Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Obtenga más información sobre la protección autónoma frente a ransomware de ONTAP

08/19/2025 Colaboradores

PDF

A partir de ONTAP 9.10.1, los administradores de ONTAP pueden habilitar la Protección Autónoma contra Ransomware (ARP) para realizar análisis de carga de trabajo en entornos NAS (NFS y SMB) con el fin de detectar y advertir proactivamente sobre actividad anormal que podría indicar un ataque de ransomware. A partir de ONTAP 9.17.1, ARP también admite volúmenes de dispositivos de bloque, incluyendo volúmenes SAN con LUN o volúmenes NAS con discos virtuales de hipervisores como VMware, Hyper-V y KVM.

ARP está integrado directamente en ONTAP, lo que garantiza un control y una coordinación integrados con las demás funciones de ONTAP. ARP opera en tiempo real, procesando datos a medida que se escriben o leen en el sistema de archivos, y detectando y respondiendo rápidamente a posibles ataques de ransomware.

ARP crea instantáneas bloqueadas a intervalos regulares, junto con las programadas, para mayor protección. Gestiona inteligentemente la duración de la retención de instantáneas. Si no se detecta actividad inusual, las instantáneas se reciclan rápidamente. Sin embargo, si se detecta un ataque, la instantánea creada antes del inicio del mismo se conserva durante un periodo prolongado.

Licencias y habilitación

La compatibilidad con ARP se incluye con el "Licencia ONTAP ONE". Si no tiene la licencia de ONTAP One, hay otras licencias disponibles para el uso de ARP que varían según su versión de ONTAP

Lanzamientos de ONTAP Licencia

Lanzamientos de ONTAP	Licencia
ONTAP 9.11.1 y versiones posteriores	`Anti_ransomware`
ONTAP 9.10.1	`MT_EK_MGMT` (Gestión de claves multiinquilino)

ONTAP 9.11.1 y versiones posteriores

Anti_ransomware

ONTAP 9.10.1

MT_EK_MGMT (Gestión de claves multiinquilino)

Si está actualizando de ONTAP 9.10.1 a ONTAP 9.11.1 o posterior y ARP ya está configurado en su sistema, no necesita instalar el nuevo Anti-ransomware Licencia. Para nuevas configuraciones de ARP, se requiere la nueva licencia.
Si está volviendo de ONTAP 9.11.1 o posterior a ONTAP 9.10.1 y ha habilitado ARP con la licencia Anti_ransomware, verá un mensaje de advertencia y es posible que deba reconfigurar ARP. "Aprenda sobre cómo revertir ARP" .

"Puede habilitar la protección autónoma contra ransomware (ARP) en un volumen existente o crear un nuevo volumen y habilitar ARP" .

Estrategia de protección contra ransomware ONTAP

Una estrategia efectiva de detección de ransomware debe incluir más que una única capa de protección.

Una analogía sería las características de seguridad de un vehículo. No dependes de una sola característica, como un cinturón de seguridad, para protegerte por completo en caso de accidente. Las bolsas de aire, los frenos antibloqueo y la advertencia de colisión frontal son características de seguridad adicionales que conducirán a un resultado mucho mejor. La protección contra ransomware debe verse de la misma manera.

Si bien ONTAP incluye funciones como FPolicy, instantáneas, SnapLock y Active IQ Digital Advisor (también conocido como Digital Advisor) para ayudar a proteger contra ransomware, la siguiente información se centra en la función ARP con capacidades de aprendizaje automático.

Para obtener más información sobre otras funciones del portafolio de NetApp que protegen contra ransomware, consulte "La cartera de protección de NetApp y ransomware" .

Lo que ARP detecta

ONTAP ARP está diseñado para proteger contra ataques de denegación de servicio donde el atacante retiene datos hasta que se paga un rescate. ARP ofrece detección de ransomware en tiempo real basándose en lo siguiente:

Identificación de datos entrantes como texto cifrado o simple.
Análisis que detectan:
- Entropía: (Utilizada en NAS y SAN) Una evaluación de la aleatoriedad de los datos en un archivo
- Tipos de extensión de archivo: (Se usa solo en NAS) Una extensión de archivo que no se ajusta a los tipos de extensión esperados
- IOPS de archivo: (Se utiliza solo en NAS a partir de ONTAP 9.11.1) Un aumento en la actividad de volumen anormal con cifrado de datos

ARP detecta la propagación de la mayoría de los ataques de ransomware después de que solo se cifra una pequeña cantidad de archivos, responde automáticamente para proteger los datos y le alerta de que está ocurriendo un ataque sospechoso.

