Notas de la versión
Información general sobre la protección de ransomware autónoma
Sugerir cambios
-
PDF de este sitio de documentos
-
Administración de clústeres
-
Administración de volúmenes
-
Gestión de almacenamiento lógico con CLI
-
Utilice cuotas para restringir o realizar un seguimiento del uso de los recursos
-
-
-
Gestión del almacenamiento nas
-
Configure NFS con la CLI
-
Gestione NFS con la interfaz de línea de comandos
-
Gestione SMB con la interfaz de línea de comandos
-
Gestione servidores SMB
-
Gestione el acceso a archivos mediante SMB
-
-
-
Gestión del almacenamiento san
-
Autenticación y control de acceso
-
Seguridad y cifrado de datos
-
Protección de datos y recuperación ante desastres
-
Protección de datos con la interfaz de línea de comandos
-
-
Recopilación de documentos PDF independientes
Creating your file...
A partir de ONTAP 9.10.1, la función de protección de ransomware autónoma (ARP) utiliza análisis de cargas de trabajo en entornos NAS (NFS y SMB) para detectar de forma proactiva y advertir sobre una actividad anormal que puede indicar un ataque de ransomware.
Cuando se sospecha una presencia de un ataque, ARP también crea nuevas copias Snapshot, además de la protección existente frente a copias Snapshot programadas.
Licencias y habilitación
ARP requiere una licencia. ARP está disponible con el "Licencia ONTAP ONE". Si no tiene la licencia ONTAP One, hay otras licencias disponibles para usar ARP, que varían en función de la versión de ONTAP.
| Lanzamientos de ONTAP | Licencia |
|---|---|
ONTAP 9.11.1 y versiones posteriores |
Antiransomware |
ONTAP 9.10.1 |
MT_EK_MGMT (gestión de claves multi-tenant) |
-
Si actualiza a ONTAP 9.11.1 o una versión posterior y ARP ya está configurado en el sistema, no necesita adquirir la nueva licencia contra ransomware. Para las nuevas configuraciones ARP, se requiere la nueva licencia.
-
Si va a revertir de ONTAP 9.11.1 o posterior a ONTAP 9.10.1 y habilitó ARP con la licencia Anti-ransomware, verá un mensaje de advertencia y es posible que deba volver a configurar ARP. "Aprenda sobre cómo revertir ARP".
Puede configurar ARP por volumen mediante System Manager o la CLI de ONTAP.
Estrategia de protección contra ransomware ONTAP
Una estrategia efectiva de detección de ransomware debe incluir más que una única capa de protección.
Una analogía sería las características de seguridad de un vehículo. No dependes de una sola característica, como un cinturón de seguridad, para protegerte por completo en caso de accidente. Las bolsas de aire, los frenos antibloqueo y la advertencia de colisión frontal son características de seguridad adicionales que conducirán a un resultado mucho mejor. La protección contra ransomware debe verse de la misma manera.
Aunque ONTAP incluye funciones como FPolicy, copias Snapshot, SnapLock y el asesor digital de Active IQ para ayudarle a protegerse del ransomware, la siguiente información se centra en la función ARP integrada con funcionalidades de aprendizaje automático.
Para obtener más información sobre otras funciones contra el ransomware de ONTAP, consulte "TR-4572: Solución de NetApp para ransomware."
Lo que ARP detecta
ARP está diseñado para proteger contra ataques de denegación de servicio en los que el atacante retiene datos hasta que se pague un rescate. ARP ofrece detección contra ransomware basada en:
-
Identificación de los datos entrantes como texto cifrado o sin formato.
-
Análisis, que detecta
-
Entropía: Una evaluación de la aleatoriedad de los datos en un archivo
-
Tipos de extensión de archivo: Una extensión que no se ajusta al tipo de extensión normal
-
IOPS de archivo: Un aumento en la actividad de volumen anormal con cifrado de datos (a partir de ONTAP 9.11.1)
-
ARP puede detectar la propagación de la mayoría de ataques de ransomware solo una pequeña cantidad de archivos se cifran, toman medidas automáticamente para proteger los datos y avisan de que se está produciendo un ataque sospechoso.
|
Ningún sistema de detección o prevención de ransomware puede garantizar completamente la seguridad de un ataque de ransomware. Aunque es posible que un ataque no se detecte, ARP actúa como una capa adicional importante de defensa si el software antivirus no ha podido detectar una intrusión. |
Modos de aprendizaje y activos
ARP tiene dos modos:
-
Aprendizaje (o modo “dry run”)
-
Activo (o modo “habilitado”)
Cuando habilita ARP, se ejecuta en modo de aprendizaje. En el modo de aprendizaje, el sistema ONTAP desarrolla un perfil de alerta basado en las áreas de análisis: Entropía, tipos de extensiones de archivos e IOPS de archivos. Después de ejecutar ARP en el modo de aprendizaje durante el tiempo suficiente para evaluar las características de la carga de trabajo, puede cambiar al modo activo y empezar a proteger los datos. Una vez que ARP ha cambiado al modo activo, ONTAP crea copias snapshot de ARP para proteger los datos en caso de que se detecte una amenaza.
