Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Informieren Sie sich über den autonomen Ransomware-Schutz von ONTAP

Beitragende netapp-dbagwell netapp-ahibbard netapp-aaron-holt netapp-aherbin netapp-forry netapp-lenida netapp-adlove pixelchrome netapp-thomi netapp-barbe
PDFs

Ab ONTAP 9.10.1 können ONTAP -Administratoren Autonomous Ransomware Protection (ARP) aktivieren, um Workload-Analysen in NAS-Umgebungen (NFS und SMB) durchzuführen und so proaktiv ungewöhnliche Aktivitäten zu erkennen und davor zu warnen, die auf einen Ransomware-Angriff hindeuten könnten. Ab ONTAP 9.17.1 unterstützt ARP auch Blockgeräte-Volumes, einschließlich SAN-Volumes mit LUNs oder NVMe-Namespaces oder NAS-Volumes mit virtuellen Festplatten von Hypervisoren wie VMware, Hyper-V und KVM.

ARP ist direkt in ONTAP integriert und gewährleistet die integrierte Steuerung und Koordination mit den anderen Funktionen von ONTAP. ARP arbeitet in Echtzeit, verarbeitet Daten beim Schreiben oder Lesen in das Dateisystem und erkennt und reagiert schnell auf potenzielle Ransomware-Angriffe.

ARP erstellt in regelmäßigen Abständen zusätzlich zu geplanten Snapshots gesperrte Snapshots für zusätzlichen Schutz. Es verwaltet intelligent, wie lange Snapshots aufbewahrt werden. Werden keine ungewöhnlichen Aktivitäten erkannt, werden die Snapshots schnell wiederverwendet. Wird jedoch ein Angriff erkannt, wird ein vor Beginn des Angriffs erstellter Snapshot für einen längeren Zeitraum aufbewahrt.

Lizenzen und Enablement

ARP-Unterstützung ist im Lieferumfang der "ONTAP ONE Lizenz". Wenn Sie nicht über die ONTAP One-Lizenz verfügen, stehen Ihnen für die ARP-Nutzung andere Lizenzen zur Verfügung, die sich je nach Ihrer ONTAP-Version unterscheiden

ONTAP-Versionen Lizenz

ONTAP 9.11.1 und höher

Anti_ransomware

ONTAP 9.10.1

MT_EK_MGMT (Multi-Tenant-Schlüsselverwaltung)

  • Wenn Sie von ONTAP 9.10.1 auf ONTAP 9.11.1 oder höher aktualisieren und ARP bereits auf Ihrem System konfiguriert ist, müssen Sie die neue Anti-ransomware Lizenz. Für neue ARP-Konfigurationen ist die neue Lizenz erforderlich.

  • Wenn Sie von ONTAP 9.11.1 oder höher auf ONTAP 9.10.1 zurückkehren und ARP mit der Anti_ransomware-Lizenz aktiviert haben, wird eine Warnmeldung angezeigt und Sie müssen ARP möglicherweise neu konfigurieren. "Erfahren Sie mehr über das Zurücksetzen von ARP" .

"Sie können Autonomous Ransomware Protection (ARP) auf einem vorhandenen Volume aktivieren oder ein neues Volume erstellen und ARP aktivieren" .

ONTAP Strategie zum Schutz der Ransomware

Eine wirksame Strategie zur Erkennung von Ransomware sollte mehr als nur eine Schutzebene umfassen. Betrachten Sie als Analogie die Sicherheitsmerkmale eines Fahrzeugs. Sie sind bei einem Unfall nicht auf eine einzelne Funktion wie etwa einen Sicherheitsgurt angewiesen, um vollständig geschützt zu sein. Airbags, Antiblockiersystem und Auffahrwarnsystem sind Sicherheitsfunktionen, die zusammen zu einem besseren Ergebnis führen. Der Schutz vor Ransomware sollte auf die gleiche Weise betrachtet werden.

Während ONTAP Funktionen wie FPolicy, Snapshots, SnapLock und Active IQ Digital Advisor (auch bekannt als Digital Advisor) zum Schutz vor Ransomware enthält, konzentrieren sich die folgenden Informationen auf die ARP-Funktion mit Machine-Learning-Funktionen.

Weitere Informationen zu weiteren Funktionen im NetApp -Portfolio zum Schutz vor Ransomware finden Sie unter "Ransomware und das Datensicherungsportfolio von NetApp" .

