Skip to main content
Data Infrastructure Insights
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Sicurezza del carico di lavoro: Simulazione di un attacco

Collaboratori netapp-alavoie
PDF

È possibile utilizzare le istruzioni riportate in questa pagina per simulare un attacco per il test o la dimostrazione di workload Security utilizzando lo script ransomware Simulation incluso.

Cose da notare prima di iniziare

  • Lo script di simulazione ransomware funziona solo su Linux. Lo script di simulazione dovrebbe anche generare avvisi di elevata affidabilità nel caso in cui l'utente abbia integrato ONTAP ARP con Workload Security.

  • Workload Security rileverà gli eventi e gli avvisi generati con NFS 4.1 solo se la versione di ONTAP è 9.15 o successiva.

  • Lo script viene fornito con i file di installazione dell'agente workload Security. È disponibile su qualsiasi computer su cui è installato un agente workload Security.

  • È possibile eseguire lo script sul computer dell'agente workload Security; non è necessario preparare un'altra macchina Linux. Tuttavia, se si preferisce eseguire lo script su un altro sistema, è sufficiente copiare lo script ed eseguirlo.

  • Gli utenti possono optare per Python o per lo script shell in base alle proprie preferenze e ai requisiti di sistema.

  • Lo script Python richiede installazioni preliminari. Se non si desidera utilizzare Python, utilizzare lo script shell.

Linee guida:

Questo script dovrebbe essere eseguito su una SVM contenente una cartella con un numero considerevole di file da crittografare, idealmente 100 o più, inclusi i file nelle sottocartelle. Assicurarsi che i file non siano vuoti.

Per generare l'avviso, sospendere temporaneamente il collector prima della creazione dei dati di test. Una volta generati i file di esempio, riavviare il collector e avviare il processo di crittografia.

Fasi:

Preparare il sistema:

Per prima cosa, monta il volume di destinazione sulla macchina. Puoi montare un'esportazione NFS o CIFS.

Per montare l'esportazione NFS in Linux:

mount -t nfs -o vers=4.0 10.193.177.158:/svmvol1 /mntpt
mount -t nfs -o vers=4.0 Vserver data IP>:/nfsvol /destinationlinuxfolder

Non montare NFS versione 4.1; non è supportato da Fpolicy.

Per montare CIFS in Linux:

mount -t cifs //10.193.77.91/sharedfolderincluster /root/destinationfolder/ -o username=raisa

Abilita la protezione ransomware autonoma ONTAP (facoltativo):

Se la versione del cluster ONTAP è 9.11.1 o superiore, è possibile abilitare il servizio di protezione ransomware ONTAP eseguendo il seguente comando sulla console di comando ONTAP.

 security anti-ransomware volume enable -volume [volume_name] -vserver [svm_name]
Quindi, configurare un Data Collector:

  1. Configurare l'agente workload Security, se non è già stato fatto.

  2. Configurare un raccoglitore dati SVM se non è già stato fatto.

  3. Assicurarsi che il protocollo di montaggio sia selezionato durante la configurazione del raccoglitore dati.

Generare i file di esempio a livello di programmazione:

Prima di creare i file, è necessario prima arrestarsi o "mettere in pausa il raccoglitore dati" elaborazione.

Prima di eseguire la simulazione, è necessario aggiungere i file da crittografare. È possibile copiare manualmente i file da crittografare nella cartella di destinazione oppure utilizzare uno degli script inclusi per crearli tramite codice. Qualunque sia il metodo utilizzato, assicurarsi che siano presenti almeno 100 file da crittografare.

Se si sceglie di creare i file a livello di programmazione, è possibile utilizzare Shell o Python:

Conchiglia:

  1. Accedere alla casella Agente.

  2. Montare una condivisione NFS o CIFS dall'SVM del filer alla macchina dell'agente. Su tale cartella.

  3. Copiare lo script dalla directory di installazione dell'agente (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/shell/create_dataset.sh) nella posizione di montaggio di destinazione.

  4. Eseguire il seguente comando utilizzando gli script all'interno della directory montata (ad esempio /root/demo) per creare la cartella e i file del set di dati di prova:

     './create_dataset.sh'
. Verranno creati 100 file non vuoti con varie estensioni all'interno della cartella di montaggio, sotto una directory denominata "test_dataset".

