A partir de ONTAP 9.16,1, ARP mejora la resiliencia cibernética al adoptar un modelo de aprendizaje automático para los análisis antiransomware que detecta formas de ransomware en constante evolución con una precisión del 99 %. El modelo de aprendizaje automático de ARP se entrena previamente en un gran conjunto de datos de archivos, tanto antes como después de un ataque simulado de ransomware. Esta formación intensiva en recursos se realiza fuera de ONTAP, pero el aprendizaje de esta formación se utiliza para el modelo dentro de ONTAP.

Con los volúmenes ARP/AI y FlexVol, no hay período de aprendizaje. ARP/AI comienza en modo activo inmediatamente después de la instalación o actualización a 9,16. Después de actualizar el clúster a ONTAP 9.16,1, ARP/AI se habilitará automáticamente para los volúmenes FlexVol nuevos y existentes, si ARP ya está habilitado para esos volúmenes.

"Más información sobre habilitar ARP/AI"

Para mantener una protección actualizada frente a las últimas amenazas de ransomware, ARP/AI ofrece actualizaciones automáticas frecuentes que se producen fuera de las cadencias habituales de actualizaciones y lanzamientos de ONTAP. Si lo ha hecho"actualizaciones automáticas activadas", también podrá comenzar a recibir actualizaciones de seguridad automáticas a ARP/AI después de seleccionar actualizaciones automáticas para los archivos de seguridad. También puede elegir realizar estas actualizaciones manualmente y controlar cuándo se producen las actualizaciones.

A partir de ONTAP 9.16,1, las actualizaciones de seguridad para ARP/AI están disponibles con System Manager, además de las actualizaciones del sistema y del firmware.

"Obtenga más información sobre las actualizaciones ARP/AI"

El soporte ARP se incluye con el "Licencia ONTAP ONE". Si no tiene la licencia ONTAP One, hay otras licencias disponibles para usar ARP que varían en función de su versión de ONTAP.

"Aprenda sobre cómo revertir ARP".

Una estrategia efectiva de detección de ransomware debe incluir más que una única capa de protección.

Una analogía sería las características de seguridad de un vehículo. No dependes de una sola característica, como un cinturón de seguridad, para protegerte por completo en caso de accidente. Las bolsas de aire, los frenos antibloqueo y la advertencia de colisión frontal son características de seguridad adicionales que conducirán a un resultado mucho mejor. La protección contra ransomware debe verse de la misma manera.

Si bien ONTAP incluye funciones como FPolicy, copias Snapshot, SnapLock y el asesor digital de Active IQ (también conocido como asesor digital) para ayudarle a proteger del ransomware, la siguiente información se centra en la función ARP integrada con funcionalidades de aprendizaje automático.

Para obtener más información sobre otras funciones antiransomware de ONTAP, consulte "La cartera de protección de NetApp y ransomware".

ARP está diseñado para proteger contra ataques de denegación de servicio en los que el atacante retiene datos hasta que se pague un rescate. ARP ofrece detección de ransomware en tiempo real basada en:

ARP puede detectar la propagación de la mayoría de ataques de ransomware solo una pequeña cantidad de archivos se cifran, toman medidas automáticamente para proteger los datos y avisan de que se está produciendo un ataque sospechoso.

ARP tiene dos modos:

Para todo ARP que se ejecuta con ONTAP 9.10,1 a 9.15.1 y ARP que se usa para volúmenes FlexGroup con ONTAP 9.16,1, cuando se habilita ARP, se ejecuta en learning mode. En el modo de aprendizaje, el sistema ONTAP desarrolla un perfil de alerta basado en las áreas de análisis: Entropía, tipos de extensiones de archivos e IOPS de archivos. Después de ejecutar ARP en el modo de aprendizaje durante el tiempo suficiente para evaluar las características de la carga de trabajo, puede cambiar al modo activo y empezar a proteger los datos.

