Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Proteja sus datos con la protección autónoma contra ransomware de NetApp con IA

Colaboradores netapp-rlithman
PDF

Proteja sus datos con NetApp Autonomous Ransomware Protection with AI (ARP/AI), una función que utiliza el análisis de la carga de trabajo en entornos NAS (NFS/SMB) para detectar y advertir sobre actividad anormal que podría ser un ataque de ransomware. Cuando se sospecha de un ataque, ARP/AI también crea instantáneas nuevas e inmutables desde las que puede restaurar sus datos.

Acerca de esta tarea

Utilice ARP/AI para protegerse contra ataques de denegación de servicio donde el atacante retiene los datos hasta que se paga un rescate. ARP/AI ofrece detección de ransomware en tiempo real basada en:

  • Identificación de los datos entrantes como texto cifrado o sin formato.

  • Análisis que detectan:

    • Entropía: Una evaluación de la aleatoriedad de los datos en un archivo

    • Tipos de extensión de archivo: Una extensión que no se ajusta al tipo de extensión normal

    • IOPS de archivo: Un aumento en la actividad de volumen anormal con cifrado de datos

ARP/AI puede detectar la propagación de la mayoría de los ataques de ransomware después de que solo se cifra una pequeña cantidad de archivos, tomar medidas automáticamente para proteger los datos y alertarlo de que se está produciendo un ataque sospechoso.

La función ARP/AI se actualiza automáticamente según la versión de ONTAP que ejecuta Amazon FSx for NetApp ONTAP, por lo que no es necesario realizar actualizaciones manuales.

Modos de aprendizaje y activos

ARP/AI opera primero en modo de aprendizaje y luego cambia automáticamente al modo activo.

  • Modo de aprendizaje: cuando habilita ARP/AI, se ejecuta en modo de aprendizaje. En el modo de aprendizaje, el sistema de archivos FSx para ONTAP desarrolla un perfil de alerta basado en las áreas analíticas: entropía, tipos de extensión de archivo e IOPS de archivo. Después de que el sistema de archivos ejecuta ARP/AI en modo de aprendizaje durante el tiempo suficiente para evaluar las características de la carga de trabajo, la fábrica de carga de trabajo cambia automáticamente a ARP/AI en modo activo y comienza a proteger sus datos.

  • Modo activo: después de que ARP/AI cambia al modo activo, FSx for ONTAP crea instantáneas de ARP/AI para proteger los datos si se detecta una amenaza.

    En el modo activo, si una extensión de archivo se marca como anormal, debe evaluar la alerta. Puede actuar en la alerta para proteger sus datos o puede marcar la alerta como un falso positivo. Al marcar una alerta como falso positivo, se actualiza el perfil de alerta. Por ejemplo, si la alerta se activa con una nueva extensión de archivo y marca la alerta como un falso positivo, no recibirá una alerta la próxima vez que se observe la extensión de archivo.

Configuraciones no admitidas

Las siguientes configuraciones no admiten el uso de ARP/AI.

  • Volúmenes SAN/Bloque

  • Volúmenes iSCSI

  • Volúmenes de NVMe

Habilitar ARP/AI para un sistema de archivos o un volumen

Habilitar ARP/AI para un sistema de archivos agrega protección para todos los volúmenes NAS existentes y NAS (NFS/SMB) recientemente creados de manera automática. También puede habilitar ARP/AI para volúmenes individuales.

Después de habilitar ARP/AI, si ocurre un ataque y usted identifica que es real, Workload Factory configura automáticamente una política de instantáneas que toma hasta seis instantáneas cada cuatro horas. Cada instantánea queda bloqueada durante 2 a 5 días.

Antes de empezar

Para habilitar ARP/AI para un sistema de archivos o un volumen, debe asociar un enlace. "Aprenda a asociar un enlace existente o a crear y asociar un nuevo enlace" . Después de asociar el enlace, vuelva a esta operación.

Habilitar ARP/AI para un sistema de archivos
Pasos

  1. Inicie sesión con uno de los "experiencias de consola"botones .

  2. En Almacenamiento, selecciona Ir a Inventario de almacenamiento.

  3. En la pestaña FSx for ONTAP, seleccione el menú de tres puntos del sistema de archivos para habilitar ARP/AI y luego seleccione Administrar.

  4. En Información, seleccione el ícono de lápiz junto a Protección autónoma contra ransomware. El ícono del lápiz aparece junto a la flecha cuando el mouse pasa sobre la fila Protección autónoma contra ransomware.