Ningún sistema de detección o prevención de ransomware puede garantizar completamente la seguridad de un ataque de ransomware. Aunque es posible que un ataque no se detecte, ARP actúa como una capa adicional importante de defensa si el software antivirus no ha podido detectar una intrusión.

Conozca los modos ARP

Tras activar ARP para un volumen, este pasa por dos modos distintos. ARP utiliza un periodo de aprendizaje o evaluación para establecer una línea base del comportamiento normal de la carga de trabajo. Durante este periodo, ARP analiza las métricas del sistema para desarrollar un perfil de alertas antes de activar la protección activa. Tras la transición a un modo de detección activa, ARP comienza a monitorizar la actividad anormal en tiempo real, tomando medidas de protección automáticamente y generando alertas si se detecta un comportamiento anormal.

Para ARP, los comportamientos del modo de aprendizaje y del modo activo difieren según la versión de ONTAP , el tipo de volumen y el protocolo (NAS o SAN).

Entornos NAS y tipos de modos

Los entornos NAS utilizan modos de aprendizaje y activos. Para ARP/IA Al ejecutarse en entornos NAS a partir de ONTAP 9.16.1, no hay un período de aprendizaje cuando se utiliza ARP con volúmenes FlexVol .

La siguiente tabla resume las diferencias entre ONTAP 9.10.1 y versiones posteriores para entornos NAS.

Modo Descripción Tipos y versiones de volúmenes

Aprendiendo

Para ONTAP 9.15.1 a 9.10.1, ARP se configura automáticamente en modo de aprendizaje al habilitarlo. En este modo, el sistema ONTAP genera un perfil de alerta basado en las áreas analíticas: entropía, tipos de extensión de archivo e IOPS de archivo. Se recomienda dejar ARP en modo de aprendizaje durante 30 días. A partir de ONTAP 9.13.1, ARP determina automáticamente el intervalo de aprendizaje óptimo y automatiza el cambio, que podría ocurrir antes de los 30 días. Para versiones anteriores a ONTAP 9.13.1, puede realizar el cambio manualmente.

"Obtenga más información sobre cómo cambiar del modo de aprendizaje al modo activo" .

El comando security anti-ransomware volume workload-behavior show muestra las extensiones de archivo que se han detectado en el volumen. Si ejecuta este comando al principio del modo de aprendizaje y muestra una representación precisa de los tipos de archivo, no debe utilizar esos datos como base para moverse al modo activo, ya que ONTAP sigue recopilando otras métricas. Obtenga más información sobre security anti-ransomware volume workload-behavior show en el "Referencia de comandos del ONTAP".

Volúmenes FlexVol con ONTAP 9.15.1 a 9.10.1
Volúmenes FlexGroup con ONTAP 9.13.1 y versiones posteriores

Activo

Tras ejecutar ARP en modo de aprendizaje durante el tiempo suficiente para evaluar las características de la carga de trabajo, puede cambiar al modo activo y empezar a proteger sus datos. A partir de ONTAP 9.13.1, ARP determina automáticamente el intervalo de aprendizaje óptimo y automatiza el cambio, que podría ocurrir antes de los 30 días.

Con ONTAP 9.10.1 a 9.15.1, ARP cambia al modo activo una vez finalizado el periodo óptimo de aprendizaje. Una vez que ARP cambia al modo activo, ONTAP crea instantáneas de ARP para proteger los datos si se detecta una amenaza.

En el modo activo, si una extensión de archivo se marca como anormal, debe evaluar la alerta. Puede actuar en consecuencia para proteger sus datos o marcarla como falso positivo. Al marcar una alerta como falso positivo, se actualiza el perfil de alertas. Por ejemplo, si la alerta se activa por una nueva extensión de archivo y la marca como falso positivo, no recibirá una alerta la próxima vez que se detecte la extensión de archivo.

Todas las versiones de ONTAP compatibles y los volúmenes FlexVol y FlexGroup

Entornos SAN y tipos de modos

Los entornos SAN utilizan periodos de evaluación (similares a los modos de aprendizaje en entornos NAS) antes de pasar automáticamente a la detección activa. La siguiente tabla resume los modos de evaluación y activo.

