Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Informieren Sie sich über den autonomen Ransomware-Schutz von ONTAP

Beitragende netapp-dbagwell netapp-ahibbard netapp-aaron-holt netapp-aherbin netapp-forry netapp-lenida netapp-adlove pixelchrome netapp-thomi netapp-barbe
PDFs

Ab ONTAP 9.10.1 können ONTAP -Administratoren Autonomous Ransomware Protection (ARP) aktivieren, um Workload-Analysen in NAS-Umgebungen (NFS und SMB) durchzuführen und so proaktiv ungewöhnliche Aktivitäten zu erkennen und davor zu warnen, die auf einen Ransomware-Angriff hindeuten könnten. Ab ONTAP 9.17.1 unterstützt ARP auch Blockgeräte-Volumes, einschließlich SAN-Volumes mit LUNs oder NVMe-Namespaces oder NAS-Volumes mit virtuellen Festplatten von Hypervisoren wie VMware.

ARP ist direkt in ONTAP integriert und gewährleistet die integrierte Steuerung und Koordination mit den anderen Funktionen von ONTAP. ARP arbeitet in Echtzeit, verarbeitet Daten beim Schreiben oder Lesen in das Dateisystem und erkennt und reagiert schnell auf potenzielle Ransomware-Angriffe.

ARP erstellt in regelmäßigen Abständen zusätzlich zu geplanten Snapshots gesperrte Snapshots für zusätzlichen Schutz. Es verwaltet intelligent, wie lange Snapshots aufbewahrt werden. Werden keine ungewöhnlichen Aktivitäten erkannt, werden die Snapshots schnell wiederverwendet. Wird jedoch ein Angriff erkannt, wird ein vor Beginn des Angriffs erstellter Snapshot für einen längeren Zeitraum aufbewahrt.

Lizenzen und Enablement

ARP-Unterstützung ist im Lieferumfang enthalten."ONTAP One-Lizenz" Die Wenn Sie nicht über die ONTAP One-Lizenz verfügen, stehen Ihnen für die ARP-Nutzung andere Lizenzen zur Verfügung, die sich je nach Ihrer ONTAP-Version unterscheiden

ONTAP-Versionen Lizenz

ONTAP 9.11.1 und höher

Anti_ransomware

ONTAP 9.10.1

MT_EK_MGMT (Multi-Tenant-Schlüsselverwaltung)

  • Wenn Sie von ONTAP 9.10.1 auf ONTAP 9.11.1 oder höher aktualisieren und ARP bereits auf Ihrem System konfiguriert ist, müssen Sie die neue Anti-ransomware Lizenz. Für neue ARP-Konfigurationen ist die neue Lizenz erforderlich.

  • Wenn Sie von ONTAP 9.11.1 oder höher auf ONTAP 9.10.1 zurückkehren und ARP mit der Anti_ransomware-Lizenz aktiviert haben, wird eine Warnmeldung angezeigt und Sie müssen ARP möglicherweise neu konfigurieren. "Erfahren Sie mehr über das Zurücksetzen von ARP" .

"Sie können Autonomous Ransomware Protection (ARP) auf einem vorhandenen Volume aktivieren oder ein neues Volume erstellen und ARP aktivieren" .

ONTAP Strategie zum Schutz der Ransomware

Eine wirksame Strategie zur Erkennung von Ransomware sollte mehr als nur eine Schutzebene umfassen. Betrachten Sie als Analogie die Sicherheitsmerkmale eines Fahrzeugs. Sie sind bei einem Unfall nicht auf eine einzelne Funktion wie etwa einen Sicherheitsgurt angewiesen, um vollständig geschützt zu sein. Airbags, Antiblockiersystem und Auffahrwarnsystem sind Sicherheitsfunktionen, die zusammen zu einem besseren Ergebnis führen. Der Schutz vor Ransomware sollte auf die gleiche Weise betrachtet werden.

Während ONTAP Funktionen wie FPolicy, Snapshots, SnapLock und Active IQ Digital Advisor (auch bekannt als Digital Advisor) zum Schutz vor Ransomware enthält, konzentrieren sich die folgenden Informationen auf die ARP-Funktion mit Machine-Learning-Funktionen.

Weitere Informationen zu weiteren Funktionen im NetApp -Portfolio zum Schutz vor Ransomware finden Sie unter "Ransomware und das Datensicherungsportfolio von NetApp" .

