Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Informieren Sie sich über autonomen Ransomware-Schutz in ONTAP

Beitragende

Seit ONTAP 9.10.1 nutzt die Funktion Autonomous Ransomware Protection (ARP) Workload-Analysen in NAS-Umgebungen (NFS und SMB), um ungewöhnliche Aktivitäten, die auf einen Ransomware-Angriff hinweisen, proaktiv zu erkennen und zu warnen. Wenn ein Angriff vermutet wird, erstellt ARP zusätzlich zu dem durch geplante Snapshots vorhandenen Schutz auch neue Snapshots.

Autonomer Ransomware-Schutz mit künstlicher Intelligenz (ARP/AI)

Ab ONTAP 9.16.1 verbessert ARP die Cyber-Resilienz durch ein Machine-Learning-Modell für Ransomware-Analysen, das ständig neue Formen von Ransomware mit einer Genauigkeit von 99 % erkennt. Das Machine-Learning-Modell von ARP ist sowohl vor als auch nach einem simulierten Ransomware-Angriff auf einen großen Datensatz mit Dateien vortrainiert. Dieses ressourcenintensive Training findet außerhalb von ONTAP statt, aber das Lernen aus diesem Training wird für das Modell in ONTAP verwendet.

Sofortiger Übergang in den aktiven Modus für ARP/AI mit FlexVol Volumes

Mit ARP/AI und FlexVol Volumen, gibt es kein Lernzeitraum. ARP/AI beginnt im aktiven Modus unmittelbar nach der Installation oder dem Upgrade auf 9.16. Nach der Aktualisierung des Clusters auf ONTAP 9.16.1 wird ARP/AI automatisch für vorhandene und neue FlexVol Volumes aktiviert, wenn ARP bereits für diese Volumes aktiviert ist.

Automatische ARP/AI Updates

Um stets auf dem neuesten Stand zu sein und sich vor neuesten Ransomware-Bedrohungen zu schützen, bietet ARP/AI regelmäßige automatische Updates, die außerhalb von regelmäßigen ONTAP Upgrades und Release-Intervallen stattfinden. Wenn Sie dann haben, "Automatische Updates aktiviert"können Sie auch beginnen, automatische Sicherheitsupdates für ARP/AI zu erhalten, nachdem Sie automatische Updates für Sicherheitsdateien ausgewählt haben. Sie können diese Aktualisierungen auch manuell vornehmen und steuern, wann die Aktualisierungen durchgeführt werden.

Ab ONTAP 9.16.1 stehen über System Manager zusätzlich zu System- und Firmware-Updates Sicherheitsupdates für ARP/AI zur Verfügung.

Wichtig Die ARP/AI-Funktion unterstützt derzeit nur NAS. Obwohl die automatische Aktualisierungsfunktion die Verfügbarkeit neuer Sicherheitsdateien für die Bereitstellung in System Manager anzeigt, sind diese Aktualisierungen nur für den NAS-Workload-Schutz anwendbar.

Lizenzen und Enablement

ARP-Unterstützung ist im enthalten"ONTAP ONE Lizenz". Wenn Sie nicht über die ONTAP One-Lizenz verfügen, stehen andere Lizenzen zur Verfügung, um ARP zu verwenden, die sich je nach Ihrer ONTAP-Version unterscheiden.

ONTAP-Versionen Lizenz

ONTAP 9.11.1 und höher

Anti_Ransomware

ONTAP 9.10.1

MT_EK_MGMT (mandantenfähiger Schlüsselmanagement)

  • Wenn Sie ein Upgrade von ONTAP 9.10.1 auf ONTAP 9.11.1 oder höher durchführen und ARP bereits auf Ihrem System konfiguriert ist, müssen Sie die neue Anti-Ransomware-Lizenz nicht installieren. Für neue ARP-Konfigurationen ist die neue Lizenz erforderlich.

  • Wenn Sie von ONTAP 9.11.1 oder höher auf ONTAP 9.10.1 zurücksetzen und ARP mit der Anti-Ransomware-Lizenz aktiviert haben, wird eine Warnmeldung angezeigt und muss unter Umständen ARP neu konfigurieren.

ONTAP Strategie zum Schutz der Ransomware

Eine effektive Strategie zur Erkennung von Ransomware sollte mehr als nur eine einzige Sicherungsebene umfassen.

Eine Analogie wäre die Sicherheit eines Fahrzeugs. Sie verlassen sich nicht auf eine einzelne Funktion, wie einen Sicherheitsgurt, um Sie bei einem Unfall komplett zu schützen. Airbags, Anti-Lock-Bremsen und Vorkollisionswarnung sind weitere Sicherheitsmerkmale, die zu einem viel besseren Ergebnis führen. Ransomware-Schutz sollte in der gleichen Weise betrachtet werden.

