Autonomer Ransomware-Schutz für NFS-Storage
Änderungen vorschlagen
PDFs
Um die Ausbreitung zu verhindern und teure Ausfallzeiten zu vermeiden, ist es wichtig, Ransomware so früh wie möglich zu erkennen. Eine effektive Strategie zur Erkennung von Ransomware muss mehrere Schutzebenen auf ESXi Host- und Gast-VM-Ebene umfassen. Während mehrere Sicherheitsmaßnahmen implementiert werden, um einen umfassenden Schutz vor Ransomware-Angriffen zu bieten, bietet ONTAP dem gesamten Verteidigungsansatz zusätzliche Schutzschichten. Um nur einige Funktionen zu nennen: Snapshots, Autonomer Ransomware-Schutz, manipulationssichere Snapshots usw.
Sehen wir uns an, wie die oben genannten Funktionen mit VMware zusammenarbeiten, um Daten vor Ransomware zu schützen und wiederherzustellen. Um vSphere und Gast-VMs vor Angriffen zu schützen, müssen verschiedene Maßnahmen ergriffen werden, darunter Segmentierung, Einsatz von EDR/XDR/SIEM für Endpunkte und Installation von Sicherheitsupdates sowie Einhaltung der entsprechenden Härtungsrichtlinien. Jede virtuelle Maschine, die sich auf einem Datastore befindet, hostet auch ein Standardbetriebssystem. Stellen Sie sicher, dass die Produktsuiten für Anti-Malware-Produkte von Unternehmensservern installiert und regelmäßig aktualisiert werden, was ein wesentlicher Bestandteil einer mehrschichtigen Ransomware-Schutzstrategie ist. Aktivieren Sie darüber hinaus Autonomous Ransomware Protection (ARP) auf dem NFS-Volume, das den Datastore versorgt. ARP nutzt integriertes ML zur automatischen Erkennung von Ransomware mit Blick auf die Volume-Workload-Aktivität und Datenentropie. ARP kann über die integrierte Management-Schnittstelle von ONTAP oder System Manager konfiguriert werden und ist für einzelne Volumes aktiviert.
|
Mit dem neuen NetApp ARP/AI, das sich derzeit in der Tech Preview befindet, ist kein Lernmodus erforderlich. Stattdessen ist ein direkter Weg in den aktiv-Modus mit seiner KI-gestützten Ransomware-Erkennungsfunktion möglich. |
|
|
Mit ONTAP One sind alle diese Funktionen komplett kostenlos. Greifen Sie auf die robuste Suite von NetApp für Datensicherung, Sicherheit und alle Funktionen von ONTAP zu, ohne sich über Lizenzierungshindernisse Gedanken machen zu müssen. |
Im aktiven Modus wird nach der abnormalen Volume-Aktivität gesucht, die möglicherweise ein Ransomware-Angriff sein könnte. Wenn anormale Aktivitäten erkannt werden, wird sofort eine automatische Snapshot Kopie erstellt. Dadurch wird ein Wiederherstellungspunkt so nah wie möglich an der Infektion mit Dateien erstellt. ARP kann Änderungen in VM-spezifischen Dateierweiterungen auf einem NFS-Volume außerhalb der VM erkennen, wenn dem verschlüsselten Volume eine neue Erweiterung hinzugefügt oder die Dateierweiterung geändert wird.
Wenn ein Ransomware-Angriff auf die virtuelle Maschine (VM) zielt und Dateien innerhalb der VM verändert, ohne Änderungen außerhalb der VM vorzunehmen, erkennt der Advanced Ransomware Protection (ARP) immer noch die Bedrohung, wenn die Standard-Entropie der VM niedrig ist, z. B. für Dateitypen wie .txt, .docx oder .mp4-Dateien. Obwohl ARP in diesem Szenario einen schützenden Snapshot erstellt, erzeugt es keine Bedrohungswarnung, da die Dateierweiterungen außerhalb der VM nicht manipuliert wurden. In solchen Szenarien würden die anfänglichen Verteidigungsschichten die Anomalie identifizieren, ARP hilft jedoch bei der Erstellung eines Snapshots basierend auf der Entropie.
Ausführliche Informationen finden Sie im Abschnitt „ARP und virtuelle Maschinen“ in "ARP-Nutzungen und Überlegungen".
Das verlagern von Dateien zu Backup-Daten führt bei Ransomware-Angriffen zunehmend zu Backup- und Snapshot-Wiederherstellungspunkten, da versucht wird, diese zu löschen, bevor die Dateien verschlüsselt werden. Mit ONTAP lässt sich dies jedoch verhindern, indem mit manipulationssichere Snapshots auf primären oder sekundären Systemen erstellt "NetApp Snapshot™ Sperren von Kopien"werden.