Was ARP erkennt

ONTAP ARP schützt vor Denial-of-Service-Angriffen, bei denen der Angreifer Daten zurückhält, bis ein Lösegeld gezahlt wird. ARP bietet Ransomware-Erkennung in Echtzeit basierend auf folgenden Kriterien:

  • Identifizierung eingehender Daten als verschlüsselt oder im Klartext.

  • Analysen, die Folgendes erkennen:

    • Entropie: (Wird in NAS und SAN verwendet) Eine Bewertung der Zufälligkeit von Daten in einer Datei

    • Dateierweiterungstypen: (Nur in NAS verwendet) Eine Dateierweiterung, die nicht den erwarteten Erweiterungstypen entspricht

    • Datei-IOPS: (Wird in NAS erst ab ONTAP 9.11.1 verwendet) Ein Anstieg der anormalen Volume-Aktivität mit Datenverschlüsselung

ARP erkennt die Ausbreitung der meisten Ransomware-Angriffe, nachdem nur eine kleine Anzahl von Dateien verschlüsselt wurde, reagiert automatisch, um die Daten zu schützen, und warnt Sie, wenn ein mutmaßlicher Angriff stattfindet.

Hinweis Kein Ransomware-Erkennungssystem kann vollständige Sicherheit garantieren. ARP bietet eine zusätzliche Verteidigungsebene, wenn die Antivirensoftware einen Eindringling nicht erkennt.

Erfahren Sie mehr über ARP-Modi

Nachdem ARP für ein Volume aktiviert wurde, beginnt eine Lernphase, um eine Basislinie festzulegen. ARP analysiert Systemmetriken, um ein Alarmprofil zu entwickeln, bevor in den aktiven Erkennungsmodus gewechselt wird. Im aktiven Modus überwacht ARP abnormale Aktivitäten, ergreift Schutzmaßnahmen und generiert Warnungen, wenn es abnormales Verhalten erkennt.

Bei ARP unterscheiden sich das Verhalten im Lernmodus und im aktiven Modus je nach ONTAP Version, Volume-Typ und Protokoll (NAS oder SAN).

NAS-Umgebungen und Modustypen

Die folgende Tabelle fasst die Unterschiede zwischen ONTAP 9.10.1 und späteren Versionen für NAS-Umgebungen zusammen.

Bei Versionen mit dem älteren ARP-Modell wird eine Lernphase empfohlen, bevor die aktive Überwachung beginnt. Für NAS-Umgebungen, die Folgendes unterstützenARP/AI Es gibt keine Einarbeitungszeit, die aktive Überwachung beginnt sofort.

Modus Beschreibung Datenträgertypen und -versionen

Lernen

Bei bestimmten ONTAP Versionen und bestimmten Volume-Typen wird ARP automatisch in den Lernmodus versetzt, wenn Sie ARP aktivieren. Im Lernmodus entwickelt das ONTAP -System ein Alarmprofil basierend auf den Analysebereichen Entropie, Dateierweiterungstypen und Datei-IOPS.

Es wird empfohlen, ARP 30 Tage lang im Lernmodus zu belassen. Ab ONTAP 9.13.1 ermittelt ARP automatisch das optimale Lernintervall und automatisiert den Wechsel, der möglicherweise schon vor 30 Tagen erfolgt. Bei Versionen vor ONTAP 9.13.1 können Sie die Umstellung manuell vornehmen.

Ab ONTAP 9.16.1 für FlexVol -Volumes gibt es nur noch den aktiven Modus, und der Lernmodus wird bei jedem FlexVol Volume, das auf diese Version oder höher aktualisiert wird, automatisch in den aktiven Modus überführt.

Bei ONTAP 9.16.1 bis 9.17.1 werden FlexGroup Volumes noch nicht von ARP/AI unterstützt und verwenden weiterhin das ältere ARP-Modell. Aus diesem Grund wird für diese Versionen mit FlexGroup -Volumes weiterhin eine Einarbeitungszeit empfohlen.

Ab ONTAP 9.18.1 gibt es für FlexVol und FlexGroup -Volumes nur noch den aktiven Modus. Alle aktualisierten Volumes werden automatisch in den aktiven Modus geschaltet.

"Erfahren Sie mehr über den Wechsel vom Lern- in den Aktivmodus" .

Tipp Der Befehl security anti-ransomware volume workload-behavior show zeigt Dateierweiterungen an, die im Volume erkannt wurden. Wenn Sie diesen Befehl früh im Lernmodus ausführen und er eine genaue Darstellung der Dateitypen zeigt, sollten Sie diese Daten nicht als Grundlage für den Wechsel in den aktiven Modus verwenden, da ONTAP weiterhin andere Metriken sammelt. Erfahren Sie mehr über security anti-ransomware volume workload-behavior show in der "ONTAP-Befehlsreferenz".

