Depuis la version ONTAP 9.16.1, ARP améliore la cyberrésilience en adoptant un modèle de machine learning pour l'analytique anti-ransomware qui détecte les formes de ransomware en constante évolution avec un taux de précision de 99 %. Le modèle de machine learning d'ARP est pré-entraîné sur un dataset volumineux de fichiers, à la fois avant et après une simulation d'attaque par ransomware. Cette formation intensive en ressources est réalisée en dehors de ONTAP, mais l'apprentissage de cette formation est utilisé pour le modèle au sein de ONTAP.

Avec les volumes ARP/ai et FlexVol, il n'y a pas de période d'apprentissage. ARP/ai démarre en mode actif immédiatement après l'installation ou la mise à niveau vers 9.16. Après la mise à niveau de votre cluster vers ONTAP 9.16.1, ARP/ai sera automatiquement activé pour les volumes FlexVol existants et nouveaux si ARP est déjà activé pour ces volumes.

"En savoir plus sur l'activation d'ARP/ai"

Pour vous protéger efficacement contre les menaces les plus récentes de ransomware, le protocole ARP/ai propose des mises à jour automatiques fréquentes qui ne sont pas cadrées entre les mises à niveau et les versions ONTAP. Si c'est le cas"mises à jour automatiques activées", vous pourrez également commencer à recevoir des mises à jour de sécurité automatiques vers ARP/ai après avoir sélectionné des mises à jour automatiques pour les fichiers de sécurité. Vous pouvez également choisir d'effectuer ces mises à jour manuellement et de contrôler le moment où elles se produisent.

Depuis ONTAP 9.16.1, les mises à jour de sécurité pour ARP/ai sont disponibles via System Manager en plus des mises à jour du système et du micrologiciel.

"En savoir plus sur les mises à jour ARP/ai"

Le support ARP est inclus avec "Licence ONTAP ONE". Si vous ne disposez pas de la licence ONTAP One, d'autres licences sont disponibles pour utiliser le protocole ARP qui varie en fonction de votre version de ONTAP.

"Découvrez le rétablissement ARP".

Une stratégie efficace de détection des ransomwares doit inclure plus d'une couche de protection unique

On pourrait comparer les caractéristiques de sécurité d'un véhicule. Vous ne vous fiez pas à une seule fonction, telle qu'une ceinture de sécurité, pour vous protéger complètement en cas d'accident. Les sacs gonflables, les freins antiblocage et l'avertissement de collision avant sont tous des dispositifs de sécurité supplémentaires qui permettront d'obtenir un meilleur résultat. La protection contre les ransomwares doit être vue de la même manière.

Alors que ONTAP inclut des fonctionnalités comme FPolicy, snapshots, SnapLock et Active IQ Digital Advisor (également appelé Digital Advisor) pour vous protéger contre les attaques par ransomware, les informations suivantes se concentrent sur la fonctionnalité intégrée ARP avec des fonctionnalités de machine learning.

Pour en savoir plus sur les autres fonctionnalités de ONTAP contre les ransomware, consultez "Ransomware et le portefeuille de solutions de protection de NetApp".

Le protocole ARP est conçu pour vous protéger contre les attaques par déni de service où l'attaquant conserve ses données jusqu'au paiement d'une rançon. ARP propose une détection en temps réel des ransomware basée sur :

ARP peut détecter la propagation de la plupart des attaques par ransomware après le chiffrement d'un petit nombre de fichiers uniquement, l'action automatique pour protéger les données et vous avertir qu'une attaque suspectée a lieu.

ARP a deux modes :

Pour tous les ARP fonctionnant avec ONTAP 9.10.1 à 9.15.1 et ARP utilisés pour les volumes FlexGroup avec ONTAP 9.16.1, lorsque vous activez ARP, il s'exécute en mode d'apprentissage. En mode apprentissage, le système ONTAP développe un profil d'alerte basé sur les zones analytiques : entropie, types d'extension de fichier et IOPS de fichier. Après avoir exécuté ARP en mode d'apprentissage pendant suffisamment de temps pour évaluer les caractéristiques de la charge de travail, vous pouvez passer en mode actif et commencer à protéger vos données.

