Découvrez la protection anti-ransomware autonome de ONTAP
Suggérer des modifications
PDF
À partir d' ONTAP 9.10.1, les administrateurs ONTAP peuvent activer la protection autonome contre les ransomwares (ARP) pour analyser la charge de travail dans les environnements NAS (NFS et SMB) afin de détecter et d'alerter proactivement toute activité anormale pouvant indiquer une attaque de ransomware. À partir d' ONTAP 9.17.1, ARP prend également en charge les volumes de périphériques en mode bloc, y compris les volumes SAN contenant des LUN ou des espaces de noms NVMe, ou les volumes NAS contenant des disques virtuels provenant d'hyperviseurs tels que VMware, Hyper-V et KVM.
ARP est directement intégré à ONTAP, assurant un contrôle et une coordination intégrés avec les autres fonctionnalités d'ONTAP. ARP fonctionne en temps réel, traitant les données au fur et à mesure de leur écriture ou de leur lecture dans le système de fichiers, et détectant et répondant rapidement aux attaques potentielles de ransomware.
ARP crée des snapshots verrouillés à intervalles réguliers, en plus des snapshots programmés, pour une protection renforcée. Il gère intelligemment la durée de conservation des instantanés. Si aucune activité inhabituelle n'est détectée, les snapshots sont rapidement recyclés. Cependant, si une attaque est détectée, un snapshot créé avant le début de l'attaque est conservé pendant une période prolongée.
Licences et activation
Le support ARP est inclus avec le "Licence ONTAP ONE" . Si vous ne disposez pas de la licence ONTAP One, d'autres licences sont disponibles pour l'utilisation d'ARP qui diffèrent selon votre version d' ONTAP.
| Versions d'ONTAP | Licence |
|---|---|
ONTAP 9.11.1 et versions ultérieures |
|
ONTAP 9.10.1 |
|
-
Si vous effectuez une mise à niveau d' ONTAP 9.10.1 vers ONTAP 9.11.1 ou une version ultérieure et qu'ARP est déjà configuré sur votre système, vous n'avez pas besoin d'installer le nouveau
Anti-ransomwarelicence. Pour les nouvelles configurations ARP, la nouvelle licence est requise. -
Si vous revenez d' ONTAP 9.11.1 ou version ultérieure à ONTAP 9.10.1 et que vous avez activé ARP avec la licence Anti_ransomware, vous verrez un message d'avertissement et devrez peut-être reconfigurer ARP. "Découvrez le rétablissement ARP" .
Stratégie ONTAP de protection contre les ransomwares
Une stratégie efficace de détection des ransomwares doit inclure plus d’une seule couche de protection. Considérez les caractéristiques de sécurité d’un véhicule comme une analogie. Vous ne comptez pas sur une seule fonctionnalité, comme une ceinture de sécurité, pour vous protéger complètement en cas d’accident. Les coussins gonflables, les freins antiblocage et l’avertissement de collision avant sont des dispositifs de sécurité qui, ensemble, conduisent à un meilleur résultat. La protection contre les ransomwares doit être considérée de la même manière.
Bien qu'ONTAP inclue des fonctionnalités telles que ONTAP , les instantanés, SnapLock et Active IQ Digital Advisor (également connu sous le nom de Digital Advisor) pour aider à se protéger contre les ransomwares, les informations suivantes se concentrent sur la fonctionnalité ARP avec des capacités d'apprentissage automatique.
Pour en savoir plus sur les autres fonctionnalités du portefeuille NetApp qui protègent contre les ransomwares, consultez "Ransomware et le portefeuille de solutions de protection de NetApp" .
Ce que le protocole ARP détecte
ONTAP ARP est conçu pour protéger contre les attaques par déni de service (DDoS), où l'attaquant retient les données jusqu'au paiement d'une rançon. ARP offre une détection des rançongiciels en temps réel basée sur les éléments suivants :
-
Identification des données entrantes sous forme de texte chiffré ou brut.