  • FlexVol -Volumes mit ONTAP 9.10.1 bis 9.15.1

  • FlexGroup Volumes mit ONTAP 9.13.1 bis ONTAP 9.17.1

Aktiv

Wenn im aktiven Modus eine Dateierweiterung als ungewöhnlich gekennzeichnet wird, sollten Sie die Warnung auswerten. Sie können auf die Warnung reagieren, um Ihre Daten zu schützen, oder sie als falsch positiv markieren. Durch die Markierung einer Warnung als falsch positiv wird das Warnungsprofil aktualisiert. Wenn die Warnung beispielsweise durch eine neue Dateierweiterung ausgelöst wird und Sie sie als falsch positiv markieren, erhalten Sie beim nächsten Auftreten der Dateierweiterung keine Warnung mehr.

Alle unterstützten ONTAP -Versionen und FlexVol und FlexGroup -Volumes

SAN-Umgebungen und Modustypen

SAN-Umgebungen nutzen Evaluierungsphasen (ähnlich den Lernmodi in NAS-Umgebungen), bevor sie automatisch zur aktiven Erkennung wechseln. Die folgende Tabelle fasst die Evaluierungs- und aktiven Modi zusammen.

Modus Beschreibung Datenträgertypen und -versionen

Auswertung

Zur Ermittlung des grundlegenden Verschlüsselungsverhaltens wird eine zwei- bis vierwöchige Evaluierungsphase durchgeführt, während ARP/AI während der Evaluierungsphase einen sofortigen aktiven Schutz für SAN-Volumes gewährleistet. Erkennungen und Warnmeldungen können bereits während der Festlegung von Basisschwellenwerten erfolgen. Sie können feststellen, ob der Evaluierungszeitraum abgeschlossen ist, indem Sie den folgenden Befehl ausführen: security anti-ransomware volume show Befehl und Überprüfung Block device detection status Die

"Erfahren Sie mehr über SAN-Volumes und den Entropie-Evaluierungszeitraum" .

  • FlexVol -Volumes mit ONTAP 9.17.1 und höher

Aktiv

Nach dem Testzeitraum können Sie feststellen, ob der ARP-SAN-Schutz aktiv ist, indem Sie den Befehl security anti-ransomware volume show ausführen und prüfen, ob Block device detection status. Active_suitable_workload zeigt an, dass die ausgewertete Entropiemenge erfolgreich überwacht werden kann. ARP passt den adaptiven Schwellenwert automatisch anhand der während der Auswertung überprüften Daten an.

  • FlexVol -Volumes mit ONTAP 9.17.1 und höher

Bedrohungsbewertung und ARP-Snapshots

ARP bewertet die Bedrohungswahrscheinlichkeit anhand eingehender Daten und vergleicht diese mit erlernten Analysen. Wenn ARP eine Anomalie erkennt, wird eine Messung zugewiesen. Ein Snapshot kann zum Zeitpunkt der Erkennung oder in regelmäßigen Abständen zugewiesen werden.

ARP-Schwellenwerte

  • Low: Früheste Erkennung einer Anomalie im Volume (z.B. wird eine neue Dateierweiterung im Volume beobachtet). Diese Erkennungsstufe ist nur in Versionen vor ONTAP 9.16.1 verfügbar, die nicht über ARP/AI verfügen.

  • Moderat: Es wird eine hohe Entropie erkannt oder es werden mehrere Dateien mit derselben noch nie dagewesenen Dateierweiterung beobachtet. Dies ist die Basiserkennungsstufe in ONTAP 9.16.1 und höher mit ARP/AI.

Die Bedrohung wird auf mittel eingestuft, nachdem ONTAP einen Analysebericht erstellt hat, der feststellt, ob die Anomalie mit einem Ransomware-Profil übereinstimmt. Bei mittlerer Angriffswahrscheinlichkeit generiert ONTAP eine EMS-Benachrichtigung mit der Aufforderung, die Bedrohung zu bewerten. ONTAP sendet keine Warnungen über geringe Bedrohungen; ab ONTAP 9.14.1 können Sie jedoch "Standard-Alarmeinstellungen ändern". Weitere Informationen finden Sie unter "Reagieren Sie auf ungewöhnliche Aktivitäten" .

