Protección autónoma frente al ransomware para almacenamiento NFS
Detectar el ransomware lo antes posible es crucial para evitar su propagación y evitar costosos tiempos de inactividad. Una estrategia de detección de ransomware eficaz debe incorporar múltiples capas de protección en los niveles de host ESXi y máquina virtual invitada. Aunque se implementan múltiples medidas de seguridad para crear una defensa completa contra ataques de ransomware, ONTAP permite incorporar más capas de protección al enfoque de defensa general. Para nombrar algunas funcionalidades, lo primero es copias Snapshot, protección autónoma frente a ransomware, copias Snapshot a prueba de manipulaciones, etc.
Veamos cómo las funciones anteriores funcionan con VMware para proteger y recuperar los datos contra el ransomware. Para proteger vSphere y las máquinas virtuales invitadas contra ataques, es esencial tomar varias medidas, como la segmentación, el uso de EDR/XDR/SIEM para terminales e la instalación de actualizaciones de seguridad y el cumplimiento de las directrices de endurecimiento adecuadas. Cada máquina virtual que reside en un almacén de datos también aloja un sistema operativo estándar. Asegúrese de que los paquetes de productos antimalware de servidor empresarial se instalan y se actualizan regularmente en ellos, lo que es un componente esencial de la estrategia de protección contra ransomware de varias capas. Además, habilite la protección autónoma frente a ransomware (ARP) en el volumen NFS que alimenta el almacén de datos. ARP aprovecha EL APRENDIZAJE automático integrado que analiza la actividad de las cargas de trabajo del volumen más la entropía de los datos para detectar automáticamente el ransomware. ARP es configurable a través de la interfaz de gestión incorporada de ONTAP o System Manager y se habilita para cada volumen.
Con el nuevo ARP/AI de NetApp, que actualmente se encuentra en versión preliminar tecnológica, no es necesario un modo de aprendizaje. En su lugar, puede pasar directamente al modo activo con su función de detección de ransomware impulsada por la IA. |
Con ONTAP One, todos estos conjuntos de características son completamente gratuitos. Acceda a NetApp la sólida suite de protección de datos, seguridad y todas las funciones que ofrece ONTAP sin tener que preocuparse por las barreras de las licencias. |
Una vez en el modo activo, se inicia a buscar la actividad anormal del volumen que podría ser potencialmente ransomware. Si se detecta una actividad anormal, se realiza inmediatamente una copia snapshot automática que proporciona un punto de restauración lo más cercano posible a la infección del archivo. ARP puede detectar cambios en las extensiones de archivos específicas de la máquina virtual en un volumen NFS ubicado fuera de la máquina virtual cuando se agrega una nueva extensión al volumen cifrado o se modifica la extensión de un archivo.
Si un ataque de ransomware se dirige a la máquina virtual (VM) y altera los archivos dentro de la máquina virtual sin hacer cambios fuera de la máquina virtual, la protección avanzada contra ransomware (ARP) seguirá detectando la amenaza si la entropía predeterminada de la máquina virtual es baja, por ejemplo, para tipos de archivos como .txt, .docx o .mp4. Aunque ARP crea una instantánea de protección en este escenario, no genera una alerta de amenaza porque las extensiones de archivo fuera de la VM no se han manipulado. En tales escenarios, las capas iniciales de defensa identificarían la anomalía, sin embargo ARP ayuda en la creación de una instantánea basada en la entropía.
Para obtener información detallada, consulte la sección “ARP and Virtual Machines” en "Casos de uso y consideraciones ARP".
Al pasar de los archivos a los datos de backup, los ataques de ransomware se dirigen cada vez más a los backups y los puntos de recuperación de snapshots al intentar eliminarlos antes de comenzar a cifrar los archivos. Sin embargo, con ONTAP, esto se puede evitar creando instantáneas a prueba de manipulaciones en sistemas primarios o secundarios con "Bloqueo de copia NetApp SnapShot™".