-
Une analytique qui détecte :
-
Entropie : (Utilisé dans NAS et SAN) Une évaluation du caractère aléatoire des données dans un fichier
-
Types d'extensions de fichiers : (utilisé uniquement dans NAS) Une extension de fichier qui n'est pas conforme aux types d'extension attendus
-
IOPS de fichier : (utilisé dans les NAS uniquement à partir d' ONTAP 9.11.1) Une augmentation de l'activité anormale du volume avec chiffrement des données
-
ARP détecte la propagation de la plupart des attaques de ransomware après le chiffrement d'un petit nombre de fichiers, répond automatiquement pour protéger les données et vous avertit qu'une attaque suspectée est en cours.
|
Aucun système de détection de ransomware ne peut garantir une sécurité totale. ARP fournit une couche de défense supplémentaire si le logiciel antivirus ne parvient pas à détecter une intrusion. |
En savoir plus sur les modes ARP
Une fois ARP activé pour un volume, il entre dans une période d’apprentissage pour établir une ligne de base. ARP analyse les mesures du système pour développer un profil d’alerte avant de passer au mode de détection active. En mode actif, ARP surveille les activités anormales, prend des mesures de protection et génère des alertes s'il détecte un comportement anormal.
Pour ARP, les comportements du mode d'apprentissage et du mode actif diffèrent selon la version ONTAP , le type de volume et le protocole (NAS ou SAN).
Environnements NAS et types de modes
apprentissage et actif. ARP/IA exécuté dans des environnements NAS à partir d' ONTAP 9.16.1, il n'y a pas de période d'apprentissage lorsque ARP est utilisé avec des volumes FlexVol .
Le tableau suivant résume les différences entre ONTAP 9.10.1 et les versions ultérieures pour les environnements NAS.
| Mode | Description | Types et versions de volumes | ||
|---|---|---|---|---|
Apprentissage |
Pour ONTAP 9.15.1 à 9.10.1, ARP est automatiquement défini en mode d'apprentissage lorsque vous activez ARP. En mode d'apprentissage, le système ONTAP développe un profil d'alerte basé sur les domaines d'analyse suivants : entropie, types d'extensions de fichiers et IOPS de fichiers. Il est recommandé de laisser ARP en mode d'apprentissage pendant 30 jours. À partir d' ONTAP 9.13.1, ARP détermine automatiquement l'intervalle d'apprentissage optimal et automatise le basculement, qui peut intervenir avant 30 jours. Pour les versions antérieures à ONTAP 9.13.1, vous pouvez effectuer le basculement manuellement.
|
|
||
Actif |
Après avoir exécuté ARP en mode d'apprentissage pendant une durée suffisante pour évaluer les caractéristiques de la charge de travail, vous pouvez passer en mode actif et commencer à protéger vos données. À partir d' ONTAP 9.13.1, ARP détermine automatiquement l'intervalle d'apprentissage optimal et automatise le basculement, qui peut intervenir avant 30 jours. Avec ONTAP 9.15.1 à 9.10.1, ARP passe en mode actif une fois la période d'apprentissage optimale terminée. Une fois ARP activé, ONTAP crée des snapshots ARP pour protéger les données en cas de détection d'une menace. En mode actif, si une extension de fichier est signalée comme anormale, vous devez évaluer l'alerte. Vous pouvez agir sur l'alerte pour protéger vos données ou la marquer comme faux positif. Marquer une alerte comme faux positif met à jour le profil d'alerte. Par exemple, si l'alerte est déclenchée par une nouvelle extension de fichier et que vous la marquez comme faux positif, vous ne recevrez pas d'alerte la prochaine fois que l'extension de fichier sera détectée. |
Toutes les versions ONTAP prises en charge et les volumes FlexVol et FlexGroup |
Environnements SAN et types de modes
Les environnements SAN utilisent des périodes d'évaluation (similaires aux modes d'apprentissage des environnements NAS) avant de passer automatiquement à la détection active. Le tableau suivant récapitule les modes d'évaluation et actif.
