタやAirGapクラスタからの復旧となります。）
以前のRansomware Defenderのバージョンにおいても、自動的に汚染（攻撃）されたファイルのリストを作成してくれるのでリストをもとにスナップショットから復旧ができましたが、スナップショットの選択やファイルの復旧は手動で行う必要がありました。

Ransomware Defender 2.5.9で実装されたCyber Recovery Managerでは最適なスナップショットを自動的に選択してくれるため復旧をより迅速かつ簡単に行うことができるようになります。また、デジタルフォレンジックのために汚染されたファイルを自動的に隔離する機能も備えておりますので、より強力になったRansomware Defenderによって防御、検知、対応、復旧の各ステップの大部分を自動化することができ組織のサイバーレジリエンスを高めることが可能です。

今回は、12月2日（日本時間）に正式リリースされたRansomware Defender 2.5.9と現時点でのターゲットコードであるOneFS 9.4.0.9で試しました。

 

 

 

2. 攻撃のシミュレーションならびに状態確認

先ずはランサムウェアによる攻撃のシミュレーションを行います。今回は、"20221212"という共有配下に保存されているファイルが攻撃を受けて汚染（暗号化）された想定です。シミュレーションでは14個中3個のファイルを攻撃した時点でRansomware Defenderによってユーザのロックアウトが実行されました。

 

Ransomware Defenderでイベントを確認します。下記スクリーンショットのとおり18時55分42秒に攻撃を検知して16秒後の18時55分58秒にユーザをロックアウトしたことが確認できます。また、この時点で各共有に対してスナップショットが自動的に取得されたことが確認できます。

これで攻撃のシミュレーションは終了です。

 

 

 

3. Cyber Recovery Managerを用いた復旧

続いてCyber Recovery Managerによる復旧の流れをご紹介します。Cyber Recovery ManagerはRansomware Defenderの[Events]（[Active Events]や[Event History]に表示されるイベント）の[Actions]画面に組み込まれていますので、イベントにある[Actions]のアイコンをクリックします。下記スクリーンショットのように[Actions]画面が起動しますので"Event Action History"の下にある[Cyber Recovery Manager]をクリックして起動します。

 

Cyber Recovery Managerを起動すると汚染されたファイルが赤文字で表示されていることが確認できます。画面右側にある[Filters]はオプションとなりますが、パスを指定してパス配下にあるファイルのみを対象にしたり、[Recovered Status]から下記の条件を指定して表示させることができます。

• RECOVERABLE（デフォルト）…有効なスナップショットが存在していて復旧可能なファイル
• UNRECOVERABLE…有効なスナップショットが存在しておらず復旧不可能なファイル
• RECOVERED…既に回復済みのファイル

なお、以前のRansomware Defenderのバージョンでは、汚染されたファイルのリスト（CSV）の取得はイベントの"Files"からダウンロード可能でしたが、本バージョンからはCyber Recovery Managerの下段にあるアイコン（"Export Grid to CSV"）から指定した条件の結果をダウンロードが可能です。また、イベントの"Files"は"Activity"（User Activity Browser）に変更されており監査ログに基づくアクティビティが表示されるようになりました。

 

Cyber Recovery Managerは汚染されたファイルをスナップショットから復旧する際に最適なスナップショットを自動的に選択してくれます。3個のファイルのスナップショット名（"Snapshot Name"）を見ると1個だけスナップショット名が異なることが確認できます。一番上に表示されているファイルは最初に攻撃されたファイルなので予めスケジュールで取得していたスナップショットから戻すことになるため"ScheduleName_"から始まるスナップショット名になっていますが、残りの2個のファイルは攻撃を受けた直後にRansomware Defenderで自動取得されたスナップショットを用いて復旧することが可能なファイルであるため"igls-COFFEE"から始まるスナップショット名になっております。このように自動的に最適なスナップショットを判断して、できるだけ直近のスナップショットから復旧が行えるようにナビゲートしてくれます。

少しだけ"igls-COFFEE"から始まるスナップショット名に注目してみたいと思います。先程Ransomware Defenderでイベントを確認した際、18時55分42秒に攻撃を検知しておりました。スナップショットが作成された時間（"Taken at"）を確認すると18時55分44秒にスナップショットが作成されていますので攻撃を検知してから僅か2秒後に自動でスナップショットが作成されたことになります。（但し、本環境はテスト目的で検知速度を調整しているため実際とは異なる場合がございます。）

なお、復旧する際は個々のファイルを1個ずつ指定することもできますが、下記にある"Select page"や"Select all"で一括で選択することも可能です。今回は3個のファイル全て選択した状態で画面の一番下にある"Recover"をクリックします。

 

"Recover"をクリックすると下記の確認画面が表示されますので確認後"Yes"をクリックします。

 

復旧オペレーションの実行後[Jobs]を起動して"Recovery Job S-1-5-21…（SID）"を選択し、画面下段にある"Job Details"を展開すると個々のファイルの復旧状況の確認が可能です。

 

ファイルの復旧とユーザのロックアウトを解除した後共有にアクセスすると、下記スクリーンショットのとおり汚染されたファイルが正常に復旧されたことが確認できます。

 

ファイルの復旧後、再度Cyber Recovery Managerから"RECOVERED"を指定して検索すると個々のファイルの攻撃を受けた時間や復旧した時間が確認できます。

 

 

 

ps1-1# pwd
/ifs/.ransomwaredefender/corrupted/S-1-5-21-2673981862-1843687944-1740333772-1103_1670838942303/20221212
ps1-1# ls
manual66951859-powerscaleonefs-9-4-0-0-cli-command-reference.pdf.aaa            manual71489157-powerscale-onefs-9-4-0-0-security-configuration-guide.pdf.aaa
manual68131552-powerscale-onefs-isi-healthcheck.pdf.aaa