  5. Desde la página de Protección autónoma contra ransomware con IA (ARP/AI) de NetApp , haga lo siguiente:

    1. Habilitar o deshabilitar la función.

    2. Creación automática de instantáneas: seleccione la cantidad máxima de instantáneas que desea conservar y el intervalo de tiempo entre tomas de instantáneas. El valor predeterminado es 6 instantáneas cada 4 horas.

    3. Instantáneas inmutables: seleccione el período de retención predeterminado en horas y la cantidad máxima de días para conservar las instantáneas inmutables. Habilite esta opción para garantizar que las instantáneas no se puedan eliminar ni modificar hasta que finalice el período de retención especificado.

    4. Detección: Opcionalmente, seleccione cualquiera de los siguientes parámetros para escanear y detectar anomalías automáticamente.

  6. Acepte la sentencia para continuar.

  7. Seleccione Aplicar para guardar los cambios.

Habilitar ARP/AI para un volumen
Pasos

  1. Inicie sesión con uno de los "experiencias de consola"botones .

  2. En Almacenamiento, selecciona Ir a Inventario de almacenamiento.

  3. En la pestaña FSx for ONTAP, seleccione el menú de tres puntos del sistema de archivos para habilitar ARP/AI y luego seleccione Administrar.

  4. Desde la pestaña Volúmenes, seleccione el menú de tres puntos del volumen para habilitar ARP/AI, luego Acciones de protección de datos y luego Administrar ARP/AI.

  5. En el cuadro de diálogo Administrar ARP/AI, haga lo siguiente:

    1. Habilitar o deshabilitar la función.

    2. Detección: Opcionalmente, seleccione cualquiera de los siguientes parámetros para escanear y detectar anomalías automáticamente.

  6. Acepte la sentencia para continuar.

  7. Seleccione Aplicar para guardar los cambios.

Validar ataques de ransomware

Determina si un ataque es una falsa alarma o un incidente de ransomware genuino.

Pasos

  1. Inicie sesión con uno de los "experiencias de consola"botones .

  2. En Almacenamiento, selecciona Ir a Inventario de almacenamiento.

  3. Desde la descripción general del sistema de archivos, seleccione la pestaña Volúmenes.

  4. Seleccione Analizar ataques desde el mosaico de Protección contra ransomware autónoma.

  5. Descargue el informe de eventos de ataque para revisar si algún archivo o carpeta se vio comprometido y luego decidir si se ha producido un ataque.

  6. Si no se produjo ningún ataque, seleccione Falsa alarma para el volumen de la tabla y luego seleccione Cerrar

  7. Si se ha producido un ataque, selecciona Ataque real para el volumen de la tabla. Se abre el cuadro de diálogo Restore compromised volume data. Puede proceder a recupere sus datos inmediatamente o seleccionar Cerrar y volver a completar el proceso de recuperación más tarde.

Recupere los datos después de un ataque de ransomware

Cuando se sospecha de un ataque, el sistema toma una instantánea del volumen en ese momento y bloquea esa copia. Si el ataque se confirma más tarde, se pueden restaurar los archivos afectados o el volumen completo utilizando la instantánea ARP/AI.

Las instantáneas bloqueadas no se pueden eliminar hasta que finalice el período de retención. Sin embargo, si más tarde decide marcar el ataque como un falso positivo, la copia bloqueada se eliminará.

Con el conocimiento de los ficheros afectados y el tiempo de ataque, es posible recuperar de forma selectiva los ficheros afectados de varias instantáneas, en lugar de simplemente revertir todo el volumen a una de las instantáneas.

Pasos

  1. Inicie sesión con uno de los "experiencias de consola"botones .

  2. En Almacenamiento, selecciona Ir a Inventario de almacenamiento.

  3. Desde la descripción general del sistema de archivos, seleccione la pestaña Volúmenes.

  4. Seleccione Analizar ataques desde el mosaico de Protección contra ransomware autónoma.

  5. Si se ha producido un ataque, selecciona Ataque real para el volumen de la tabla.

  6. En el cuadro de diálogo Restore compromised volume data, siga las instrucciones para restaurar en el nivel de archivo o volumen. En la mayoría de los casos, restaurará archivos en lugar de un volumen entero.

  7. Después de completar la restauración, seleccione Cerrar.

Resultado

Se han restaurado los datos en peligro.