Notes de mise à jour
Présentation de la protection autonome contre les ransomwares
Suggérer des modifications
-
Un fichier PDF de toute la documentation
-
Administration du cluster
-
L'administration des volumes
-
Gestion du stockage logique avec l'interface de ligne de commandes
-
Utilisez des quotas pour limiter ou suivre l'utilisation des ressources
-
-
-
Gestion du stockage NAS
-
Configurez NFS avec l'interface de ligne de commande
-
Gérez NFS avec l'interface de ligne de commande
-
Gestion de SMB avec l'interface de ligne de commandes
-
Gérer les serveurs SMB
-
Gérer l'accès aux fichiers via SMB
-
-
-
Gestion du stockage SAN
-
Authentification et contrôle d'accès
-
Sécurité et chiffrement des données
-
Utilisez FPolicy pour le contrôle et la gestion des fichiers sur SVM
-
-
Protection des données et reprise d'activité
-
Plusieurs fichiers PDF
Creating your file...
Depuis ONTAP 9.10.1, la fonctionnalité ARP (autonome ransomware protection) utilise l'analyse des workloads dans les environnements NAS (NFS et SMB) pour détecter et avertir de manière proactive les activités anormales qui pourraient indiquer une attaque par ransomware.
Lorsqu'une attaque est suspectée, ARP crée également de nouvelles copies Snapshot, en plus de la protection existante à partir de copies Snapshot planifiées.
Licences et activation
ARP requiert une licence. ARP est disponible avec le "Licence ONTAP ONE". Si vous ne disposez pas de la licence ONTAP One, d'autres licences sont disponibles pour utiliser ARP, qui varient selon votre version de ONTAP.
| Versions d'ONTAP | Licence |
|---|---|
ONTAP 9.11.1 et versions ultérieures |
Protection contre les ransomwares |
ONTAP 9.10.1 |
MT_EK_MGMT (gestion des clés mutualisée) |
-
Si vous effectuez une mise à niveau vers ONTAP 9.11.1 ou version ultérieure et que ARP est déjà configuré sur votre système, vous n'avez pas besoin d'acheter la nouvelle licence anti-ransomware. Pour les nouvelles configurations ARP, la nouvelle licence est requise.
-
Si vous effectuez une restauration depuis ONTAP 9.11.1 ou une version ultérieure vers ONTAP 9.10.1 et que vous avez activé ARP avec la licence anti-ransomware, un message d'avertissement s'affiche et vous devrez peut-être reconfigurer ARP. "Découvrez le rétablissement ARP".
Vous pouvez configurer le protocole ARP par volume à l'aide de System Manager ou de l'interface de ligne de commandes de ONTAP.
Stratégie ONTAP de protection contre les ransomwares
Une stratégie efficace de détection des ransomwares doit inclure plus d'une couche de protection unique
On pourrait comparer les caractéristiques de sécurité d'un véhicule. Vous ne vous fiez pas à une seule fonction, telle qu'une ceinture de sécurité, pour vous protéger complètement en cas d'accident. Les sacs gonflables, les freins antiblocage et l'avertissement de collision avant sont tous des dispositifs de sécurité supplémentaires qui permettront d'obtenir un meilleur résultat. La protection contre les ransomwares doit être vue de la même manière.
Tandis que ONTAP inclut des fonctionnalités comme FPolicy, les copies Snapshot, SnapLock et Active IQ Digital Advisor pour vous protéger contre les attaques par ransomware, les informations suivantes se concentrent sur la fonctionnalité intégrée ARP avec des fonctionnalités de machine learning.
Pour en savoir plus sur les autres fonctionnalités anti-ransomware d'ONTAP, consultez la page "Tr-4572 : solution NetApp pour ransomware"
Ce que le protocole ARP détecte
Le protocole ARP est conçu pour vous protéger contre les attaques par déni de service où l'attaquant conserve ses données jusqu'au paiement d'une rançon. ARP propose une détection anti-ransomware basée sur :
-
Identification des données entrantes comme cryptées ou en texte clair.
-
Les analyses, qui détectent
-
Entropy: Une évaluation du caractère aléatoire des données dans un fichier
-
Types d'extension de fichier : extension non conforme au type d'extension normal
-
File IOPS : une augmentation de l'activité de volume anormale avec le chiffrement des données (à partir de ONTAP 9.11.1)
-
ARP peut détecter la propagation de la plupart des attaques par ransomware après le chiffrement d'un petit nombre de fichiers uniquement, l'action automatique pour protéger les données et vous avertir qu'une attaque suspectée a lieu.
|
Aucun système de détection ou de prévention par ransomware ne peut garantir la sécurité en cas d'attaque par ransomware. Bien qu'il soit possible qu'une attaque ne soit pas détectée, ARP agit comme une couche supplémentaire importante de défense si un logiciel antivirus ne parvient pas à détecter une intrusion. |
Modes d'apprentissage et actifs
ARP a deux modes :
-
Apprentissage (ou mode de fonctionnement à sec)
-
Actif (ou mode « activé »)
Lorsque vous activez ARP, il s'exécute en mode d'apprentissage. En mode apprentissage, le système ONTAP développe un profil d'alerte basé sur les zones analytiques : entropie, types d'extension de fichier et IOPS de fichier. Après avoir exécuté ARP en mode d'apprentissage pendant suffisamment de temps pour évaluer les caractéristiques de la charge de travail, vous pouvez passer en mode actif et commencer à protéger vos données. Une fois que le protocole ARP est passé en mode actif, ONTAP crée des copies Snapshot ARP pour protéger les données en cas de détection d'une menace.
