Ab ONTAP 9.16.1 verbessert ARP die Cyber-Resilienz durch ein Machine-Learning-Modell für Ransomware-Analysen, das ständig neue Formen von Ransomware mit einer Genauigkeit von 99 % erkennt. Das Machine-Learning-Modell von ARP ist sowohl vor als auch nach einem simulierten Ransomware-Angriff auf einen großen Datensatz mit Dateien vortrainiert. Dieses ressourcenintensive Training findet außerhalb von ONTAP statt, aber das Lernen aus diesem Training wird für das Modell in ONTAP verwendet.

Mit ARP/AI und FlexVol Volumen, gibt es kein Lernzeitraum. ARP/AI beginnt im aktiven Modus unmittelbar nach der Installation oder dem Upgrade auf 9.16. Nach der Aktualisierung des Clusters auf ONTAP 9.16.1 wird ARP/AI automatisch für vorhandene und neue FlexVol Volumes aktiviert, wenn ARP bereits für diese Volumes aktiviert ist.

"Erfahren Sie mehr über die Aktivierung von ARP/AI"

Um stets auf dem neuesten Stand zu sein und sich vor neuesten Ransomware-Bedrohungen zu schützen, bietet ARP/AI regelmäßige automatische Updates, die außerhalb von regelmäßigen ONTAP Upgrades und Release-Intervallen stattfinden. Wenn Sie dann haben, "Automatische Updates aktiviert"können Sie auch beginnen, automatische Sicherheitsupdates für ARP/AI zu erhalten, nachdem Sie automatische Updates für Sicherheitsdateien ausgewählt haben. Sie können diese Aktualisierungen auch manuell vornehmen und steuern, wann die Aktualisierungen durchgeführt werden.

Ab ONTAP 9.16.1 stehen über System Manager zusätzlich zu System- und Firmware-Updates Sicherheitsupdates für ARP/AI zur Verfügung.

"Weitere Informationen zu ARP/AI-Updates"

ARP-Unterstützung ist im enthalten"ONTAP ONE Lizenz". Wenn Sie nicht über die ONTAP One-Lizenz verfügen, stehen andere Lizenzen zur Verfügung, um ARP zu verwenden, die sich je nach Ihrer ONTAP-Version unterscheiden.

"Erfahren Sie mehr über das Zurücksetzen von ARP".

Eine effektive Strategie zur Erkennung von Ransomware sollte mehr als nur eine einzige Sicherungsebene umfassen.

Eine Analogie wäre die Sicherheit eines Fahrzeugs. Sie verlassen sich nicht auf eine einzelne Funktion, wie einen Sicherheitsgurt, um Sie bei einem Unfall komplett zu schützen. Airbags, Anti-Lock-Bremsen und Vorkollisionswarnung sind weitere Sicherheitsmerkmale, die zu einem viel besseren Ergebnis führen. Ransomware-Schutz sollte in der gleichen Weise betrachtet werden.

Während ONTAP Funktionen wie FPolicy, Snapshots, SnapLock und Active IQ Digital Advisor (auch als digitaler Berater bekannt) zum Schutz vor Ransomware umfasst, konzentriert sich die folgende Information auf die ARP-integrierte Funktion mit Machine-Learning-Funktionen.

Weitere Informationen zu den weiteren Anti-Ransomware-Funktionen von ONTAP finden Sie unter "Ransomware und das Datensicherungsportfolio von NetApp".

ARP wurde zum Schutz vor Denial-of-Service-Angriffen entwickelt, bei denen der Angreifer Daten zurückhält, bis ein Lösegeld bezahlt wird. ARP bietet die Echtzeiterkennung von Ransomware auf der Basis von:

ARP erkennt die Ausbreitung der meisten Ransomware-Angriffe, nachdem nur wenige Dateien verschlüsselt sind, automatisch Maßnahmen zur Datensicherung ergreifen und Sie darauf aufmerksam machen, dass im Verdacht stehende Angriffe auf einen Angriff stattfindet.

ARP verfügt über zwei Modi:

Für alle ARP, die mit ONTAP 9.10.1 bis 9.15.1 ausgeführt werden und ARP für FlexGroup-Volumes mit ONTAP 9.16.1 verwendet wird, läuft ARP im Learning-Modus. Im Lernmodus entwickelt das ONTAP System ein Warnmeldungsprofil auf der Grundlage der Analysebereiche Entropie, Dateierweiterungstypen und Datei-IOPS. Nachdem Sie ARP im Learning-Modus ausreichend Zeit ausgeführt haben, um Workload-Merkmale zu bewerten, können Sie in den aktiven Modus wechseln und mit dem Schutz Ihrer Daten beginnen.

Es wird empfohlen, ARP 30 Tage lang im Lernmodus zu belassen. Ab ONTAP 9.13.1 bestimmt ARP automatisch das optimale Lernintervall und automatisiert den Switch, der vor 30 Tagen auftreten kann.