Sie können Informationen über moderate Bedrohungen im Abschnitt Ereignisse des System Managers oder mit dem Befehl anzeigen security anti-ransomware volume show. Ereignisse mit geringen Bedrohungen können auch mit dem Befehl in Versionen vor ONTAP 9.16.1 angezeigt werden security anti-ransomware volume show, die nicht über ARP/AI verfügen. Erfahren Sie mehr über security anti-ransomware volume show in der "ONTAP-Befehlsreferenz".

ARP-Schnappschüsse

ARP erstellt einen Snapshot, wenn erste Anzeichen eines Angriffs erkannt werden. Anschließend wird eine detaillierte Analyse durchgeführt, um den potenziellen Angriff zu bestätigen oder auszuschließen. Da ARP-Snapshots proaktiv erstellt werden, noch bevor ein Angriff vollständig bestätigt ist, können sie für bestimmte legitime Anwendungen auch in regelmäßigen Abständen generiert werden. Das Vorhandensein dieser Snapshots sollte nicht als Anomalie betrachtet werden. Wenn ein Angriff bestätigt wird, wird die Angriffswahrscheinlichkeit auf Moderate und eine Angriffsbenachrichtigung wird generiert.

Ab ONTAP 9.17.1 werden ARP-Snapshots in regelmäßigen Abständen sowohl für NAS- als auch für SAN-Volumes sowie als Reaktion auf erkannte Anomalien generiert. ONTAP stellt dem ARP-Snapshot einen Namen voran, um ihn leicht identifizierbar zu machen.

Ab ONTAP 9.11.1 können Sie die Aufbewahrungseinstellungen ändern. Weitere Informationen finden Sie unter "Ändern Sie die Optionen für Snapshots" .

Die folgende Tabelle fasst die Unterschiede der ARP-Snapshots nach Version zusammen.

Funktion ONTAP 9.17.1 und höher ONTAP 9.16.1 und früher

Erstellungstrigger

  • Snapshots werden in festen 4-Stunden-Intervallen erstellt, unabhängig von einem bestimmten Auslöser

  • Bestätigung eines Angriffs

Je nach Triggertyp wird ein „periodischer“ oder „Angriffs“-Snapshot erstellt.

  • Hohe Entropie wird erkannt

  • Eine neue Dateierweiterung wurde erkannt (9.15.1 und früher)

  • Es wurde ein Anstieg der Dateivorgänge erkannt (9.15.1 und früher).

Das Intervall zur Snapshot-Erstellung basiert auf dem Triggertyp.

Konvention für vorangestellte Namen

"Anti_ransomware_periodic_backup" "Anti_ransomware_attack_backup"

"Anti_ransomware_backup"

Löschverhalten

Der ARP-Snapshot ist gesperrt und kann vom Administrator nicht gelöscht werden

Der ARP-Snapshot ist gesperrt und kann vom Administrator nicht gelöscht werden

Maximale Snapshot-Anzahl

"Konfigurierbares Limit für sechs Snapshots"

"Konfigurierbares Limit für sechs Snapshots"

Aufbewahrungsfrist

Snapshots werden normalerweise 12 Stunden lang aufbewahrt.

  • NAS-Volumes: Wenn ein Angriff durch eine Dateianalyse bestätigt wird, werden vor dem Angriff erstellte Snapshots aufbewahrt, bis der Administrator den Angriff als wahr oder falsch positiv (klar verdächtig) markiert.

  • SAN-Volume oder VM-Datenspeicher: Wenn ein Angriff durch eine Block-Entropie-Analyse bestätigt wird, werden vor dem Angriff erstellte Snapshots 10 Tage lang aufbewahrt (konfigurierbar).

  • Wird anhand der Auslösebedingungen bestimmt (nicht festgelegt)

  • Vor dem Angriff erstellte Snapshots bleiben erhalten, bis der Administrator den Angriff als wahr oder falsch positiv (eindeutig verdächtig) markiert.

Eindeutig verdächtige Aktion

Administratoren können eine Clear-Suspect-Aktion ausführen, die die Aufbewahrung basierend auf einer Bestätigung festlegt:

  • 24 Stunden für falsch-positive Retention

  • 7 Tage für echte positive Retention

Administratoren können eine Clear-Suspect-Aktion ausführen, die die Aufbewahrung basierend auf einer Bestätigung festlegt:

  • 24 Stunden für falsch-positive Retention

  • 7 Tage für echte positive Retention

Dieses vorsorgliche Aufbewahrungsverhalten gibt es vor ONTAP 9.16.1 nicht.