Il est recommandé de laisser ARP en mode d'apprentissage pendant 30 jours. À partir de ONTAP 9.13.1, ARP détermine automatiquement la période d'apprentissage optimale et automatise le commutateur, qui peut se produire avant 30 jours.
En mode actif, si une extension de fichier est marquée comme anormale, vous devez évaluer l'alerte. Vous pouvez agir sur l'alerte pour protéger vos données ou marquer l'alerte comme un faux positif. Le fait de marquer une alerte comme un faux positif met à jour le profil d'alerte. Par exemple, si l'alerte est déclenchée par une nouvelle extension de fichier et que vous marquez l'alerte comme un faux positif, vous ne recevrez pas d'alerte la prochaine fois que l'extension de fichier sera observée. La commande security anti-ransomware volume workload-behavior show affiche les extensions de fichier qui ont été détectées dans le volume. (Si vous exécutez cette commande très tôt en mode d'apprentissage et qu'elle affiche une représentation précise des types de fichiers, vous ne devez pas utiliser ces données comme base pour passer en mode actif, car ONTAP collecte toujours d'autres metrics.)
À partir de ONTAP 9.11.1, vous pouvez personnaliser les paramètres de détection pour ARP. Pour plus d'informations, voir Gérer les paramètres de détection d'attaque ARP.
Évaluation des menaces et copies Snapshot ARP
En mode actif, ARP évalue la probabilité de menace en fonction des données entrantes mesurées par rapport aux analyses apprises. Une mesure est attribuée lorsque ARP détecte une menace :
-
Faible : la première détection d'une anomalie dans le volume (par exemple, une nouvelle extension de fichier est observée dans le volume).
-
Modéré: Plusieurs fichiers avec la même extension de fichier jamais vu-avant sont observés.
-
Dans ONTAP 9.10.1, le seuil de remontée à modéré est de 100 fichiers ou plus. À partir de ONTAP 9.11.1, la quantité du fichier peut être modifiée ; sa valeur par défaut est 20.
-
En cas de menace faible, ONTAP détecte une anomalie et crée une copie Snapshot du volume pour créer le meilleur point de restauration. ONTAP ajoute au nom de la copie snapshot ARP le préfixe Anti-ransomware-backup pour le rendre facilement identifiable, par exemple Anti_ransomware_backup.2022-12-20_1248.
La menace passe au niveau modéré après l'exécution d'un rapport d'analytique par ONTAP qui détermine si l'anomalie correspond à un profil de ransomware. Les menaces qui restent au niveau bas sont consignées et visibles dans la section événements de System Manager. Lorsque la probabilité d'attaque est modérée, ONTAP génère une notification EMS vous invitant à évaluer la menace. ONTAP n'envoie pas d'alertes en cas de menaces faibles, mais à partir de ONTAP 9.14.1, vous pouvez le faire modifier les paramètres des alertes. Pour plus d'informations, voir Réagir à une activité anormale.
Vous pouvez afficher des informations sur une menace, quel que soit le niveau, dans la section événements de System Manager ou avec le security anti-ransomware volume show commande.
Les copies Snapshot ARP sont conservées pendant au moins deux jours. À partir de ONTAP 9.11.1, vous pouvez modifier les paramètres de rétention. Pour plus d'informations, voir Modifiez les options des copies Snapshot.
Comment récupérer des données dans ONTAP après une attaque par ransomware
Lorsqu'une attaque est suspectée, le système prend une copie Snapshot du volume à ce moment-là et verrouille cette copie. Si l'attaque est confirmée ultérieurement, le volume peut être restauré à l'aide de la copie ARP Snapshot.
La suppression des copies Snapshot verrouillées ne peut pas être effectuée par des moyens normaux. Cependant, si vous décidez plus tard de marquer l'attaque comme un faux positif, la copie verrouillée sera supprimée.
En connaissant les fichiers affectés et l'heure de l'attaque, il est possible de restaurer de manière sélective les fichiers affectés à partir de plusieurs copies Snapshot, plutôt que de simplement restaurer le volume entier vers l'une des copies Snapshot.
ARP s'appuie donc sur la technologie de protection des données et de reprise après incident ONTAP éprouvée pour répondre aux attaques par ransomware. Pour plus d'informations sur la récupération de données, reportez-vous aux rubriques suivantes.