Modo Descripción Tipos y versiones de volúmenes

Modo	Descripción	Tipos y versiones de volúmenes
Evaluación	Se realiza un período de evaluación de dos a cuatro semanas para determinar el comportamiento de cifrado de referencia. Puede determinar si el período de evaluación ha finalizado ejecutando el `security anti-ransomware volume show` comando y comprobación `Block device detection status` . "Obtenga más información sobre los volúmenes SAN y el período de evaluación de entropía" .	Volúmenes FlexVol con ONTAP 9.17.1 y versiones posteriores
Activo	Después del período de evaluación, puede determinar si la protección ARP SAN está activa ejecutando el `security anti-ransomware volume show` comando y comprobación `Block device detection status` . Un estado de `Active_suitable_workload` Indica que la cantidad de entropía evaluada se puede monitorear correctamente. ARP ajusta automáticamente el umbral adaptativo según los datos revisados durante la evaluación.	Volúmenes FlexVol con ONTAP 9.17.1 y versiones posteriores

Evaluación

Se realiza un período de evaluación de dos a cuatro semanas para determinar el comportamiento de cifrado de referencia. Puede determinar si el período de evaluación ha finalizado ejecutando el security anti-ransomware volume show comando y comprobación Block device detection status .

"Obtenga más información sobre los volúmenes SAN y el período de evaluación de entropía" .

Volúmenes FlexVol con ONTAP 9.17.1 y versiones posteriores

Activo

Después del período de evaluación, puede determinar si la protección ARP SAN está activa ejecutando el security anti-ransomware volume show comando y comprobación Block device detection status . Un estado de Active_suitable_workload Indica que la cantidad de entropía evaluada se puede monitorear correctamente. ARP ajusta automáticamente el umbral adaptativo según los datos revisados durante la evaluación.

Volúmenes FlexVol con ONTAP 9.17.1 y versiones posteriores

Evaluación de amenazas e instantáneas ARP

ARP evalúa la probabilidad de amenaza basándose en los datos entrantes medidos con análisis aprendidos. Cuando ARP detecta una anomalía, se asigna una medición. Se puede asignar una instantánea en el momento de la detección o a intervalos regulares.

Umbrales ARP

Bajo: La detección más temprana de una anormalidad en el volumen (por ejemplo, se observa una nueva extensión de archivo en el volumen). Este nivel de detección solo está disponible en versiones anteriores a ONTAP 9.16,1 que no tienen ARP/AI.
- A partir de ONTAP 9.11.1, puede "Personalizar los parámetros de detección para ARP" .
- En ONTAP 9.10.1, el umbral para escalar a moderado es de 100 archivos o más.
Moderado: Se detecta alta entropía o se observan varios archivos con la misma extensión nunca antes vista. Este es el nivel de detección base en ONTAP 9.16.1 y versiones posteriores con ARP/AI.

La amenaza se intensifica a moderada después de que ONTAP genere un informe analítico que determina si la anomalía coincide con un perfil de ransomware. Cuando la probabilidad de ataque es moderada, ONTAP genera una notificación EMS que le solicita que evalúe la amenaza. ONTAP no envía alertas sobre amenazas bajas; sin embargo, a partir de ONTAP 9.14.1, puede… "modificar la configuración de alerta predeterminada" . Para obtener más información, consulte "Responda a actividades anormales" .

Puede ver información sobre amenazas moderadas en la sección Eventos de System Manager o con security anti-ransomware volume show el comando. Los eventos de amenaza baja también se pueden ver con el security anti-ransomware volume show comando en versiones anteriores a ONTAP 9.16.1 que no tienen ARP/AI. Obtenga más información sobre security anti-ransomware volume show en el "Referencia de comandos del ONTAP".

Instantáneas de ARP

En ONTAP 9.16.1 y versiones anteriores, ARP crea una instantánea al detectar las primeras señales de un ataque. Posteriormente, se realiza un análisis detallado para confirmar o descartar el posible ataque. Dado que las instantáneas de ARP se crean de forma proactiva, incluso antes de que un ataque esté completamente confirmado, también podrían generarse a intervalos regulares para ciertas aplicaciones legítimas. La presencia de estas instantáneas no debe considerarse una anomalía. Si se confirma un ataque, la probabilidad de ataque se incrementa a Moderate y se genera una notificación de ataque.

