Seguridad de la carga de trabajo: Simulación de un ataque
- Cosas que tomar en cuenta antes de empezar
- Tener al menos 1,000 archivos de ejemplo
- Directrices antes de ejecutar el simulador:
- Prepare el sistema
- Ejecute el script Ransomware Simulator
- Cifre sus archivos de prueba
- Restaurar archivos
- Ejecute el script varias veces
- Cree archivos mediante programación
Puede utilizar las instrucciones de esta página para simular un ataque con el fin de probar o demostrar la seguridad de la carga de trabajo mediante el script de simulación de Ransomware incluido.
Cosas que tomar en cuenta antes de empezar
-
El script de simulación de ransomware sólo funciona en Linux.
-
La secuencia de comandos se proporciona con los archivos de instalación del agente de seguridad de carga de trabajo. Está disponible en cualquier equipo que tenga instalado un agente de seguridad de carga de trabajo.
-
Puede ejecutar la secuencia de comandos en la propia máquina del agente de seguridad de carga de trabajo; no es necesario preparar otra máquina Linux. Sin embargo, si prefiere ejecutar la secuencia de comandos en otro sistema, simplemente copie la secuencia de comandos y ejecútela donde desee.
Tener al menos 1,000 archivos de ejemplo
Este script debe ejecutarse en una SVM con una carpeta que tenga archivos para cifrar. Recomendamos tener al menos 1,000 archivos dentro de esa carpeta y cualquier subcarpeta. Los archivos no deben estar vacíos. No cree los archivos ni los cifre utilizando el mismo usuario. La seguridad de la carga de trabajo considera que se trata de una actividad de bajo riesgo y, por lo tanto, no generará una alerta (es decir, el mismo usuario modifica los archivos que acaba de crear).
Consulte a continuación las instrucciones para "cree archivos no vacíos mediante programación".
Directrices antes de ejecutar el simulador:
-
Asegúrese de que los archivos cifrados no están vacíos.
-
Asegúrese de cifrar > 50 archivos. Se ignorará un pequeño número de archivos.
-
No ejecute un ataque varias veces con el mismo usuario. Después de algunas veces, Workload Security aprenderá el comportamiento de este usuario y asumirá que es el comportamiento normal del usuario.
-
No cifre los archivos que acaba de crear el mismo usuario. El cambio de un archivo que acaba de crear un usuario no se considera una actividad arriesgada. En su lugar, utilice los archivos creados por otro usuario O espere unas horas entre crear los archivos y cifrarlos.
Prepare el sistema
En primer lugar, monte el volumen objetivo en la máquina. Puede montar un montaje NFS o una exportación CIFS.
Para montar la exportación NFS en Linux:
mount -t nfs -o vers=4.0 10.193.177.158:/svmvol1 /mntpt mount -t nfs -o vers=4.0 Vserver data IP>:/nfsvol /destinationlinuxfolder
No monte NFS versión 4.1; no es compatible con Fpolicy.
Para montar CIFS en Linux:
mount -t cifs //10.193.77.91/sharedfolderincluster /root/destinationfolder/ -o username=raisa A continuación, configure un recopilador de datos:
-
Configure el agente de seguridad de carga de trabajo si no lo ha hecho todavía.
-
Configure el recopilador de datos de SVM si aún no ha terminado.
Ejecute el script Ransomware Simulator
-
Inicie sesión (ssh) en la máquina del agente de seguridad de carga de trabajo.
-
Desplácese hasta: /opt/netapp/cloudsecure/agent/install
-
Llame al script del simulador sin parámetros para ver el uso:
# pwd /opt/netapp/cloudsecure/agent/install # ./ransomware_simulator.sh Error: Invalid directory provided. Usage: ./ransomware_simulator.sh [-e] [-d] [-i <input_directory>] -e to encrypt files (default) -d to restore files -i <input_directory> - Files under the directory to be encrypted
Encrypt command example: ./ransomware_simulator.sh -e -i /mnt/audit/reports/ Decrypt command example: ./ransomware_simulator.sh -d -i /mnt/audit/reports/
Cifre sus archivos de prueba
Para cifrar los archivos, ejecute el siguiente comando:
# ./ransomware_simulator.sh -e -i /root/for/ Encryption key is saved in /opt/netapp/cloudsecure/cloudsecure-agent-1.251.0/install/encryption-key, which can be used for restoring the files. Encrypted /root/for/File000.txt Encrypted /root/for/File001.txt Encrypted /root/for/File002.txt ...
Restaurar archivos
Para descifrar, ejecute el siguiente comando:
[root@scspa2527575001 install]# ./ransomware_simulator.sh -d -i /root/for/ File /root/for/File000.txt is restored. File /root/for/File001.txt is restored. File /root/for/File002.txt is restored. ...
Ejecute el script varias veces
Después de generar un ataque de ransomware para un usuario, cambie a otro usuario para generar un ataque adicional. Workload Security aprende el comportamiento del usuario y no avisa sobre los ataques repetidos de ransomware dentro de un período de tiempo breve para el mismo usuario.
Cree archivos mediante programación
Antes de crear los archivos, primero debe detener o pausar el procesamiento del recopilador de datos. Realice los pasos siguientes antes de agregar el recopilador de datos al agente. Si ya ha agregado el recopilador de datos, simplemente edite el recopilador de datos, introduzca una contraseña no válida y guárdelo. Esto pondrá temporalmente el recopilador de datos en el estado de error. NOTA: Asegúrese de anotar la contraseña original.
La opción recomendada es "pausar el recopilador"antes de crear los archivos.] |
Antes de ejecutar la simulación, primero debe agregar archivos para su cifrado. Puede copiar manualmente los archivos que se van a cifrar en la carpeta de destino o utilizar una secuencia de comandos (vea el ejemplo siguiente) para crear los archivos mediante programación. Sea cual sea el método que utilice, copie al menos 1,000 archivos.
Si elige crear los archivos mediante programación, haga lo siguiente:
-
Inicie sesión en el cuadro Agente.
-
Monte una exportación NFS desde la SVM del servidor dedicado a almacenamiento al equipo del agente. CD en esa carpeta.
-
En esa carpeta, cree un archivo denominado createfiles.sh
-
Copie las siguientes líneas en ese archivo.
for i in {000..1000} do echo hello > "File${i}.txt" done echo 3 > /proc/sys/vm/drop_caches ; sync
-
Guarde el archivo.
-
Asegúrese de que ejecuta el permiso en el archivo:
chmod 777 ./createfiles.sh . Ejecute el script:
./createfiles.sh
se crearán archivos 1000 en la carpeta actual.
-
Vuelva a habilitar el recopilador de datos
Si deshabilitó el recopilador de datos en el paso 1, edite el recopilador de datos, introduzca la contraseña correcta y guárdelo. Asegúrese de que el recopilador de datos vuelve a estar en estado de ejecución.
-
Si pausó el recopilador antes de seguir estos pasos, asegúrese de "reanude el recopilador".