Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Autonome Ransomware-Schutz – Übersicht

Beitragende

Seit ONTAP 9.10.1 nutzt die Funktion Autonomous Ransomware Protection (ARP) Workload-Analysen in NAS-Umgebungen (NFS und SMB), um ungewöhnliche Aktivitäten, die auf einen Ransomware-Angriff hinweisen, proaktiv zu erkennen und zu warnen.

Wenn ein Angriff vermutet wird, erstellt ARP zusätzlich zu dem bestehenden Schutz vor geplanten Snapshot-Kopien auch neue Snapshot-Kopien.

Lizenzen und Enablement

ARP erfordert eine Lizenz. ARP ist mit dem verfügbar "ONTAP ONE Lizenz". Wenn Sie nicht über die ONTAP One-Lizenz verfügen, stehen andere Lizenzen zur Verfügung, um ARP zu verwenden. Diese unterscheiden sich je nach Ihrer ONTAP-Version.

ONTAP-Versionen Lizenz

ONTAP 9.11.1 und höher

Anti_Ransomware

ONTAP 9.10.1

MT_EK_MGMT (mandantenfähiger Schlüsselmanagement)

  • Wenn Sie ein Upgrade auf ONTAP 9.11.1 oder höher durchführen und ARP bereits auf Ihrem System konfiguriert ist, müssen Sie die neue Anti-Ransomware-Lizenz nicht erwerben. Für neue ARP-Konfigurationen ist die neue Lizenz erforderlich.

  • Wenn Sie von ONTAP 9.11.1 oder höher auf ONTAP 9.10.1 zurücksetzen und ARP mit der Anti-Ransomware-Lizenz aktiviert haben, wird eine Warnmeldung angezeigt und muss unter Umständen ARP neu konfigurieren. "Erfahren Sie mehr über das Zurücksetzen von ARP".

Sie können ARP entweder mit System Manager oder mit der ONTAP CLI für einzelne Volumes konfigurieren.

ONTAP Strategie zum Schutz der Ransomware

Eine effektive Strategie zur Erkennung von Ransomware sollte mehr als nur eine einzige Sicherungsebene umfassen.

Eine Analogie wäre die Sicherheit eines Fahrzeugs. Sie verlassen sich nicht auf eine einzelne Funktion, wie einen Sicherheitsgurt, um Sie bei einem Unfall komplett zu schützen. Airbags, Anti-Lock-Bremsen und Vorkollisionswarnung sind weitere Sicherheitsmerkmale, die zu einem viel besseren Ergebnis führen. Ransomware-Schutz sollte in der gleichen Weise betrachtet werden.

Während ONTAP Funktionen wie FPolicy, Snapshot-Kopien, SnapLock und Active IQ Digital Advisor zum Schutz vor Ransomware umfasst, konzentriert sich die folgenden Informationen auf die ARP-integrierte Funktion mit Machine-Learning-Funktionen.

Weitere Informationen zu den weiteren Anti-Ransomware-Funktionen von ONTAP finden Sie unter "TR-4572: NetApp Lösung gegen Ransomware"

Was ARP erkennt

ARP wurde zum Schutz vor Denial-of-Service-Angriffen entwickelt, bei denen der Angreifer Daten zurückhält, bis ein Lösegeld bezahlt wird. ARP bietet die Erkennung von Ransomware auf der Basis von:

  • Identifizierung der eingehenden Daten als verschlüsselt oder als Klartext.

  • Analytics, die erkennt

    • Entropie: Eine Auswertung der Zufälligkeit der Daten in einer Datei

    • Dateierweiterungstypen: Eine Erweiterung, die nicht dem normalen Erweiterungstyp entspricht

    • Datei-IOPS: Ein Anstieg der anormalen Volume-Aktivität mit Datenverschlüsselung (ab ONTAP 9.11.1)

ARP erkennt die Ausbreitung der meisten Ransomware-Angriffe, nachdem nur wenige Dateien verschlüsselt sind, automatisch Maßnahmen zur Datensicherung ergreifen und Sie darauf aufmerksam machen, dass im Verdacht stehende Angriffe auf einen Angriff stattfindet.

Hinweis Kein Ransomware-Erkennungs- oder Präventionssystem kann die Sicherheit bei einem Ransomware-Angriff vollständig gewährleisten. Obwohl es möglich ist, dass ein Angriff unentdeckt bleibt, fungiert ARP als wichtige zusätzliche Verteidigungsschicht, wenn Antivirensoftware einen Angriff nicht erkennt.

Lernen und aktive Modi

ARP verfügt über zwei Modi:

  1. Lernen (oder „Probelauf“-Modus)

  2. Aktiv (oder „aktiviert“-Modus)

Wenn Sie ARP aktivieren, wird es im Lernmodus ausgeführt. Im Lernmodus entwickelt das ONTAP System ein Warnmeldungsprofil auf der Grundlage der Analysebereiche Entropie, Dateierweiterungstypen und Datei-IOPS. Nachdem Sie ARP im Learning-Modus ausreichend Zeit ausgeführt haben, um Workload-Merkmale zu bewerten, können Sie in den aktiven Modus wechseln und mit dem Schutz Ihrer Daten beginnen. Sobald ARP in den aktiven Modus gewechselt ist, erstellt ONTAP ARP-Snapshots, um die Daten zu schützen, wenn eine Bedrohung erkannt wird.