Se recomienda dejar ARP en modo de aprendizaje durante 30 días. A partir de ONTAP 9.13,1, ARP determina automáticamente el intervalo de aprendizaje óptimo y automatiza el switch, que puede ocurrir antes de 30 días.

Para ARP que se ejecuta con ONTAP 9.10,1 a 9.15.1, ARP cambia a modo activo después de que se completa el intervalo de aprendizaje óptimo. Con ARP/AI a partir de ONTAP 9.16,1, no hay periodo de aprendizaje cuando ARP se utiliza con los volúmenes FlexVol. ARP/AI en volúmenes de FlexVol comienza en el modo activo inmediatamente después de la instalación o actualización a 9.16.1. Si se utiliza ONTAP 9.16,1 y ARP con volúmenes FlexGroup, se sigue necesitando un período de aprendizaje antes de la transición al modo activo.

Una vez que ARP ha cambiado al modo activo, ONTAP crea instantáneas ARP para proteger los datos si se detecta una amenaza.

En el modo activo, si una extensión de archivo se marca como anormal, debe evaluar la alerta. Puede actuar en la alerta para proteger sus datos o puede marcar la alerta como un falso positivo. Al marcar una alerta como falso positivo, se actualiza el perfil de alerta. Por ejemplo, si la alerta se activa con una nueva extensión de archivo y marca la alerta como un falso positivo, no recibirá una alerta la próxima vez que se observe la extensión de archivo.

En el modo activo, ARP evalúa la probabilidad de amenaza en función de los datos entrantes medidos con respecto a los análisis aprendidos. Se asigna una medición cuando ARP detecta una amenaza:

En un caso de amenaza baja, ONTAP detecta una anomalía y crea una copia Snapshot del volumen para crear el mejor punto de recuperación. ONTAP antepone el nombre de la instantánea ARP con Anti-ransomware-backup para que sea fácilmente identificable; por ejemplo, Anti_ransomware_backup.2022-12-20_1248.

La amenaza se escala a moderada después de que ONTAP ejecuta un informe de análisis para determinar si la anormalidad coincide con un perfil de ransomware. Las amenazas que permanecen en el nivel bajo se registran y son visibles en la sección Eventos de System Manager. Cuando la probabilidad de ataque es moderada, ONTAP genera una notificación EMS que le solicita que evalúe la amenaza. ONTAP no envía alertas sobre amenazas bajas, sin embargo, a partir de ONTAP 9.14.1, usted puede modificar la configuración de alertas. Para obtener más información, consulte Responda a actividades anormales.

Puede ver información sobre una amenaza, independientemente del nivel, en la sección Eventos de System Manager o con security anti-ransomware volume show el comando.

Las instantáneas de ARP individuales se conservan durante dos días. Si hay varias instantáneas ARP, se retienen durante cinco días de forma predeterminada. A partir de ONTAP 9.11.1, puede modificar la configuración de retención. Para obtener más información, consulte Modifique las opciones de snapshots.

Cuando se sospecha de un ataque, el sistema realiza una instantánea del volumen en ese momento y bloquea esa copia. Si el ataque se confirma más tarde, el volumen se puede restaurar mediante la instantánea ARP.

Las instantáneas bloqueadas no se pueden eliminar por medios normales. Sin embargo, si más tarde decide marcar el ataque como un falso positivo, la copia bloqueada se eliminará.

Con el conocimiento de los ficheros afectados y el tiempo de ataque, es posible recuperar de forma selectiva los ficheros afectados de varias instantáneas, en lugar de simplemente revertir todo el volumen a una de las instantáneas.

De este modo, ARP se basa en la protección de datos ONTAP y la tecnología de recuperación ante desastres demostradas para responder a ataques de ransomware. Consulte los siguientes temas para obtener más información sobre cómo recuperar datos.

A partir de ONTAP 9.13.1, se recomienda habilitar la verificación multiadministrador (MAV) para que se necesiten dos o más administradores de usuarios autenticados para la configuración de protección autónoma contra ransomware (ARP). Para obtener más información, consulte "Habilite la verificación multiadministradora".