A partir de ONTAP 9.17.1, se generan instantáneas ARP a intervalos regulares para volúmenes NAS y SAN. ONTAP antepone un nombre a la instantánea ARP para facilitar su identificación.

A partir de ONTAP 9.11.1, puede modificar la configuración de retención. Para obtener más información, consulte "Modifique las opciones de snapshots" .

La siguiente tabla resume las diferencias de instantáneas ARP entre ONTAP 9.16.1 y anteriores y ONTAP 9.17.1.

Función	ONTAP 9.16.1 y anteriores	ONTAP 9.17.1 y posteriores
Desencadenante de creación	Se detecta alta entropía Se detectó una nueva extensión de archivo (9.15.1 y anteriores) Se detecta un aumento repentino de operaciones de archivos (9.15.1 y anteriores) El intervalo de creación de instantáneas se basa en el tipo de disparador.	Las instantáneas se crean a intervalos fijos de 4 horas, independientemente de cualquier desencadenante específico, y no son necesariamente indicativas de un ataque.
Convención de nombres prefijados	Copia de seguridad anti-ransomware	Copia de seguridad periódica antiransomware
Comportamiento de eliminación	La instantánea ARP está bloqueada y el administrador no puede eliminarla	La instantánea ARP está bloqueada y el administrador no puede eliminarla
Número máximo de instantáneas	"Límite configurable de seis instantáneas"	"Límite configurable de seis instantáneas"
Periodo de conservación	Determinado en función de las condiciones de activación (no fijo) Las instantáneas creadas antes del ataque se conservan hasta que el administrador marca el ataque como verdadero o falso positivo (sospechoso claro).	Las instantáneas normalmente se conservan durante 12 horas. Volúmenes NAS: si se confirma un ataque mediante el análisis de archivos, se conservan las instantáneas creadas antes del ataque hasta que el administrador marque el ataque como verdadero o falso positivo (sospechoso claro). Almacenes de datos de volumen SAN o de máquina virtual: si se confirma un ataque mediante un análisis de entropía de bloques, las instantáneas creadas antes del ataque se conservan durante 10 días (configurable). El período de retención de una instantánea creada antes del inicio de un ataque se extiende a 10 días (configurable).
Acción claramente sospechosa	Los administradores pueden realizar una acción de sospecha clara que establece la retención en función de la confirmación: 24 horas para retención de falsos positivos 7 días para una retención verdaderamente positiva Este comportamiento de retención preventiva no existía antes de ONTAP 9.16.1	Los administradores pueden realizar una acción de sospecha clara que establece la retención en función de la confirmación: 24 horas para retención de falsos positivos 7 días para una retención verdaderamente positiva
Tiempo de expiración	Ninguno	Se establece un tiempo de expiración para todas las instantáneas

Función

ONTAP 9.16.1 y anteriores

ONTAP 9.17.1 y posteriores

Desencadenante de creación

Se detecta alta entropía
Se detectó una nueva extensión de archivo (9.15.1 y anteriores)
Se detecta un aumento repentino de operaciones de archivos (9.15.1 y anteriores)

El intervalo de creación de instantáneas se basa en el tipo de disparador.

Las instantáneas se crean a intervalos fijos de 4 horas, independientemente de cualquier desencadenante específico, y no son necesariamente indicativas de un ataque.

Convención de nombres prefijados

Copia de seguridad anti-ransomware

Copia de seguridad periódica antiransomware

Comportamiento de eliminación

La instantánea ARP está bloqueada y el administrador no puede eliminarla

Número máximo de instantáneas

"Límite configurable de seis instantáneas"

Periodo de conservación

Determinado en función de las condiciones de activación (no fijo)
Las instantáneas creadas antes del ataque se conservan hasta que el administrador marca el ataque como verdadero o falso positivo (sospechoso claro).

Las instantáneas normalmente se conservan durante 12 horas.

Volúmenes NAS: si se confirma un ataque mediante el análisis de archivos, se conservan las instantáneas creadas antes del ataque hasta que el administrador marque el ataque como verdadero o falso positivo (sospechoso claro).
Almacenes de datos de volumen SAN o de máquina virtual: si se confirma un ataque mediante un análisis de entropía de bloques, las instantáneas creadas antes del ataque se conservan durante 10 días (configurable).