Es wird empfohlen, ARP 30 Tage lang im Lernmodus zu belassen. Ab ONTAP 9.13.1 bestimmt ARP automatisch das optimale Lernintervall und automatisiert den Switch, der vor 30 Tagen auftreten kann.

Wenn im aktiven Modus eine Dateierweiterung als anormal gekennzeichnet ist, sollten Sie die Warnmeldung auswerten. Sie können auf die Warnung reagieren, um Ihre Daten zu schützen, oder Sie können die Warnung als falsch positiv markieren. Wenn Sie eine Warnung als falsch positiv markieren, wird das Warnungsprofil aktualisiert. Wenn die Warnmeldung beispielsweise durch eine neue Dateierweiterung ausgelöst wird und Sie die Warnmeldung als falsch positiv markieren, erhalten Sie beim nächsten Mal keine Warnmeldung, wenn diese Dateierweiterung beobachtet wird. Der Befehl security anti-ransomware volume workload-behavior show Zeigt Dateierweiterungen an, die im Volume erkannt wurden. (Wenn Sie diesen Befehl zu Beginn des Lernmodus ausführen und er eine genaue Darstellung der Dateitypen anzeigt, sollten Sie diese Daten nicht als Grundlage für den Wechsel in den aktiven Modus verwenden, da ONTAP weiterhin andere Metriken sammelt.)

Ab ONTAP 9.11.1 können Sie die Erkennungsparameter für ARP anpassen. Weitere Informationen finden Sie unter Verwalten von ARP-Angriffserkennungsparametern.

Bedrohungsbewertung und ARP-Snapshots

Im aktiven Modus bewertet ARP die Bedrohungswahrscheinlichkeit anhand eingehender Daten, die mit gelernten Analysen gemessen werden. Eine Messung wird zugewiesen, wenn ARP eine Bedrohung erkennt:

  • Low: Früheste Erkennung einer Anomalie im Volume (z.B. wird eine neue Dateierweiterung im Volume beobachtet).

  • Mittel: Es werden mehrere Dateien mit derselben nie zuvor gesehenen Dateierweiterung beobachtet.

    • In ONTAP 9.10.1 liegt der Schwellenwert für die Eskalation auf moderat bei 100 oder mehr Dateien. Ab ONTAP 9.11.1 kann die Dateimenge geändert werden; der Standardwert ist 20.

In einer Situation mit geringen Bedrohungen erkennt ONTAP eine Anomalie und erstellt einen Snapshot des Volumes, um den besten Recovery-Punkt zu erstellen. Der ARP-Snapshot verwendet den anti-ransomware-backup Tag und ist beispielsweise durch seinen Namen identifizierbar Anti_ransomware_backup.2022-12-20_1248.

Die Bedrohung wird eskaliert und mäßig, nachdem ONTAP einen Analysebericht ausgeführt hat und festgestellt hat, ob die Anomalie mit einem Ransomware-Profil übereinstimmt. Bedrohungen, die auf der niedrigen Ebene bleiben, werden protokolliert und im Abschnitt Ereignisse von System Manager sichtbar. Wenn die Angriffswahrscheinlichkeit mäßig ist, generiert ONTAP eine EMS-Benachrichtigung, in der Sie aufgefordert werden, die Bedrohung zu bewerten. ONTAP sendet keine Warnungen über geringe Bedrohungen, aber ab ONTAP 9.14.1 können Sie Ändern Sie die Einstellungen für Warnmeldungen. Weitere Informationen finden Sie unter Reagieren Sie auf ungewöhnliche Aktivitäten.

Sie können Informationen zu einer Bedrohung, unabhängig von der Ebene, im System Manager Ereignisse Abschnitt oder mit dem anzeigen security anti-ransomware volume show Befehl.

ARP-Snapshots werden mindestens zwei Tage aufbewahrt. Ab ONTAP 9.11.1 können Sie die Aufbewahrungseinstellungen ändern. Weitere Informationen finden Sie unter Ändern Sie Optionen für Snapshot Kopien.

Wiederherstellung von Daten im ONTAP nach einem Ransomware-Angriff

Wenn ein Angriff vermutet wird, erstellt das System zu diesem Zeitpunkt eine Volume Snapshot Kopie und sperrt die Kopie. Wenn der Angriff später bestätigt wird, kann das Volume auf diesen Snapshot zurückgesetzt werden. So werden Datenverluste minimiert.

Gesperrte Snapshot Kopien können nicht auf normale Weise gelöscht werden. Wenn Sie sich jedoch später entscheiden, den Angriff als falsch positiv zu markieren, wird die gesperrte Kopie gelöscht.

Mit Kenntnis der betroffenen Dateien und dem Zeitpunkt des Angriffs können die betroffenen Dateien selektiv von verschiedenen Snapshot-Kopien wiederhergestellt werden, statt das gesamte Volume einfach auf einen der Snapshots zurücksetzen zu müssen.

ARP baut auf bewährte ONTAP-Technologie zur Datensicherung und Disaster Recovery auf, um auf Ransomware-Angriffe zu reagieren. Weitere Informationen zur Wiederherstellung von Daten finden Sie in den folgenden Themen.