Skip to main content
Data Infrastructure Insights
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Sécurité des charges de travail : simulation d'une attaque

Contributeurs netapp-alavoie
PDF

Vous pouvez utiliser les instructions de cette page pour simuler une attaque afin de tester ou de démontrer la sécurité de la charge de travail à l'aide du script de simulation de ransomware inclus.

Choses à noter avant de commencer

  • Le script de simulation de ransomware ne fonctionne que sur Linux. Le script de simulation doit également générer des alertes de haute confiance dans le cas où l'utilisateur a intégré ONTAP ARP à Workload Security.

  • Workload Security détectera les événements et les alertes générés avec NFS 4.1 uniquement si la version ONTAP est 9.15 ou supérieure.

  • Le script est fourni avec les fichiers d’installation de l’agent Workload Security. Il est disponible sur toute machine sur laquelle un agent Workload Security est installé.

  • Vous pouvez exécuter le script sur la machine de l’agent Workload Security elle-même ; il n’est pas nécessaire de préparer une autre machine Linux. Cependant, si vous préférez exécuter le script sur un autre système, copiez simplement le script et exécutez-le là-bas.

  • Les utilisateurs peuvent opter pour le script Python ou Shell en fonction de leurs préférences et des exigences système.

  • Le script Python nécessite des installations préalables. Si vous ne souhaitez pas utiliser Python, utilisez le script shell.

Directives :

Ce script doit être exécuté sur une SVM contenant un dossier avec un nombre substantiel de fichiers à chiffrer, idéalement 100 ou plus, y compris les fichiers dans les sous-dossiers. Assurez-vous que les fichiers ne sont pas vides.

Pour générer l'alerte, mettez temporairement le collecteur en pause avant la création des données de test. Une fois les fichiers d’échantillon générés, reprenez le collecteur et lancez le processus de cryptage.

Mesures:

Préparez le système :

Tout d’abord, montez le volume cible sur la machine. Vous pouvez monter une exportation NFS ou CIFS.

Pour monter l'exportation NFS sous Linux :

mount -t nfs -o vers=4.0 10.193.177.158:/svmvol1 /mntpt
mount -t nfs -o vers=4.0 Vserver data IP>:/nfsvol /destinationlinuxfolder

Ne montez pas la version NFS 4.1 ; elle n'est pas prise en charge par Fpolicy.

Pour monter CIFS sous Linux :

mount -t cifs //10.193.77.91/sharedfolderincluster /root/destinationfolder/ -o username=raisa

Activer la protection autonome contre les ransomwares ONTAP (facultatif) :

Si la version de votre cluster ONTAP est 9.11.1 ou supérieure, vous pouvez activer le service ONTAP Ransomware Protection en exécutant la commande suivante sur la console de commande ONTAP .

 security anti-ransomware volume enable -volume [volume_name] -vserver [svm_name]
Ensuite, configurez un collecteur de données :

  1. Configurez l’agent Workload Security si ce n’est pas déjà fait.

  2. Configurez un collecteur de données SVM si ce n’est pas déjà fait.

  3. Assurez-vous que le protocole de montage est sélectionné lors de la configuration du collecteur de données.

Générez les fichiers d'exemple par programmation :

Avant de créer les fichiers, vous devez d’abord arrêter ou"mettre en pause le collecteur de données" traitement.

Avant d'exécuter la simulation, vous devez d'abord ajouter les fichiers à chiffrer. Vous pouvez soit copier manuellement les fichiers à crypter dans le dossier cible, soit utiliser l'un des scripts inclus pour créer les fichiers par programmation. Quelle que soit la méthode utilisée, assurez-vous qu'au moins 100 fichiers sont présents à crypter.

Si vous choisissez de créer les fichiers par programmation, vous pouvez utiliser le Shell ou Python :

Coquille:

  1. Connectez-vous à la boîte Agent.

  2. Montez un partage NFS ou CIFS depuis la SVM du fichier vers la machine Agent. CD dans ce dossier.

  3. Copiez le script du répertoire d’installation de l’agent (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/shell/create_dataset.sh) vers l’emplacement de montage cible.

  4. Exécutez la commande suivante à l'aide des scripts dans le répertoire monté (par exemple /root/demo) pour créer le dossier et les fichiers du jeu de données de test :

     './create_dataset.sh'
. Cela créera 100 fichiers non vides avec différentes extensions dans le dossier de montage sous un répertoire appelé « test_dataset ».

