Voyons comment les fonctionnalités mentionnées ci-dessus fonctionnent avec VMware pour protéger et restaurer les données contre les ransomwares. Pour protéger vSphere et les ordinateurs virtuels invités contre les attaques, il est essentiel de prendre plusieurs mesures, notamment la segmentation, l'utilisation d'EDR/XDR/SIEM pour les terminaux, l'installation de mises à jour de sécurité et le respect des directives de renforcement appropriées. Chaque machine virtuelle résidant sur un datastore héberge également un système d'exploitation standard. Assurez-vous que des suites de produits contre les programmes malveillants sont installées sur vos serveurs d'entreprise et régulièrement mises à jour, ce qui constitue un composant essentiel de la stratégie de protection multicouche contre les ransomwares. Par ailleurs, activez la protection anti-ransomware autonome (ARP) sur le volume NFS qui alimente le datastore. ARP exploite le ML intégré DE LA MACHINE à ML qui analyse l'activité des workloads de volume et l'entropie des données pour détecter automatiquement les ransomware. Le protocole ARP est configurable via l'interface de gestion intégrée ONTAP ou le gestionnaire système. Il est activé par volume.

Une fois en mode actif, il commence à rechercher l'activité de volume anormale qui pourrait être une attaque par ransomware. En cas d'activité anormale, une copie Snapshot automatique est immédiatement effectuée, ce qui fournit un point de restauration aussi proche que possible de l'infection par le fichier. ARP peut détecter les modifications des extensions de fichiers spécifiques à la machine virtuelle sur un volume NFS situé en dehors de la machine virtuelle lorsqu'une nouvelle extension est ajoutée au volume chiffré ou qu'une extension de fichier est modifiée.

Si une attaque par ransomware cible la machine virtuelle et altère les fichiers au sein de la machine virtuelle sans effectuer de modifications hors de la machine virtuelle, la protection avancée contre les ransomware (ARP) continue de détecter la menace si l'entropie par défaut de la machine virtuelle est faible, par exemple pour des fichiers de type .txt, .docx ou .mp4. Même si ARP crée un snapshot de protection dans ce scénario, il ne génère pas d'alerte de menace car les extensions de fichier en dehors de la machine virtuelle n'ont pas été falsifiées. Dans de tels scénarios, les couches de défense initiales identifieraient l'anomalie, mais ARP aide à créer un instantané basé sur l'entropie.

Pour plus d’informations, reportez-vous à la section “ARP et machines virtuelles” dans "ARP usecas et considérations".

En passant des fichiers aux données de sauvegarde, les attaques par ransomware ciblent de plus en plus les sauvegardes et les points de restauration Snapshot en essayant de les supprimer avant de commencer à chiffrer des fichiers. Cependant, avec ONTAP, cela peut être empêché en créant des snapshots inviolables sur les systèmes primaires ou secondaires avec "Verrouillage des copies NetApp Snapshot™".

Ces copies Snapshot ne peuvent pas être supprimées ou modifiées par des attaquants de ransomware ou des administrateurs peu scrupuleux, et elles sont disponibles même après une attaque. Si le datastore ou des machines virtuelles spécifiques sont affectés, SnapCenter peut restaurer les données des serveurs virtuels en quelques secondes, ce qui réduit au minimum le temps d'indisponibilité de l'entreprise.

La démonstration ci-dessus montre comment le stockage ONTAP ajoute une couche supplémentaire aux techniques existantes pour améliorer la pérennisation de l'environnement.

Pour plus d'informations, consultez le guide pour "Solutions NetApp pour ransomware".

Si toutes ces questions doivent être orchestrées et intégrées avec des outils SIEM, il est possible d'utiliser le service OFFTAP tel que la protection contre les ransomware BlueXP . Il s'agit d'un service conçu pour protéger les données contre les ransomwares. Ce service protège les charges de travail basées sur les applications, comme Oracle, MySQL, les datastores de machines virtuelles et les partages de fichiers sur un stockage NFS sur site.

Dans cet exemple, le datastore NFS « SRC_NFS_DS04 » est protégé grâce à la protection contre les ransomwares de BlueXP .

Pour plus d'informations sur la configuration de la protection contre les ransomwares BlueXP , reportez-vous aux sections "Configurez la protection BlueXP  contre les ransomware" et "Configurez les paramètres de protection contre les ransomwares BlueXP".

Il est temps de citer un exemple. Dans cette procédure, le datastore “SRC_NFS_DS04” est affecté.

ARP a immédiatement déclenché un snapshot sur le volume lors de la détection.

Une fois l'analyse approfondie terminée, les restaurations peuvent être effectuées rapidement et de manière transparente à l'aide de la protection contre les ransomware de SnapCenter ou de BlueXP . Avec SnapCenter, accédez aux machines virtuelles concernées et sélectionnez l'instantané approprié à restaurer.

Dans cette section, nous vous expliquera comment BlueXP  orchestre la protection contre les ransomwares en cas d'incident avec lequel les fichiers de la VM sont chiffrés.

La solution NetApp fournit divers outils efficaces pour la visibilité, la détection et la résolution des problèmes, ce qui vous aide à détecter rapidement les ransomware, à prévenir cette propagation et à restaurer rapidement, si nécessaire, pour éviter les interruptions coûteuses. Les solutions de défense à plusieurs couches classiques restent répandues, tout comme les solutions tierces et partenaires pour la visibilité et la détection. Une solution efficace reste une partie essentielle de la réponse à toute menace.