Bei ARP, die mit ONTAP 9.10.1 bis 9.15.1 ausgeführt werden, wechselt ARP nach Abschluss des optimalen Lernintervalls in den aktiven Modus. Mit ARP/AI ab ONTAP 9.16.1, gibt es keine Lernphase, in der ARP mit FlexVol Volumes verwendet wird. ARP/AI auf FlexVol Volumes beginnt unmittelbar nach der Installation oder dem Upgrade auf 9.16.1 im aktiven Modus. Wenn Sie ONTAP 9.16.1 und ARP mit FlexGroup Volumes verwenden, ist vor der Umstellung auf den aktiven Modus noch ein Lernzeitraum erforderlich.

Nachdem ARP in den aktiven Modus gewechselt ist, erstellt ONTAP ARP-Snapshots, um die Daten zu schützen, wenn eine Bedrohung erkannt wird.

Wenn im aktiven Modus eine Dateierweiterung als anormal gekennzeichnet ist, sollten Sie die Warnmeldung auswerten. Sie können auf die Warnung reagieren, um Ihre Daten zu schützen, oder Sie können die Warnung als falsch positiv markieren. Wenn Sie eine Warnung als falsch positiv markieren, wird das Warnungsprofil aktualisiert. Wenn die Warnmeldung beispielsweise durch eine neue Dateierweiterung ausgelöst wird und Sie die Warnmeldung als falsch positiv markieren, erhalten Sie beim nächsten Mal keine Warnmeldung, wenn diese Dateierweiterung beobachtet wird.

Im aktiven Modus bewertet ARP die Bedrohungswahrscheinlichkeit anhand eingehender Daten, die mit gelernten Analysen gemessen werden. Eine Messung wird zugewiesen, wenn ARP eine Bedrohung erkennt:

In einer Situation mit geringen Bedrohungen erkennt ONTAP eine Anomalie und erstellt einen Snapshot des Volumes, um den besten Recovery-Punkt zu erstellen. ONTAP setzt den Namen des ARP-Snapshots voraus Anti-ransomware-backup, um ihn leicht identifizierbar zu machen, zum Beispiel Anti_ransomware_backup.2022-12-20_1248 .

Die Bedrohung wird eskaliert und mäßig, nachdem ONTAP einen Analysebericht ausgeführt hat und festgestellt hat, ob die Anomalie mit einem Ransomware-Profil übereinstimmt. Bedrohungen, die auf der niedrigen Ebene bleiben, werden protokolliert und im Abschnitt Ereignisse von System Manager sichtbar. Wenn die Angriffswahrscheinlichkeit mäßig ist, generiert ONTAP eine EMS-Benachrichtigung, in der Sie aufgefordert werden, die Bedrohung zu bewerten. ONTAP sendet keine Warnungen über niedrige Bedrohungen, jedoch beginnend mit ONTAP 9.14.1, können Sie Ändern Sie die Einstellungen für Warnmeldungen. Weitere Informationen finden Sie unter Reagieren Sie auf ungewöhnliche Aktivitäten.

Sie können Informationen zu einer Bedrohung, unabhängig von der Ebene, im Abschnitt Ereignisse des System Managers oder mit dem Befehl anzeigen security anti-ransomware volume show.

Einzelne ARP-Snapshots werden zwei Tage aufbewahrt. Wenn mehrere ARP-Snapshots vorhanden sind, werden diese standardmäßig fünf Tage aufbewahrt. Ab ONTAP 9.11.1 können Sie die Aufbewahrungseinstellungen ändern. Weitere Informationen finden Sie unter Ändern Sie die Optionen für Snapshots.

Wenn ein Angriff vermutet wird, erstellt das System zu diesem Zeitpunkt einen Volume-Snapshot und sperrt diese Kopie. Wenn der Angriff später bestätigt wird, kann das Volume mithilfe des ARP-Snapshots wiederhergestellt werden.

Gesperrte Snapshots können nicht normal gelöscht werden. Wenn Sie sich jedoch später entscheiden, den Angriff als falsch positiv zu markieren, wird die gesperrte Kopie gelöscht.

Mit dem Wissen über die betroffenen Dateien und dem Zeitpunkt des Angriffs ist es möglich, die betroffenen Dateien selektiv aus verschiedenen Snapshots wiederherzustellen, anstatt das gesamte Volume einfach auf einen der Snapshots zurückzugreifen.

ARP baut auf bewährte ONTAP-Technologie zur Datensicherung und Disaster Recovery auf, um auf Ransomware-Angriffe zu reagieren. Weitere Informationen zur Wiederherstellung von Daten finden Sie in den folgenden Themen.

Ab ONTAP 9.13.1 wird empfohlen, die Multi-Admin-Verifizierung (MAV) zu aktivieren, sodass für die ARP-Konfiguration (Autonomous Ransomware Protection) mindestens zwei authentifizierte Benutzeradministratoren erforderlich sind. Weitere Informationen finden Sie unter "Aktivieren Sie die Verifizierung durch mehrere Administratoren".