Se recomienda dejar ARP en modo de aprendizaje durante 30 días. A partir de ONTAP 9.13.1, ARP determina automáticamente el intervalo óptimo del período de aprendizaje y automatiza el switch, que puede ocurrir antes de 30 días.
En el modo activo, si una extensión de archivo se marca como anormal, debe evaluar la alerta. Puede actuar en la alerta para proteger sus datos o puede marcar la alerta como un falso positivo. Al marcar una alerta como falso positivo, se actualiza el perfil de alerta. Por ejemplo, si la alerta se activa con una nueva extensión de archivo y marca la alerta como un falso positivo, no recibirá una alerta la próxima vez que se observe la extensión de archivo. El comando security anti-ransomware volume workload-behavior show muestra las extensiones de archivo que se han detectado en el volumen. (Si ejecuta este comando al principio del modo de aprendizaje y muestra una representación precisa de los tipos de archivo, no debe utilizar esos datos como base para pasar al modo activo, ya que ONTAP sigue recopilando otras métricas).
A partir de ONTAP 9.11.1, se pueden personalizar los parámetros de detección para ARP. Para obtener más información, consulte Administrar los parámetros de detección de ataques ARP.
Evaluación de amenazas y copias Snapshot de ARP
En el modo activo, ARP evalúa la probabilidad de amenaza en función de los datos entrantes medidos con respecto a los análisis aprendidos. Se asigna una medición cuando ARP detecta una amenaza:
-
Bajo: La detección más temprana de una anomalía en el volumen (por ejemplo, se observa una nueva extensión de archivo en el volumen).
-
Moderado: Se observan múltiples archivos con la misma extensión de archivo Never-seen-before.
-
En ONTAP 9.10.1, el umbral para escalar a moderado es de 100 archivos o más. A partir de ONTAP 9.11.1, la cantidad de archivo es modificable; su valor predeterminado es 20.
-
En un caso de amenaza baja, ONTAP detecta una anomalía y crea una copia Snapshot del volumen para crear el mejor punto de recuperación. ONTAP antepone el nombre de la copia Snapshot de ARP con Anti-ransomware-backup para que sea fácilmente identificable, por ejemplo Anti_ransomware_backup.2022-12-20_1248.
La amenaza se escala a moderada después de que ONTAP ejecuta un informe de análisis para determinar si la anormalidad coincide con un perfil de ransomware. Las amenazas que permanecen en el nivel bajo se registran y son visibles en la sección Eventos de System Manager. Cuando la probabilidad de ataque es moderada, ONTAP genera una notificación EMS que le solicita que evalúe la amenaza. ONTAP no envía alertas sobre amenazas bajas, sin embargo, a partir de ONTAP 9.14.1, usted puede modificar la configuración de alertas. Para obtener más información, consulte Responda a actividades anormales.
Puede ver información sobre una amenaza, independientemente del nivel, en la sección Eventos de System Manager o con la security anti-ransomware volume show comando.
Las copias Snapshot de ARP se conservan durante un mínimo de dos días. A partir de ONTAP 9.11.1, puede modificar la configuración de retención. Para obtener más información, consulte Modifique las opciones para las copias Snapshot.
Cómo recuperar los datos en ONTAP después de un ataque de ransomware
Cuando se sospecha la existencia de un ataque, el sistema toma una copia snapshot para el volumen en ese momento específico y bloquea esa copia. Si más tarde se confirma el ataque, el volumen se puede restaurar mediante la copia snapshot de ARP.
Las copias snapshot bloqueadas no se pueden eliminar de forma normal. Sin embargo, si más tarde decide marcar el ataque como un falso positivo, la copia bloqueada se eliminará.
Con el conocimiento de los ficheros afectados y el tiempo del ataque, es posible recuperar de forma selectiva los ficheros afectados de varias copias snapshot, en lugar de simplemente revertir el volumen completo a una de las copias snapshot.
De este modo, ARP se basa en la protección de datos ONTAP y la tecnología de recuperación ante desastres demostradas para responder a ataques de ransomware. Consulte los siguientes temas para obtener más información sobre cómo recuperar datos.