Was ARP erkennt

ONTAP ARP schützt vor Denial-of-Service-Angriffen, bei denen der Angreifer Daten zurückhält, bis ein Lösegeld gezahlt wird. ARP bietet Ransomware-Erkennung in Echtzeit basierend auf folgenden Kriterien:

  • Identifizierung eingehender Daten als verschlüsselt oder im Klartext.

  • Analysen, die Folgendes erkennen:

    • Entropie: (Wird in NAS und SAN verwendet) Eine Bewertung der Zufälligkeit von Daten in einer Datei

    • Dateierweiterungstypen: (Nur in NAS verwendet) Eine Dateierweiterung, die nicht den erwarteten Erweiterungstypen entspricht

    • Datei-IOPS: (Wird in NAS erst ab ONTAP 9.11.1 verwendet) Ein Anstieg der anormalen Volume-Aktivität mit Datenverschlüsselung

ARP erkennt die Ausbreitung der meisten Ransomware-Angriffe, nachdem nur eine kleine Anzahl von Dateien verschlüsselt wurde, reagiert automatisch, um die Daten zu schützen, und warnt Sie, wenn ein mutmaßlicher Angriff stattfindet.

Hinweis Kein Ransomware-Erkennungssystem kann vollständige Sicherheit garantieren. ARP bietet eine zusätzliche Verteidigungsebene, wenn die Antivirensoftware einen Eindringling nicht erkennt.

Erfahren Sie mehr über ARP-Modi

Nachdem ARP für ein Volume aktiviert wurde, beginnt eine Lernphase, um eine Basislinie festzulegen. ARP analysiert Systemmetriken, um ein Alarmprofil zu entwickeln, bevor in den aktiven Erkennungsmodus gewechselt wird. Im aktiven Modus überwacht ARP abnormale Aktivitäten, ergreift Schutzmaßnahmen und generiert Warnungen, wenn es abnormales Verhalten erkennt.

Bei ARP unterscheiden sich das Verhalten im Lernmodus und im aktiven Modus je nach ONTAP Version, Volume-Typ und Protokoll (NAS oder SAN).

NAS-Umgebungen und Modustypen

NAS-Umgebungen verwenden Lern- und Aktivmodi. Für ARP/AI Beim Ausführen in NAS-Umgebungen ab ONTAP 9.16.1 gibt es keine Lernphase, wenn ARP mit FlexVol -Volumes verwendet wird.

Die folgende Tabelle fasst die Unterschiede zwischen ONTAP 9.10.1 und späteren Versionen für NAS-Umgebungen zusammen.

Modus Beschreibung Datenträgertypen und -versionen

Lernen

Bei ONTAP 9.15.1 bis 9.10.1 wird ARP automatisch in den Lernmodus versetzt, wenn Sie ARP aktivieren. Im Lernmodus entwickelt das ONTAP -System ein Alarmprofil basierend auf den Analysebereichen Entropie, Dateierweiterungstypen und Datei-IOPS. Es wird empfohlen, ARP 30 Tage lang im Lernmodus zu belassen. Ab ONTAP 9.13.1 ermittelt ARP automatisch das optimale Lernintervall und automatisiert den Wechsel, der möglicherweise schon vor 30 Tagen erfolgt. Bei Versionen vor ONTAP 9.13.1 können Sie die Umstellung manuell vornehmen.

"Erfahren Sie mehr über den Wechsel vom Lern- in den Aktivmodus" .

Tipp Der Befehl security anti-ransomware volume workload-behavior show zeigt Dateierweiterungen an, die im Volume erkannt wurden. Wenn Sie diesen Befehl früh im Lernmodus ausführen und er eine genaue Darstellung der Dateitypen zeigt, sollten Sie diese Daten nicht als Grundlage für den Wechsel in den aktiven Modus verwenden, da ONTAP weiterhin andere Metriken sammelt. Erfahren Sie mehr über security anti-ransomware volume workload-behavior show in der "ONTAP-Befehlsreferenz".

  • FlexVol -Volumes mit ONTAP 9.15.1 bis 9.10.1

  • FlexGroup -Volumes mit ONTAP 9.13.1 und höher

Aktiv

Nachdem Sie ARP ausreichend lange im Lernmodus ausgeführt haben, um die Workload-Eigenschaften zu bewerten, können Sie in den aktiven Modus wechseln und mit dem Schutz Ihrer Daten beginnen. Ab ONTAP 9.13.1 ermittelt ARP automatisch das optimale Lernintervall und automatisiert den Wechsel, der möglicherweise schon vor 30 Tagen erfolgt.