Während ONTAP Funktionen wie FPolicy, Snapshots, SnapLock und Active IQ Digital Advisor (auch als digitaler Berater bekannt) zum Schutz vor Ransomware umfasst, konzentriert sich die folgende Information auf die ARP-integrierte Funktion mit Machine-Learning-Funktionen.

Weitere Informationen zu den weiteren Anti-Ransomware-Funktionen von ONTAP finden Sie unter "Ransomware und das Datensicherungsportfolio von NetApp".

Was ARP erkennt

ARP wurde zum Schutz vor Denial-of-Service-Angriffen entwickelt, bei denen der Angreifer Daten zurückhält, bis ein Lösegeld bezahlt wird. ARP bietet die Echtzeiterkennung von Ransomware auf der Basis von:

  • Identifizierung der eingehenden Daten als verschlüsselt oder als Klartext.

  • Analysen, die Folgendes erkennen:

    • Entropie: Eine Auswertung der Zufälligkeit der Daten in einer Datei

    • Dateierweiterungstypen: Eine Erweiterung, die nicht dem normalen Erweiterungstyp entspricht

    • Datei-IOPS: Ein Anstieg der anormalen Volume-Aktivität mit Datenverschlüsselung (ab ONTAP 9.11.1)

ARP erkennt die Ausbreitung der meisten Ransomware-Angriffe, nachdem nur wenige Dateien verschlüsselt sind, automatisch Maßnahmen zur Datensicherung ergreifen und Sie darauf aufmerksam machen, dass im Verdacht stehende Angriffe auf einen Angriff stattfindet.

Hinweis Kein Ransomware-Erkennungs- oder Präventionssystem kann die Sicherheit bei einem Ransomware-Angriff vollständig gewährleisten. Obwohl es möglich ist, dass ein Angriff unentdeckt bleibt, fungiert ARP als wichtige zusätzliche Verteidigungsschicht, wenn Antivirensoftware einen Angriff nicht erkennt.

Lernen und aktive Modi

ARP verfügt über zwei Modi:

  • Lernmodus (oder „Trockenlauf“-Modus)

  • Aktiver Modus (oder "aktiviert" Modus)

Lernmodus

Für alle ARP, die mit ONTAP 9.10.1 bis 9.15.1 ausgeführt werden und ARP für FlexGroup-Volumes mit ONTAP 9.16.1 verwendet wird, läuft ARP im Learning-Modus. Im Lernmodus entwickelt das ONTAP System ein Warnmeldungsprofil auf der Grundlage der Analysebereiche Entropie, Dateierweiterungstypen und Datei-IOPS. Nachdem Sie ARP im Learning-Modus ausreichend Zeit ausgeführt haben, um Workload-Merkmale zu bewerten, können Sie in den aktiven Modus wechseln und mit dem Schutz Ihrer Daten beginnen.

Es wird empfohlen, ARP 30 Tage lang im Lernmodus zu belassen. Ab ONTAP 9.13.1 bestimmt ARP automatisch das optimale Lernintervall und automatisiert den Switch, der vor 30 Tagen auftreten kann.

Tipp Der Befehl security anti-ransomware volume workload-behavior show zeigt Dateierweiterungen an, die im Volume erkannt wurden. Wenn Sie diesen Befehl früh im Lernmodus ausführen und er eine genaue Darstellung der Dateitypen zeigt, sollten Sie diese Daten nicht als Grundlage für den Wechsel in den aktiven Modus verwenden, da ONTAP weiterhin andere Metriken sammelt.
Aktiver Modus

Bei ARP, die mit ONTAP 9.10.1 bis 9.15.1 ausgeführt werden, wechselt ARP nach Abschluss des optimalen Lernintervalls in den aktiven Modus. Mit ARP/AI ab ONTAP 9.16.1, gibt es keine Lernphase, in der ARP mit FlexVol Volumes verwendet wird. ARP/AI auf FlexVol Volumes beginnt unmittelbar nach der Installation oder dem Upgrade auf 9.16.1 im aktiven Modus. Wenn Sie ONTAP 9.16.1 und ARP mit FlexGroup Volumes verwenden, ist vor der Umstellung auf den aktiven Modus noch ein Lernzeitraum erforderlich.

Nachdem ARP in den aktiven Modus gewechselt ist, erstellt ONTAP ARP-Snapshots, um die Daten zu schützen, wenn eine Bedrohung erkannt wird.

Wenn im aktiven Modus eine Dateierweiterung als anormal gekennzeichnet ist, sollten Sie die Warnmeldung auswerten. Sie können auf die Warnung reagieren, um Ihre Daten zu schützen, oder Sie können die Warnung als falsch positiv markieren. Wenn Sie eine Warnung als falsch positiv markieren, wird das Warnungsprofil aktualisiert. Wenn die Warnmeldung beispielsweise durch eine neue Dateierweiterung ausgelöst wird und Sie die Warnmeldung als falsch positiv markieren, erhalten Sie beim nächsten Mal keine Warnmeldung, wenn diese Dateierweiterung beobachtet wird.