| Mode | Description | Types et versions de volumes |
|---|---|---|
Évaluation |
Une période d'évaluation de deux à quatre semaines est effectuée afin de déterminer le comportement de chiffrement de base. Vous pouvez vérifier si la période d'évaluation est terminée en exécutant la commande |
|
Actif |
Après la période d'évaluation, vous pouvez déterminer si la protection ARP SAN est active en exécutant le |
|
Évaluation des menaces et instantanés ARP
ARP évalue la probabilité de menace en fonction des données entrantes mesurées par rapport aux analyses acquises. Lorsqu'ARP détecte une anomalie, une mesure est attribuée. Un instantané peut être attribué au moment de la détection ou à intervalles réguliers.
seuils ARP
-
Faible : première détection d'une anomalie dans le volume (par exemple, une nouvelle extension de fichier est observée dans le volume). Ce niveau de détection n'est disponible que dans les versions antérieures à ONTAP 9.16.1 qui n'ont pas ARP/ai.
-
À partir d' ONTAP 9.11.1, vous pouvez "personnaliser les paramètres de détection pour ARP" .
-
Dans ONTAP 9.10.1, le seuil de remontée à modéré est de 100 fichiers ou plus.
-
-
Modéré : Une entropie élevée est détectée ou plusieurs fichiers portant la même extension inédite sont observés. Il s'agit du niveau de détection de base dans ONTAP 9.16.1 et versions ultérieures avec ARP/AI.
La menace devient modérée après ONTAP a généré un rapport d'analyse déterminant si l'anomalie correspond à un profil de rançongiciel. Lorsque la probabilité d'attaque est modérée, ONTAP génère une notification EMS vous invitant à évaluer la menace. ONTAP n'envoie pas d'alertes sur les menaces faibles ; cependant, à partir d'ONTAP 9.14.1, vous pouvez "modifier les paramètres d'alerte par défaut". voir "Réagir à une activité anormale" .
Vous pouvez afficher des informations sur les menaces modérées dans la section Events de System Manager ou à l'aide de security anti-ransomware volume show la commande. Les événements à faible menace peuvent également être affichés à l'aide de security anti-ransomware volume show la commande dans les versions antérieures à ONTAP 9.16.1 qui n'ont pas ARP/ai. Pour en savoir plus, security anti-ransomware volume show consultez le "Référence de commande ONTAP".
Instantanés ARP
ARP crée un instantané lorsque les premiers signes d’une attaque sont détectés. Une analyse détaillée est ensuite effectuée pour confirmer ou infirmer l'attaque potentielle. Étant donné que les instantanés ARP sont créés de manière proactive avant même qu'une attaque ne soit entièrement confirmée, ils peuvent également être générés à intervalles réguliers pour certaines applications légitimes. La présence de ces instantanés ne doit pas être considérée comme une anomalie. Si une attaque est confirmée, la probabilité d’attaque est augmentée à Moderate et une notification d'attaque est générée.
À partir d' ONTAP 9.17.1, des instantanés ARP sont générés à intervalles réguliers pour les volumes NAS et SAN ainsi qu'en réponse aux anomalies détectées. ONTAP ajoute un nom au snapshot ARP pour le rendre facilement identifiable.
À partir d' ONTAP 9.11.1, vous pouvez modifier les paramètres de rétention. Pour plus d'informations, consultez la section "Modifier les options pour les instantanés" .
Le tableau suivant résume les différences entre les instantanés ARP par version.
| Fonction | ONTAP 9.17.1 et versions ultérieures | ONTAP 9.16.1 et versions antérieures |
|---|---|---|
Déclencheur de création |
Un instantané « périodique » ou « d’attaque » est créé en fonction du type de déclencheur. |
L'intervalle de création d'instantané est basé sur le type de déclencheur. |
Convention de nom préfixé |
« Sauvegarde périodique anti-ransomware » « Sauvegarde anti-attaque anti-ransomware » |
« Sauvegarde anti-ransomware » |
Comportement de suppression |
L'instantané ARP est verrouillé et ne peut pas être supprimé par l'administrateur |
L'instantané ARP est verrouillé et ne peut pas être supprimé par l'administrateur |
Nombre maximal d'instantanés |
||
Période de conservation |
Les instantanés sont normalement conservés pendant 12 heures.
