Skip to main content
Data Infrastructure Insights
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Workload Security: Simulation eines Angriffs

Beitragende

Mithilfe der Anweisungen auf dieser Seite können Sie einen Angriff für das Testen oder Demonieren der Workload-Sicherheit mithilfe des im Lieferumfang enthaltenen Skripts Ransomware Simulation simulieren.

Dinge zu beachten, bevor Sie beginnen

  • Das Ransomware-Simulationsskript funktioniert nur auf Linux.

  • Das Skript wird mit den Installationsdateien des Workload Security Agent bereitgestellt. Sie ist auf jedem Computer verfügbar, auf dem ein Workload Security Agent installiert ist.

  • Sie können das Skript auf dem Workload Security Agent-Rechner selbst ausführen; es ist nicht erforderlich, einen anderen Linux-Rechner vorzubereiten. Wenn Sie jedoch das Skript lieber auf einem anderen System ausführen möchten, kopieren Sie einfach das Skript und führen es dort aus.

Mindestens 1,000 Beispieldateien haben

Dieses Skript sollte auf einer SVM mit einem Ordner ausgeführt werden, der Dateien verschlüsselt. Es wird empfohlen, mindestens 1,000 Dateien in diesem Ordner und allen Unterordnern zu haben. Die Dateien dürfen nicht leer sein. Erstellen Sie die Dateien nicht und verschlüsseln Sie sie mit demselben Benutzer. Workload Security berücksichtigt diese Aktivität mit niedrigem Risiko und erzeugt daher keine Warnmeldung (d. h. der gleiche Benutzer ändert die Dateien, die er gerade erstellt hat).

Siehe unten für Anweisungen zu "Programmgesteuertes Erstellen nicht leerer Dateien".

Richtlinien vor dem Ausführen des Simulators:

  1. Stellen Sie sicher, dass verschlüsselte Dateien nicht leer sind.

  2. Vergewissern Sie sich, dass Sie > 50 Dateien verschlüsseln. Eine kleine Anzahl von Dateien wird ignoriert.

  3. Führen Sie keinen Angriff mit demselben Benutzer mehrmals durch. Nach ein paar Mal lernt Workload Security dieses Benutzerverhalten kennen und geht davon aus, dass es sich um das normale Verhalten des Benutzers handelt.

  4. Verschlüsseln Sie keine Dateien, die gerade von demselben Benutzer erstellt wurden. Das Ändern einer Datei, die gerade von einem Benutzer erstellt wurde, wird nicht als riskante Aktivität betrachtet. Verwenden Sie stattdessen Dateien, die von einem anderen Benutzer erstellt wurden, ODER warten Sie ein paar Stunden zwischen Erstellung und Verschlüsselung der Dateien.

Bereiten Sie das System vor

Zunächst das Zielvolumen auf die Maschine montieren. Sie können entweder ein NFS-Mount oder einen CIFS-Export mounten.

So mounten Sie den NFS-Export in Linux:

mount -t nfs -o vers=4.0 10.193.177.158:/svmvol1 /mntpt
mount -t nfs -o vers=4.0 Vserver data IP>:/nfsvol /destinationlinuxfolder

Mounten Sie NFS Version 4.1 nicht; es wird von FPolicy nicht unterstützt.

So mounten Sie CIFS in Linux:

 mount -t cifs //10.193.77.91/sharedfolderincluster /root/destinationfolder/ -o username=raisa
Richten Sie als Nächstes einen Data Collector ein:
  1. Konfigurieren Sie den Workload Security Agent, falls er noch nicht ausgeführt wurde.