Pitone:

Prerequisito per lo script Python:

  • Installa Python (se non è già installato).

    • Scarica Python 3.5.2 o versione successiva da https://www.python.org/ .

    • Per verificare l'installazione di Python, eseguire python --version .

    • Lo script Python è stato testato a partire dalla versione 3.5.2.

  • Installa pip se non è già installato:

    • Scarica lo script get-pip.py da https://bootstrap.pypa.io/ .

    • Installa pip usando python get-pip.py .

    • Verificare l'installazione del pip con pip --version .

  • Libreria PyCryptodome:

    • Lo script utilizza la libreria PyCryptodome.

    • Installa PyCryptodome con pip install pycryptodome .

    • Confermare l'installazione di PyCryptodome eseguendo pip show pycryptodome .

Script di creazione file Python:

  1. Accedere alla casella Agente.

  2. Montare una condivisione NFS o CIFS dall'SVM del filer alla macchina dell'agente. Su tale cartella.

  3. Copiare lo script dalla directory di installazione dell'agente (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/python/create_dataset.py) nella posizione di montaggio di destinazione.

  4. Eseguire il seguente comando utilizzando gli script all'interno della directory montata (ad esempio /root/demo) per creare la cartella e i file del set di dati di prova:

     'python create_dataset.py'
. Ciò creerà 100 file non vuoti con varie estensioni all'interno della cartella di montaggio sotto una directory chiamata "test_dataset"

Riprendi il collezionista

Se hai messo in pausa il raccoglitore prima di seguire questi passaggi, assicurati di riavviarlo una volta creati i file di esempio.

Generare i file di esempio a livello di programmazione:

Prima di creare i file, è necessario prima arrestarsi o "mettere in pausa il raccoglitore dati" elaborazione.

Per generare un avviso ransomware, puoi eseguire lo script incluso che simulerà un avviso ransomware in Workload Security.

Conchiglia:

  1. Copiare lo script dalla directory di installazione dell'agente (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/shell/simulate_attack.sh) nella posizione di montaggio di destinazione.

  2. Eseguire il seguente comando utilizzando gli script all'interno della directory montata (ad esempio /root/demo) per crittografare il set di dati di prova:

     './simulate_attack.sh'
. In questo modo verranno crittografati i file di esempio creati nella directory "test_dataset".

Pitone:

  1. Copiare lo script dalla directory di installazione dell'agente (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/python/simulate_attack.py) nella posizione di montaggio di destinazione.

  2. Si prega di notare che i prerequisiti Python sono installati come da sezione Prerequisiti dello script Python

  3. Eseguire il seguente comando utilizzando gli script all'interno della directory montata (ad esempio /root/demo) per crittografare il set di dati di prova:

     'python simulate_attack.py'
. In questo modo verranno crittografati i file di esempio creati nella directory "test_dataset".

Genera un avviso in Workload Security

Una volta terminata l'esecuzione dello script del simulatore, entro pochi minuti verrà visualizzato un avviso sull'interfaccia utente Web.

Nota: nel caso in cui siano soddisfatte tutte le seguenti condizioni, verrà generato un avviso di elevata affidabilità.

  1. Versione ONTAP SVM monitorata superiore a 9.11.1

  2. Protezione autonoma dal ransomware ONTAP configurata

  3. Il raccoglitore dati di sicurezza del carico di lavoro è stato aggiunto in modalità Cluster.

Workload Security rileva i modelli di ransomware in base al comportamento dell'utente, mentre ONTAP ARP rileva l'attività di ransomware in base alle attività di crittografia nei file.

Se le condizioni sono soddisfatte, Workload Security contrassegna gli avvisi come avviso di elevata affidabilità.

Esempio di avviso di elevata affidabilità nella pagina dell'elenco degli avvisi:

Esempio di avviso di elevata confidenza, pagina elenco

Esempio di dettaglio dell'avviso di elevata affidabilità:

Esempio di avviso di elevata confidenza, pagina dei dettagli

Attivazione dell'avviso più volte

Workload Security apprende il comportamento dell'utente e non genererà avvisi in caso di ripetuti attacchi ransomware per lo stesso utente entro 24 ore.

Per generare un nuovo avviso con un utente diverso, ripetere gli stessi passaggi (creazione dei dati di prova e successiva crittografia dei dati di prova).