Diese Snapshot Kopien können von Angreifern oder betrügerischen Administratoren nicht gelöscht oder geändert werden. Die Kopien sind also auch nach einem Angriff verfügbar. Wenn der Datastore oder bestimmte Virtual Machines betroffen sind, kann SnapCenter die Daten von Virtual Machines innerhalb von Sekunden wiederherstellen und so die Ausfallzeiten des Unternehmens minimieren.
In der obigen Abbildung wird gezeigt, wie ONTAP Storage die vorhandenen Techniken um eine zusätzliche Schicht erweitert und so die Zukunftssicherheit der Umgebung verbessert.
Weitere Informationen finden Sie in der Anleitung für "NetApp Lösungen für Ransomware".
Wenn all dies nun orchestriert und in SIEM-Tools integriert werden muss, kann OFFTAP-Service wie BlueXP Ransomware-Schutz verwendet werden. Dieser Service ist darauf ausgelegt, Daten vor Ransomware zu schützen. Dieser Service sichert applikationsbasierte Workloads wie Oracle, MySQL, VM-Datastores und File Shares in lokalem NFS-Storage.
In diesem Beispiel ist der NFS-Datastore „SRC_NFS_DS04“ durch BlueXP Ransomware-Schutz geschützt.
Ausführliche Informationen zum Konfigurieren von BlueXP -Ransomware-Schutz finden Sie unter "Einrichten des BlueXP Ransomware-Schutzes" und "Konfigurieren Sie BlueXP Ransomware-Schutzeinstellungen".
Es ist an der Zeit, dies anhand eines Beispiels zu erläutern. In dieser Anleitung ist der Datastore „SRC_NFS_DS04“ betroffen.
ARP hat bei der Erkennung sofort einen Snapshot auf dem Volume ausgelöst.
Sobald die forensische Analyse abgeschlossen ist, können die Wiederherstellungen mithilfe von SnapCenter oder BlueXP Ransomware-Schutz schnell und nahtlos durchgeführt werden. Wechseln Sie bei SnapCenter zu den betroffenen Virtual Machines, und wählen Sie den entsprechenden wiederherzustellenden Snapshot aus.
Dieser Abschnitt beschäftigt sich damit, wie der BlueXP Ransomware-Schutz die Recovery nach einem Ransomware-Vorfall orchestriert, bei dem die VM-Dateien verschlüsselt sind.
|
|
Wenn die VM durch SnapCenter gemanagt wird, stellt der BlueXP Ransomware-Schutz die VM mithilfe des VM-konsistenten Prozesses wieder in ihren vorherigen Zustand zurück. |
-
Auf den BlueXP Ransomware-Schutz zugreifen und eine Warnmeldung im BlueXP Dashboard für Ransomware-Schutz erscheint.
-
Klicken Sie auf die Warnmeldung, um die Vorfälle auf diesem bestimmten Volume für die generierte Warnmeldung zu überprüfen
-
Markieren Sie den Ransomware-Vorfall als bereit für die Wiederherstellung (nach dem Neutralisieren von Vorfällen), indem Sie „Wiederherstellung erforderlich markieren“ auswählen.
Die Warnung kann abgewiesen werden, wenn sich der Vorfall als falsch positiv herausstellt. -
Ging zur Registerkarte Recovery und überprüfe die Workload-Informationen auf der Recovery Seite und wähle das Datastore-Volume aus, das sich im Status „Restore needed“ befindet, und wähle Restore aus.
-
In diesem Fall ist der Umfang der Wiederherstellung „durch VM“ (für SnapCenter für VMs ist der Umfang der Wiederherstellung „durch VM“)
-
Wählen Sie den Wiederherstellungspunkt aus, mit dem die Daten wiederhergestellt werden sollen, und wählen Sie Ziel aus, und klicken Sie auf Wiederherstellen.
-
Wählen Sie im oberen Menü die Option Recovery, um die Arbeitslast auf der Seite Recovery zu überprüfen, auf der sich der Status des Vorgangs durch die Zustände bewegt. Sobald die Wiederherstellung abgeschlossen ist, werden die VM-Dateien wie unten gezeigt wiederhergestellt.
|
|
Die Wiederherstellung kann von SnapCenter für VMware oder SnapCenter Plugin, je nach Anwendung durchgeführt werden. |
Die NetApp Lösung bietet verschiedene effektive Tools für das Einsehnen, Erkennen und Beheben von Bedrohungen. So können Sie Ransomware frühzeitig erkennen, diese Ausbreitung verhindern und bei Bedarf schnell eine Wiederherstellung durchführen, um kostspielige Ausfallzeiten zu vermeiden. Traditionelle mehrschichtige Verteidigungslösungen sind nach wie vor weit verbreitet, ebenso wie Lösungen von Drittanbietern und Partnern für Transparenz und Erkennung. Eine effektive Gegenmaßnahmen sind nach wie vor ein wichtiger Teil der Reaktion auf Bedrohungen.