Bei ONTAP 9.15.1 bis 9.10.1 wechselt ARP nach Abschluss der optimalen Lernphase in den aktiven Modus. Anschließend erstellt ONTAP ARP-Snapshots, um die Daten im Falle einer Bedrohung zu schützen.

Wenn im aktiven Modus eine Dateierweiterung als ungewöhnlich gekennzeichnet wird, sollten Sie die Warnung auswerten. Sie können auf die Warnung reagieren, um Ihre Daten zu schützen, oder sie als falsch positiv markieren. Durch die Markierung einer Warnung als falsch positiv wird das Warnungsprofil aktualisiert. Wenn die Warnung beispielsweise durch eine neue Dateierweiterung ausgelöst wird und Sie sie als falsch positiv markieren, erhalten Sie beim nächsten Auftreten der Dateierweiterung keine Warnung mehr.

Alle unterstützten ONTAP -Versionen und FlexVol und FlexGroup -Volumes

SAN-Umgebungen und Modustypen

SAN-Umgebungen nutzen Evaluierungsphasen (ähnlich den Lernmodi in NAS-Umgebungen), bevor sie automatisch zur aktiven Erkennung wechseln. Die folgende Tabelle fasst die Evaluierungs- und aktiven Modi zusammen.

Modus Beschreibung Datenträgertypen und -versionen

Auswertung

Eine zwei- bis vierwöchige Evaluierungsphase wird durchgeführt, um das grundlegende Verschlüsselungsverhalten zu ermitteln. Sie können feststellen, ob die Evaluierungsphase abgeschlossen ist, indem Sie Folgendes ausführen: security anti-ransomware volume show Befehl und Überprüfung Block device detection status .

"Erfahren Sie mehr über SAN-Volumes und den Entropie-Evaluierungszeitraum" .

  • FlexVol -Volumes mit ONTAP 9.17.1 und höher

Aktiv

Nach dem Testzeitraum können Sie feststellen, ob der ARP-SAN-Schutz aktiv ist, indem Sie den Befehl security anti-ransomware volume show ausführen und prüfen, ob Block device detection status. Active_suitable_workload zeigt an, dass die ausgewertete Entropiemenge erfolgreich überwacht werden kann. ARP passt den adaptiven Schwellenwert automatisch anhand der während der Auswertung überprüften Daten an.

  • FlexVol -Volumes mit ONTAP 9.17.1 und höher

Bedrohungsbewertung und ARP-Snapshots

ARP bewertet die Bedrohungswahrscheinlichkeit anhand eingehender Daten und vergleicht diese mit erlernten Analysen. Wenn ARP eine Anomalie erkennt, wird eine Messung zugewiesen. Ein Snapshot kann zum Zeitpunkt der Erkennung oder in regelmäßigen Abständen zugewiesen werden.

ARP-Schwellenwerte

  • Low: Früheste Erkennung einer Anomalie im Volume (z.B. wird eine neue Dateierweiterung im Volume beobachtet). Diese Erkennungsstufe ist nur in Versionen vor ONTAP 9.16.1 verfügbar, die nicht über ARP/AI verfügen.

  • Moderat: Es wird eine hohe Entropie erkannt oder es werden mehrere Dateien mit derselben noch nie dagewesenen Dateierweiterung beobachtet. Dies ist die Basiserkennungsstufe in ONTAP 9.16.1 und höher mit ARP/AI.

Die Bedrohung wird auf mittel eingestuft, nachdem ONTAP einen Analysebericht erstellt hat, der feststellt, ob die Anomalie mit einem Ransomware-Profil übereinstimmt. Bei mittlerer Angriffswahrscheinlichkeit generiert ONTAP eine EMS-Benachrichtigung mit der Aufforderung, die Bedrohung zu bewerten. ONTAP sendet keine Warnungen über geringe Bedrohungen; ab ONTAP 9.14.1 können Sie jedoch "Standard-Alarmeinstellungen ändern". Weitere Informationen finden Sie unter "Reagieren Sie auf ungewöhnliche Aktivitäten" .