Ablaufzeit

Für alle Snapshots ist eine Ablaufzeit festgelegt

Keine

Wiederherstellung von Daten im ONTAP nach einem Ransomware-Angriff

ARP basiert auf der bewährten ONTAP Datenschutz- und Disaster-Recovery-Technologie, um auf Ransomware-Angriffe zu reagieren. ARP erstellt gesperrte Snapshots, wenn erste Anzeichen eines Angriffs erkannt werden. Sie müssen zunächst bestätigen, ob es sich um einen echten Angriff oder einen Fehlalarm handelt. Sobald der Angriff bestätigt ist, kann das Volume mithilfe des ARP-Snapshots wiederhergestellt werden.

Gesperrte Snapshots können nicht auf herkömmliche Weise gelöscht werden. Wenn Sie sich jedoch später dazu entschließen, den Angriff als falsch positiv zu markieren, löscht ONTAP die gesperrte Kopie.

Sie können betroffene Dateien aus ausgewählten Snapshots wiederherstellen, anstatt das gesamte Volume zurückzusetzen.

Weitere Informationen zum Reagieren auf einen Angriff und zur Wiederherstellung von Daten finden Sie in den folgenden Themen:

Schutz zur Verifizierung durch mehrere Administratoren für ARP

Ab ONTAP 9.13.1 wird empfohlen, die Multi-Admin-Verifizierung (MAV) zu aktivieren, sodass für die ARP-Konfiguration (Autonomous Ransomware Protection) mindestens zwei authentifizierte Benutzeradministratoren erforderlich sind. Weitere Informationen finden Sie unter "Aktivieren Sie die Verifizierung durch mehrere Administratoren".

Autonomer Ransomware-Schutz mit künstlicher Intelligenz (ARP/AI)

Ab ONTAP 9.16.1 verbessert ARP die Cyber-Resilienz durch die Einführung eines Machine-Learning-Modells für Anti-Ransomware-Analysen, das sich ständig weiterentwickelnde Formen von Ransomware mit einer Genauigkeit von 99 % in NAS-Umgebungen erkennt. Machine-Learning-Modell von ARP wird vor und nach einem simulierten Ransomware-Angriff anhand eines großen Datensatzes vortrainiert. Dieses ressourcenintensive Training erfolgt außerhalb von ONTAP mithilfe von Open-Source-Datensätzen aus der forensischen Forschung. Kundendaten werden während der gesamten Modellierungspipeline nicht verwendet, und Datenschutzprobleme bestehen nicht. Das aus diesem Training resultierende vortrainierte Modell ist im Lieferumfang von ONTAP enthalten. Dieses Modell ist weder über die ONTAP CLI noch über die ONTAP API zugänglich oder veränderbar.

Sofortiger Übergang zum aktiven Schutz für ARP/AI

Mit ARP/AI gibt es keineLernzeitraum Die ARP/AI ist unmittelbar nach der Installation oder dem Upgrade für die folgenden unterstützten Datenträgertypen aktiv:

  • NAS FlexVol Volumes mit ONTAP 9.16.1 und höher

  • NAS FlexGroup Volumes mit ONTAP 9.18.1 und höher

  • SAN-Volumes mit ONTAP 9.17.1 und höher (sofort aktiv, auch während der"Evaluierungszeitraum" )

Bei bestehenden und neuen Volumes, bei denen die ARP-Funktionalität bereits aktiviert ist, wird der ARP/AI-Schutz automatisch aktiviert, nachdem Sie Ihren Cluster auf eine ARP/AI-fähige ONTAP Version aktualisiert haben.

Automatische ARP/AI Updates

Um den Schutz vor den neuesten Ransomware-Bedrohungen auf dem neuesten Stand zu halten, bietet ARP/AI regelmäßige automatische Updates, die außerhalb der regulären ONTAP -Upgrade- und Release-Kalender erfolgen. Wenn Sie "Automatische Updates aktiviert" Dann können Sie auch automatische Sicherheitsupdates für ARP/AI erhalten, nachdem Sie automatische Updates für Sicherheitsdateien ausgewählt haben. Sie können auch wählen, "Nehmen Sie diese Aktualisierungen manuell vor" und steuern Sie, wann die Aktualisierungen erfolgen.

Ab ONTAP 9.16.1 stehen über System Manager zusätzlich zu System- und Firmware-Updates Sicherheitsupdates für ARP/AI zur Verfügung.

"Weitere Informationen zu ARP/AI-Updates"

Verwandte Informationen