  2. Konfigurieren Sie den SVM-Datensammler, falls noch nicht geschehen.

Führen Sie das Skript Ransomware Simulator aus

  1. Melden Sie sich (ssh) beim Workload Security Agent-Rechner an.

  2. Navigieren Sie zu: /opt/netapp/cloudSecure/Agent/install

  3. Rufen Sie das Simulator-Skript ohne Parameter auf, um die Verwendung zu sehen:

    # pwd
    /opt/netapp/cloudsecure/agent/install
    # ./ransomware_simulator.sh
    Error: Invalid directory  provided.
    Usage: ./ransomware_simulator.sh [-e] [-d] [-i <input_directory>]
           -e to encrypt files (default)
           -d to restore files
           -i <input_directory> - Files under the directory to be encrypted
    Encrypt command example: ./ransomware_simulator.sh -e -i /mnt/audit/reports/
    Decrypt command example: ./ransomware_simulator.sh -d -i /mnt/audit/reports/

Verschlüsseln Sie Ihre Testdateien

Um die Dateien zu verschlüsseln, führen Sie den folgenden Befehl aus:

# ./ransomware_simulator.sh -e -i /root/for/
Encryption key is saved in /opt/netapp/cloudsecure/cloudsecure-agent-1.251.0/install/encryption-key,
which can be used for restoring the files.
Encrypted /root/for/File000.txt
Encrypted /root/for/File001.txt
Encrypted /root/for/File002.txt
...

Stellen Sie Dateien wieder her

Führen Sie zum Entschlüsseln den folgenden Befehl aus:

[root@scspa2527575001 install]# ./ransomware_simulator.sh -d -i /root/for/
File /root/for/File000.txt is restored.
File /root/for/File001.txt is restored.
File /root/for/File002.txt is restored.
...

Führen Sie das Skript mehrmals aus

Nachdem ein Ransomware-Angriff für einen Benutzer generiert wurde, wechseln Sie zu einem anderen Benutzer, um einen zusätzlichen Angriff zu generieren. Workload Security erlernt das Benutzerverhalten und warnt bei wiederholten Ransomware-Angriffen innerhalb kurzer Zeit für denselben Benutzer nicht.

Dateien programmatisch erstellen

Bevor Sie die Dateien erstellen, müssen Sie zunächst die Verarbeitung des Datensammlers anhalten oder anhalten. Führen Sie die folgenden Schritte aus, bevor Sie den Datensammler zum Agenten hinzufügen. Wenn Sie den Datensammler bereits hinzugefügt haben, bearbeiten Sie einfach den Datensammler, geben Sie ein ungültiges Kennwort ein und speichern Sie es. Dadurch wird der Datensammler vorübergehend in einen Fehlerzustand versetzt. HINWEIS: Achten Sie darauf, dass Sie das ursprüngliche Passwort beachten!

Hinweis Die empfohlene Option ist, "Unterbrechen Sie den Collector" bevor Sie Ihre Dateien erstellen.]

Bevor Sie die Simulation ausführen, müssen Sie zuerst Dateien hinzufügen, die verschlüsselt werden sollen. Sie können die zu verschlüsselenden Dateien entweder manuell in den Zielordner kopieren oder die Dateien mithilfe eines Skripts (siehe Beispiel unten) programmatisch erstellen. Kopieren Sie mindestens 1,000 Dateien, unabhängig von der verwendeten Methode.

Wenn Sie die Dateien programmatisch erstellen möchten, gehen Sie wie folgt vor:

  1. Melden Sie sich im Feld Agent an.

  2. Mounten Sie einen NFS-Export aus der SVM des Filers auf die Agent Maschine. CD in diesen Ordner.

  3. Erstellen Sie in diesem Ordner eine Datei mit dem Namen createfiles.sh

  4. Kopieren Sie die folgenden Zeilen in diese Datei.

    for i in {000..1000}
    do
       echo hello > "File${i}.txt"
    done
    echo 3 > /proc/sys/vm/drop_caches ; sync
  5. Speichern Sie die Datei.

  6. Stellen Sie sicher, dass Sie die Berechtigung für die Ausführung der Datei ausführen:

     chmod 777 ./createfiles.sh
    . Ausführen des Skripts:
    ./createfiles.sh

    Im aktuellen Ordner werden 1000 Dateien erstellt.

  7. Aktivieren Sie den Datensammler erneut

    Wenn Sie den Datensammler in Schritt 1 deaktiviert haben, bearbeiten Sie den Datensammler, geben Sie das richtige Passwort ein, und speichern Sie es. Stellen Sie sicher, dass der Datensammler wieder in Betrieb ist.

  8. Wenn Sie den Collector angehalten haben, bevor Sie diese Schritte ausführen, gehen Sie bitte zu "Nehmen Sie die Sammlung wieder auf".