El período de retención de una instantánea creada antes del inicio de un ataque se extiende a 10 días (configurable).

Acción claramente sospechosa

Los administradores pueden realizar una acción de sospecha clara que establece la retención en función de la confirmación:

24 horas para retención de falsos positivos
7 días para una retención verdaderamente positiva

Este comportamiento de retención preventiva no existía antes de ONTAP 9.16.1

Los administradores pueden realizar una acción de sospecha clara que establece la retención en función de la confirmación:

24 horas para retención de falsos positivos
7 días para una retención verdaderamente positiva

Tiempo de expiración

Ninguno

Se establece un tiempo de expiración para todas las instantáneas

Cómo recuperar los datos en ONTAP después de un ataque de ransomware

ARP se basa en la tecnología probada de protección de datos y recuperación ante desastres de ONTAP para responder a ataques de ransomware. ARP crea instantáneas bloqueadas al detectar indicios tempranos de un ataque en ONTAP 9.16.1 y versiones anteriores, o a intervalos regulares en 9.17.1 y versiones posteriores. Primero deberá confirmar si el ataque es real o un falso positivo. Si confirma el ataque, el volumen se puede restaurar mediante la instantánea de ARP.

Las instantáneas bloqueadas no se pueden eliminar por medios normales. Sin embargo, si más tarde decide marcar el ataque como un falso positivo, la copia bloqueada se eliminará.

Con el conocimiento de los ficheros afectados y el tiempo de ataque, es posible recuperar de forma selectiva los ficheros afectados de varias instantáneas, en lugar de simplemente revertir todo el volumen a una de las instantáneas.

Consulte los siguientes temas para obtener más información sobre cómo responder a un ataque y recuperar datos:

Protección con verificación multiadministrador para ARP

A partir de ONTAP 9.13.1, se recomienda habilitar la verificación multiadministrador (MAV) para que se necesiten dos o más administradores de usuarios autenticados para la configuración de protección autónoma contra ransomware (ARP). Para obtener más información, consulte "Habilite la verificación multiadministradora".

Protección autónoma frente a ransomware con inteligencia artificial (ARP/AI)

A partir de ONTAP 9.16.1, ARP mejora la ciberresiliencia mediante la adopción de un modelo de aprendizaje automático para el análisis antiransomware que detecta formas de ransomware en constante evolución con una precisión del 99 % en entornos NAS. El modelo de aprendizaje automático de ARP se entrena previamente con un gran conjunto de datos de archivos, tanto antes como después de un ataque simulado de ransomware. Este entrenamiento, que requiere muchos recursos, se realiza fuera de ONTAP utilizando conjuntos de datos de investigación forense de código abierto para entrenar el modelo. Los datos del cliente no se utilizan en todo el proceso de modelado y no existen problemas de privacidad. El modelo preentrenado resultante de este entrenamiento se incluye en ONTAP . Este modelo no es accesible ni modificable a través de la CLI ni la API de ONTAP .

Transición inmediata a la protección activa para ARP/AI con volúmenes FlexVol

Con los volúmenes ARP/AI y FlexVol, no hay período de aprendizaje. ARP/AI se habilita y se activa inmediatamente después de la instalación o actualización a la versión 9.16. Tras actualizar el clúster a ONTAP 9.16.1, ARP/AI se habilitará automáticamente para los volúmenes FlexVol existentes y nuevos si ya está habilitado para ellos

"Más información sobre habilitar ARP/AI"

Actualizaciones automáticas ARP/AI

Para mantener la protección actualizada contra las últimas amenazas de ransomware, ARP/AI ofrece actualizaciones automáticas frecuentes que se realizan fuera de los plazos habituales de actualización y lanzamiento de ONTAP . Si tiene "actualizaciones automáticas activadas" También podrá empezar a recibir actualizaciones de seguridad automáticas de ARP/AI tras seleccionar las actualizaciones automáticas para los archivos de seguridad. También puede optar por… "realizar estas actualizaciones manualmente" y controlar cuándo se producen las actualizaciones.

A partir de ONTAP 9.16,1, las actualizaciones de seguridad para ARP/AI están disponibles con System Manager, además de las actualizaciones del sistema y del firmware.

"Obtenga más información sobre las actualizaciones ARP/AI"

Información relacionada

"Referencia de comandos del ONTAP"