Hinweis Ab ONTAP 9.11.1 können Sie die Erkennungsparameter für ARP anpassen. Weitere Informationen finden Sie unter Verwalten von ARP-Angriffserkennungsparametern.

Bedrohungsbewertung und ARP-Snapshots

Im aktiven Modus bewertet ARP die Bedrohungswahrscheinlichkeit anhand eingehender Daten, die mit gelernten Analysen gemessen werden. Eine Messung wird zugewiesen, wenn ARP eine Bedrohung erkennt:

  • Low: Früheste Erkennung einer Anomalie im Volume (z.B. wird eine neue Dateierweiterung im Volume beobachtet). Diese Erkennungsstufe ist nur in Versionen vor ONTAP 9.16.1 verfügbar, die nicht über ARP/AI verfügen.

  • Mittel: Es werden mehrere Dateien mit derselben nie gesehenen Dateierweiterung beobachtet.

    • In ONTAP 9.10.1 liegt der Schwellenwert für die Eskalation auf moderat bei 100 oder mehr Dateien.

    • Ab ONTAP 9.11.1 kann die Dateimenge geändert werden; der Standardwert ist 20.

In einer Situation mit geringen Bedrohungen erkennt ONTAP eine Anomalie und erstellt einen Snapshot des Volumes, um den besten Recovery-Punkt zu erstellen. ONTAP setzt den Namen des ARP-Snapshots voraus Anti-ransomware-backup, um ihn leicht identifizierbar zu machen, zum Beispiel Anti_ransomware_backup.2022-12-20_1248 .

Die Bedrohung wird eskaliert und mäßig, nachdem ONTAP einen Analysebericht ausgeführt hat und festgestellt hat, ob die Anomalie mit einem Ransomware-Profil übereinstimmt. Bedrohungen, die auf der niedrigen Ebene bleiben, werden protokolliert und im Abschnitt Ereignisse von System Manager sichtbar. Wenn die Angriffswahrscheinlichkeit mäßig ist, generiert ONTAP eine EMS-Benachrichtigung, in der Sie aufgefordert werden, die Bedrohung zu bewerten. ONTAP sendet keine Warnungen über niedrige Bedrohungen, jedoch beginnend mit ONTAP 9.14.1, können Sie Ändern Sie die Einstellungen für Warnmeldungen. Weitere Informationen finden Sie unter Reagieren Sie auf ungewöhnliche Aktivitäten.

Sie können Informationen zu einer Bedrohung, unabhängig von der Ebene, im Abschnitt Ereignisse des System Managers oder mit dem Befehl anzeigen security anti-ransomware volume show.

Einzelne ARP-Snapshots werden zwei Tage aufbewahrt. Wenn mehrere ARP-Snapshots vorhanden sind, werden diese standardmäßig fünf Tage aufbewahrt. Ab ONTAP 9.11.1 können Sie die Aufbewahrungseinstellungen ändern. Weitere Informationen finden Sie unter Ändern Sie die Optionen für Snapshots.

Wiederherstellung von Daten im ONTAP nach einem Ransomware-Angriff

Wenn ein Angriff vermutet wird, erstellt das System zu diesem Zeitpunkt einen Volume-Snapshot und sperrt diese Kopie. Wenn der Angriff später bestätigt wird, kann das Volume mithilfe des ARP-Snapshots wiederhergestellt werden.

Gesperrte Snapshots können nicht normal gelöscht werden. Wenn Sie sich jedoch später entscheiden, den Angriff als falsch positiv zu markieren, wird die gesperrte Kopie gelöscht.

Mit dem Wissen über die betroffenen Dateien und dem Zeitpunkt des Angriffs ist es möglich, die betroffenen Dateien selektiv aus verschiedenen Snapshots wiederherzustellen, anstatt das gesamte Volume einfach auf einen der Snapshots zurückzugreifen.

ARP baut auf bewährte ONTAP-Technologie zur Datensicherung und Disaster Recovery auf, um auf Ransomware-Angriffe zu reagieren. Weitere Informationen zur Wiederherstellung von Daten finden Sie in den folgenden Themen.

Schutz zur Verifizierung durch mehrere Administratoren für ARP

Ab ONTAP 9.13.1 wird empfohlen, die Multi-Admin-Verifizierung (MAV) zu aktivieren, sodass für die ARP-Konfiguration (Autonomous Ransomware Protection) mindestens zwei authentifizierte Benutzeradministratoren erforderlich sind. Weitere Informationen finden Sie unter "Aktivieren Sie die Verifizierung durch mehrere Administratoren".