Il est recommandé de laisser ARP en mode d'apprentissage pendant 30 jours. À partir de ONTAP 9.13.1, ARP détermine automatiquement l'intervalle d'apprentissage optimal et automatise le commutateur, qui peut se produire avant 30 jours.

Pour le protocole ARP fonctionnant avec ONTAP 9.10.1 à 9.15.1, le protocole ARP passe en active mode une fois l'intervalle d'apprentissage optimal terminé. Avec ARP/ai débutant dans ONTAP 9.16.1, il n'y a pas de période d'apprentissage lorsque ARP est utilisé avec des volumes FlexVol. Le protocole ARP/ai sur les volumes FlexVol démarre en mode actif immédiatement après l'installation ou la mise à niveau vers la version 9.16.1. Si vous utilisez ONTAP 9.16.1 et ARP avec des volumes FlexGroup, une période d'apprentissage est toujours nécessaire avant de passer en mode actif.

Une fois que le protocole ARP est passé en mode actif, ONTAP crée des instantanés ARP pour protéger les données en cas de détection d'une menace.

En mode actif, si une extension de fichier est marquée comme anormale, vous devez évaluer l'alerte. Vous pouvez agir sur l'alerte pour protéger vos données ou marquer l'alerte comme un faux positif. Le fait de marquer une alerte comme un faux positif met à jour le profil d'alerte. Par exemple, si l'alerte est déclenchée par une nouvelle extension de fichier et que vous marquez l'alerte comme un faux positif, vous ne recevrez pas d'alerte la prochaine fois que l'extension de fichier sera observée.

En mode actif, ARP évalue la probabilité de menace en fonction des données entrantes mesurées par rapport aux analyses apprises. Une mesure est attribuée lorsque ARP détecte une menace :

En cas de menace faible, ONTAP détecte une anomalie et crée un snapshot du volume pour créer le meilleur point de restauration. ONTAP ajoute le nom de l'instantané ARP Anti-ransomware-backup pour le rendre facilement identifiable ; par exemple, Anti_ransomware_backup.2022-12-20_1248.

La menace passe au niveau modéré après l'exécution d'un rapport d'analytique par ONTAP qui détermine si l'anomalie correspond à un profil de ransomware. Les menaces qui restent au niveau bas sont consignées et visibles dans la section événements de System Manager. Lorsque la probabilité d'attaque est modérée, ONTAP génère une notification EMS vous invitant à évaluer la menace. ONTAP n'envoie pas d'alertes en cas de menaces faibles, mais à partir de ONTAP 9.14.1, vous pouvez le faire modifier les paramètres des alertes. Pour plus d'informations, voir Réagir à une activité anormale.

Vous pouvez afficher des informations sur une menace, quel que soit le niveau, dans la section Events de System Manager ou à l'aide de la security anti-ransomware volume show commande.

Les instantanés ARP individuels sont conservés pendant deux jours. S'il existe plusieurs instantanés ARP, ils sont conservés pendant cinq jours par défaut. À partir de ONTAP 9.11.1, vous pouvez modifier les paramètres de rétention. Pour plus d'informations, voir Modifier les options pour les instantanés.

En cas de suspicion d'attaque, le système utilise une copie Snapshot du volume à ce stade et verrouille cette copie. Si l'attaque est confirmée ultérieurement, le volume peut être restauré à l'aide de l'instantané ARP.

Les snapshots verrouillés ne peuvent pas être supprimés par des moyens normaux. Cependant, si vous décidez plus tard de marquer l'attaque comme un faux positif, la copie verrouillée sera supprimée.

En connaissant les fichiers affectés et l'heure de l'attaque, il est possible de restaurer de manière sélective les fichiers affectés à partir de différents snapshots plutôt que de simplement restaurer l'ensemble du volume sur l'un des snapshots.

ARP s'appuie donc sur la technologie de protection des données et de reprise après incident ONTAP éprouvée pour répondre aux attaques par ransomware. Pour plus d'informations sur la récupération de données, reportez-vous aux rubriques suivantes.

À partir de la version ONTAP 9.13.1, il est recommandé d'activer la vérification multiadministrateur afin que deux administrateurs d'utilisateurs authentifiés ou plus soient requis pour la configuration ARP (Autonomous ransomware protection). Pour plus d'informations, voir "Activez la vérification multiadministrateur".