Sie können Informationen über moderate Bedrohungen im Abschnitt Ereignisse des System Managers oder mit dem Befehl anzeigen security anti-ransomware volume show. Ereignisse mit geringen Bedrohungen können auch mit dem Befehl in Versionen vor ONTAP 9.16.1 angezeigt werden security anti-ransomware volume show, die nicht über ARP/AI verfügen. Erfahren Sie mehr über security anti-ransomware volume show in der "ONTAP-Befehlsreferenz".

ARP-Schnappschüsse

ARP erstellt einen Snapshot, wenn erste Anzeichen eines Angriffs erkannt werden. Anschließend wird eine detaillierte Analyse durchgeführt, um den potenziellen Angriff zu bestätigen oder auszuschließen. Da ARP-Snapshots proaktiv erstellt werden, noch bevor ein Angriff vollständig bestätigt ist, können sie für bestimmte legitime Anwendungen auch in regelmäßigen Abständen generiert werden. Das Vorhandensein dieser Snapshots sollte nicht als Anomalie betrachtet werden. Wenn ein Angriff bestätigt wird, wird die Angriffswahrscheinlichkeit auf Moderate und eine Angriffsbenachrichtigung wird generiert.

Ab ONTAP 9.17.1 werden ARP-Snapshots in regelmäßigen Abständen sowohl für NAS- als auch für SAN-Volumes sowie als Reaktion auf erkannte Anomalien generiert. ONTAP stellt dem ARP-Snapshot einen Namen voran, um ihn leicht identifizierbar zu machen.

Ab ONTAP 9.11.1 können Sie die Aufbewahrungseinstellungen ändern. Weitere Informationen finden Sie unter "Ändern Sie die Optionen für Snapshots" .

Die folgende Tabelle fasst die Unterschiede der ARP-Snapshots nach Version zusammen.

Funktion ONTAP 9.17.1 und höher ONTAP 9.16.1 und früher

Erstellungstrigger

  • Snapshots werden in festen 4-Stunden-Intervallen erstellt, unabhängig von einem bestimmten Auslöser

  • Bestätigung eines Angriffs

Je nach Triggertyp wird ein „periodischer“ oder „Angriffs“-Snapshot erstellt.

  • Hohe Entropie wird erkannt

  • Eine neue Dateierweiterung wurde erkannt (9.15.1 und früher)

  • Es wurde ein Anstieg der Dateivorgänge erkannt (9.15.1 und früher).

Das Intervall zur Snapshot-Erstellung basiert auf dem Triggertyp.

Konvention für vorangestellte Namen

"Anti_ransomware_periodic_backup" "Anti_ransomware_attack_backup"

"Anti_ransomware_backup"

Löschverhalten

Der ARP-Snapshot ist gesperrt und kann vom Administrator nicht gelöscht werden

Der ARP-Snapshot ist gesperrt und kann vom Administrator nicht gelöscht werden

Maximale Snapshot-Anzahl

"Konfigurierbares Limit für sechs Snapshots"

"Konfigurierbares Limit für sechs Snapshots"

Aufbewahrungsfrist

Snapshots werden normalerweise 12 Stunden lang aufbewahrt.

  • NAS-Volumes: Wenn ein Angriff durch eine Dateianalyse bestätigt wird, werden vor dem Angriff erstellte Snapshots aufbewahrt, bis der Administrator den Angriff als wahr oder falsch positiv (klar verdächtig) markiert.

  • SAN-Volume oder VM-Datenspeicher: Wenn ein Angriff durch eine Block-Entropie-Analyse bestätigt wird, werden vor dem Angriff erstellte Snapshots 10 Tage lang aufbewahrt (konfigurierbar).

  • Wird anhand der Auslösebedingungen bestimmt (nicht festgelegt)

  • Vor dem Angriff erstellte Snapshots bleiben erhalten, bis der Administrator den Angriff als wahr oder falsch positiv (eindeutig verdächtig) markiert.

Eindeutig verdächtige Aktion

Administratoren können eine Clear-Suspect-Aktion ausführen, die die Aufbewahrung basierend auf einer Bestätigung festlegt:

  • 24 Stunden für falsch-positive Retention

  • 7 Tage für echte positive Retention

Administratoren können eine Clear-Suspect-Aktion ausführen, die die Aufbewahrung basierend auf einer Bestätigung festlegt:

  • 24 Stunden für falsch-positive Retention

  • 7 Tage für echte positive Retention

Dieses vorsorgliche Aufbewahrungsverhalten gibt es vor ONTAP 9.16.1 nicht.