|
|
Action clairement suspecte |
Les administrateurs peuvent effectuer une action de suspicion claire qui définit la conservation en fonction de la confirmation :
|
Les administrateurs peuvent effectuer une action de suspicion claire qui définit la conservation en fonction de la confirmation :
Ce comportement de conservation préventive n'existe pas avant ONTAP 9.16.1 |
Délai d'expiration |
Un délai d'expiration est défini pour tous les instantanés |
Aucune |
Comment récupérer des données dans ONTAP après une attaque par ransomware
ARP s'appuie sur la technologie éprouvée de protection des données et de reprise après sinistre ONTAP pour répondre aux attaques de ransomware. ARP crée des instantanés verrouillés lorsque les premiers signes d’une attaque sont détectés. Vous devrez d'abord confirmer si l'attaque est réelle ou un faux positif. Si l'attaque est confirmée, le volume peut être restauré à l'aide du snapshot ARP.
Les instantanés verrouillés ne peuvent pas être supprimés par des moyens normaux. Cependant, si vous décidez ultérieurement de marquer l’attaque comme un faux positif, ONTAP supprime la copie verrouillée.
Vous pouvez récupérer les fichiers affectés à partir de certains instantanés au lieu de restaurer l'intégralité du volume.
Consultez les rubriques suivantes pour plus d’informations sur la réponse à une attaque et la récupération des données :
Protection de vérification multiadministrateur pour ARP
Depuis la version ONTAP 9.13.1, il est recommandé d'activer la vérification multiadministrateur afin que deux administrateurs d'utilisateurs authentifiés ou plus soient requis pour la configuration ARP (Autonomous ransomware protection). Pour plus d'informations, voir "Activez la vérification multiadministrateur".
Protection anti-ransomware autonome avec l'intelligence artificielle (ARP/IA)
À partir d' ONTAP 9.16.1, ARP améliore la cyber-résilience en adoptant un modèle d'apprentissage automatique pour l'analyse anti-ransomware, qui détecte les formes de ransomware en constante évolution avec une précision de 99 % dans les environnements NAS. Le modèle d'apprentissage automatique d'ARP est pré-entraîné sur un vaste ensemble de fichiers, avant et après une simulation d'attaque de ransomware. Cette formation, gourmande en ressources, est réalisée en dehors ONTAP à l'aide d'ensembles de données de recherche forensique open source. Les données clients ne sont pas utilisées tout au long du processus de modélisation et aucun problème de confidentialité n'est soulevé. Le modèle pré-entraîné issu de cette formation est inclus avec ONTAP. Ce modèle n'est ni accessible ni modifiable via l'interface de ligne de ONTAP (CLI) ou l'API ONTAP .
Avec les volumes ARP/AI et FlexVol, il n'y a pas de période d'apprentissage. ARP/AI est activé et actif immédiatement après l'installation ou la mise à niveau vers 9.16. à niveau de votre cluster vers ONTAP 9.16.1, ARP/AI sera automatiquement activé pour les volumes FlexVol existants et nouveaux, si ARP est déjà activé pour ces volumes.
Pour maintenir une protection à jour contre les dernières menaces de ransomware, ARP/AI propose des mises à jour automatiques fréquentes, en dehors des cadences habituelles de mise à niveau et de publication ONTAP . Si vous avez "mises à jour automatiques activées" Vous pourrez alors recevoir automatiquement les mises à jour de sécurité d'ARP/AI après avoir sélectionné les mises à jour automatiques des fichiers de sécurité. Vous pouvez également choisir "effectuer ces mises à jour manuellement" et contrôler quand les mises à jour se produisent.
Depuis ONTAP 9.16.1, les mises à jour de sécurité pour ARP/ai sont disponibles via System Manager en plus des mises à jour du système et du micrologiciel.