Estas copias de SnapVault no se pueden eliminar ni modificar por atacantes de ransomware ni administradores malintencionados, por lo que están disponibles incluso después de un ataque. Si el almacén de datos o las máquinas virtuales específicas se ven afectados, SnapCenter puede recuperar los datos de máquinas virtuales en segundos, lo que minimiza el tiempo de inactividad de la organización.
La prueba anterior demuestra cómo el almacenamiento de ONTAP suma una capa adicional a las técnicas existentes, con lo que mejora la prueba del entorno para el futuro.
Para obtener más información, consulte la guía de "Soluciones de NetApp para ransomware".
Ahora, si todo esto necesita orquestarse e integrarse con herramientas de SIEM, se puede usar un servicio OFFTAP como la protección contra ransomware de BlueXP . Se trata de un servicio diseñado para proteger los datos del ransomware. Este servicio ofrece protección para cargas de trabajo basadas en aplicaciones como Oracle, MySQL, almacenes de datos de máquinas virtuales y recursos compartidos de archivos en el almacenamiento NFS local.
En este ejemplo, el almacén de datos NFS «src_nfs_DS04» está protegido con protección contra ransomware de BlueXP .
Para obtener información detallada sobre cómo configurar la protección contra ransomware de BlueXP , consulte "Configura la protección frente al ransomware de BlueXP "y "Configura las opciones de protección contra ransomware de BlueXP".
Es hora de caminar a través de esto con un ejemplo. En este tutorial, el almacén de datos “src_nfs_DS04” se ve afectado.
ARP activó inmediatamente una instantánea en el volumen después de la detección.
Una vez que se ha completado el análisis forense, las restauraciones pueden realizarse de forma rápida y sin problemas gracias a SnapCenter o la protección frente al ransomware de BlueXP . Con SnapCenter, vaya a las máquinas virtuales afectadas y seleccione la snapshot que desee restaurar.
Esta sección muestra cómo la protección contra ransomware de BlueXP orquesta la recuperación de un incidente de ransomware en el que los archivos de VM están cifrados.
Si SnapCenter gestiona la máquina virtual, la protección frente al ransomware de BlueXP restaura la máquina virtual a su estado anterior mediante el proceso consistente con la máquina virtual. |
-
Acceda a la protección contra ransomware de BlueXP y aparece una alerta en la consola de protección contra ransomware de BlueXP .
-
Haga clic en la alerta para revisar los incidentes en ese volumen específico para la alerta generada
-
Marque el incidente de ransomware como listo para la recuperación (después de que se neutralicen los incidentes) seleccionando «Mark restore needed» (Mark restore needed).
La alerta se puede descartar si el incidente resulta ser falso positivo. -
Tengo que acceder a la pestaña Recovery y revisar la información de la carga de trabajo en la página Recovery y seleccionar el volumen del almacén de datos que está en el estado «Restore needed» y seleccionar Restore.
-
En este caso, el ámbito de la restauración es «por equipo virtual» (para SnapCenter en los equipos virtuales, el ámbito de la restauración se establece «por equipo virtual»).
-
Elija el punto de restauración que desea utilizar para restaurar los datos y seleccione Destino y haga clic en Restaurar.
-
En el menú superior, seleccione Recovery para revisar la carga de trabajo en la página Recovery, en la que el estado de la operación se mueve por los estados. Una vez completada la restauración, los archivos del equipo virtual se restauran como se muestra a continuación.
La recuperación se puede llevar a cabo desde SnapCenter para VMware o desde el complemento SnapCenter según la aplicación. |
La solución de NetApp proporciona varias herramientas eficaces para la visibilidad, la detección y la corrección, lo que le ayuda a detectar el ransomware de forma temprana, prevenir esta propagación y recuperarse rápidamente, si es necesario, para evitar costosos tiempos de inactividad. Las soluciones tradicionales de defensa en capas siguen siendo comunes, como las que utilizan las soluciones de terceros y de socios para la visibilidad y la detección. La corrección efectiva sigue siendo una parte crucial de la respuesta a cualquier amenaza.