Python:

Script Python Prérequis :

  • Installez Python (si ce n’est pas déjà fait).

    • Téléchargez Python 3.5.2 ou supérieur depuis https://www.python.org/ .

    • Pour vérifier l’installation de Python, exécutez python --version .

    • Le script Python a été testé sur des versions aussi anciennes que la 3.5.2.

  • Installez pip s'il n'est pas déjà installé :

    • Téléchargez le script get-pip.py depuis https://bootstrap.pypa.io/ .

    • Installer pip en utilisant python get-pip.py .

    • Vérifiez l'installation de pip avec pip --version .

  • Bibliothèque PyCryptodome :

    • Le script utilise la bibliothèque PyCryptodome.

    • Installer PyCryptodome avec pip install pycryptodome .

    • Confirmez l'installation de PyCryptodome en exécutant pip show pycryptodome .

Script de création de fichier Python :

  1. Connectez-vous à la boîte Agent.

  2. Montez un partage NFS ou CIFS depuis la SVM du fichier vers la machine Agent. CD dans ce dossier.

  3. Copiez le script du répertoire d’installation de l’agent (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/python/create_dataset.py) vers l’emplacement de montage cible.

  4. Exécutez la commande suivante à l'aide des scripts dans le répertoire monté (par exemple /root/demo) pour créer le dossier et les fichiers du jeu de données de test :

     'python create_dataset.py'
. Cela créera 100 fichiers non vides avec différentes extensions à l'intérieur du dossier de montage sous un répertoire appelé « test_dataset »

Reprendre le collecteur

Si vous avez mis le collecteur en pause avant de suivre ces étapes, assurez-vous de reprendre le collecteur une fois les fichiers d'exemple créés.

Générez les fichiers d'exemple par programmation :

Avant de créer les fichiers, vous devez d’abord arrêter ou"mettre en pause le collecteur de données" traitement.

Pour générer une alerte Ransomware, vous pouvez exécuter le script inclus qui simulera une alerte ransomware dans Workload Security.

Coquille:

  1. Copiez le script du répertoire d’installation de l’agent (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/shell/simulate_attack.sh) vers l’emplacement de montage cible.

  2. Exécutez la commande suivante à l'aide des scripts dans le répertoire monté (par exemple /root/demo) pour crypter l'ensemble de données de test :

     './simulate_attack.sh'
. Cela cryptera les fichiers d'exemple créés sous le répertoire « test_dataset ».

Python:

  1. Copiez le script du répertoire d’installation de l’agent (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/python/simulate_attack.py) vers l’emplacement de montage cible.

  2. Veuillez noter que les prérequis Python sont installés conformément à la section Prérequis du script Python

  3. Exécutez la commande suivante à l'aide des scripts dans le répertoire monté (par exemple /root/demo) pour crypter l'ensemble de données de test :

     'python simulate_attack.py'
. Cela cryptera les fichiers d'exemple créés sous le répertoire « test_dataset ».

Générer une alerte dans Workload Security

Une fois l’exécution du script du simulateur terminée, une alerte s’affichera sur l’interface Web dans quelques minutes.

Remarque : si toutes les conditions suivantes sont remplies, une alerte de haute confiance sera générée.

  1. Version ONTAP du SVM surveillée supérieure à 9.11.1

  2. Protection autonome contre les ransomwares ONTAP configurée

  3. Le collecteur de données de sécurité de la charge de travail est ajouté en mode Cluster.

Workload Security détecte les modèles de ransomware en fonction du comportement de l'utilisateur tandis ONTAP ARP détecte l'activité de ransomware en fonction des activités de chiffrement dans les fichiers.

Si les conditions sont remplies, Workload Security marque les alertes comme alerte de haute confiance.

Exemple d’alerte de haute confiance sur la page de liste des alertes :

Exemple d'alerte de haute confiance, page de liste

Exemple de détail d’alerte de haute confiance :

Exemple d'alerte de haute confiance, page de détails

Déclenchement de l'alerte plusieurs fois

Workload Security apprend le comportement de l'utilisateur et ne génère pas d'alertes en cas d'attaques de ransomware répétées dans les 24 heures pour le même utilisateur.

Pour générer une nouvelle alerte avec un utilisateur différent, veuillez suivre à nouveau les mêmes étapes (création de données de test puis cryptage des données de test).