Ablaufzeit

Für alle Snapshots ist eine Ablaufzeit festgelegt

Keine

Wiederherstellung von Daten im ONTAP nach einem Ransomware-Angriff

ARP basiert auf der bewährten ONTAP Datenschutz- und Disaster-Recovery-Technologie, um auf Ransomware-Angriffe zu reagieren. ARP erstellt gesperrte Snapshots, wenn erste Anzeichen eines Angriffs erkannt werden. Sie müssen zunächst bestätigen, ob es sich um einen echten Angriff oder einen Fehlalarm handelt. Sobald der Angriff bestätigt ist, kann das Volume mithilfe des ARP-Snapshots wiederhergestellt werden.

Gesperrte Snapshots können nicht auf herkömmliche Weise gelöscht werden. Wenn Sie sich jedoch später dazu entschließen, den Angriff als falsch positiv zu markieren, löscht ONTAP die gesperrte Kopie.

Sie können betroffene Dateien aus ausgewählten Snapshots wiederherstellen, anstatt das gesamte Volume zurückzusetzen.

Weitere Informationen zum Reagieren auf einen Angriff und zur Wiederherstellung von Daten finden Sie in den folgenden Themen:

Schutz zur Verifizierung durch mehrere Administratoren für ARP

Ab ONTAP 9.13.1 wird empfohlen, die Multi-Admin-Verifizierung (MAV) zu aktivieren, sodass für die ARP-Konfiguration (Autonomous Ransomware Protection) mindestens zwei authentifizierte Benutzeradministratoren erforderlich sind. Weitere Informationen finden Sie unter "Aktivieren Sie die Verifizierung durch mehrere Administratoren".

Autonomer Ransomware-Schutz mit künstlicher Intelligenz (ARP/AI)

Ab ONTAP 9.16.1 verbessert ARP die Cyber-Resilienz durch die Einführung eines Machine-Learning-Modells für Anti-Ransomware-Analysen, das sich ständig weiterentwickelnde Formen von Ransomware mit einer Genauigkeit von 99 % in NAS-Umgebungen erkennt. Machine-Learning-Modell von ARP wird vor und nach einem simulierten Ransomware-Angriff anhand eines großen Datensatzes vortrainiert. Dieses ressourcenintensive Training erfolgt außerhalb von ONTAP mithilfe von Open-Source-Datensätzen aus der forensischen Forschung. Kundendaten werden während der gesamten Modellierungspipeline nicht verwendet, und Datenschutzprobleme bestehen nicht. Das aus diesem Training resultierende vortrainierte Modell ist im Lieferumfang von ONTAP enthalten. Dieses Modell ist weder über die ONTAP CLI noch über die ONTAP API zugänglich oder veränderbar.

Sofortiger Übergang zu aktiver Sicherung für ARP/AI mit FlexVol Volumes

Bei ARP/AI- und FlexVol gibt es keine Lernzeitraum. ARP/AI ist sofort nach der Installation oder dem Upgrade auf Version 9.16 aktiviert. dem Upgrade Ihres Clusters auf ONTAP 9.16.1 wird ARP/AI automatisch für bestehende und neue FlexVol -Volumes aktiviert, sofern ARP für diese Volumes bereits aktiviert ist.

"Erfahren Sie mehr über die Aktivierung von ARP/AI"

Automatische ARP/AI Updates

Um den Schutz vor den neuesten Ransomware-Bedrohungen auf dem neuesten Stand zu halten, bietet ARP/AI regelmäßige automatische Updates, die außerhalb der regulären ONTAP -Upgrade- und Release-Kalender erfolgen. Wenn Sie "Automatische Updates aktiviert" Dann können Sie auch automatische Sicherheitsupdates für ARP/AI erhalten, nachdem Sie automatische Updates für Sicherheitsdateien ausgewählt haben. Sie können auch wählen, "Nehmen Sie diese Aktualisierungen manuell vor" und steuern Sie, wann die Aktualisierungen erfolgen.

Ab ONTAP 9.16.1 stehen über System Manager zusätzlich zu System- und Firmware-Updates Sicherheitsupdates für ARP/AI zur Verfügung.

"Weitere Informationen zu ARP/AI-Updates"

Verwandte Informationen