Protezione autonoma dal ransomware per lo storage NFS
Suggerisci modifiche
PDF
Rilevare il ransomware il prima possibile è fondamentale per prevenirne la diffusione ed evitare costosi downtime. Un'efficace strategia di rilevamento ransomware deve incorporare vari livelli di protezione a livello di host ESXi e VM guest. Mentre sono implementate più misure di sicurezza per creare una difesa completa contro gli attacchi ransomware, ONTAP permette di aggiungere più livelli di protezione all'approccio di difesa generale. Per citare alcune funzionalità, inizia con Snapshot, protezione autonoma da ransomware, snapshot a prova di manomissione e così via.
Analizziamo il modo in cui le funzionalità sopra menzionate si integrano con VMware per proteggere e ripristinare i dati contro il ransomware. Per proteggere vSphere e le macchine virtuali guest dagli attacchi, è essenziale adottare diverse misure, tra cui la segmentazione, l'utilizzo di EDR/XDR/SIEM per gli endpoint e l'installazione degli aggiornamenti per la protezione e il rispetto delle linee guida appropriate per la protezione avanzata. Ogni macchina virtuale residente in un datastore ospita anche un sistema operativo standard. Garantisci l'installazione e l'aggiornamento regolare delle suite di prodotti anti-malware dei server aziendali, un componente essenziale della strategia di protezione dal ransomware su più livelli. Insieme a questo, abilita la protezione autonoma dal ransomware (ARP) sul volume NFS che alimenta il datastore. ARP sfrutta ML onbox integrato che analizza l'attività dei carichi di lavoro dei volumi più l'entropia dei dati per rilevare automaticamente il ransomware. ARP è configurabile tramite l'interfaccia di gestione integrata di ONTAP o System Manager ed è abilitato per ogni volume.
|
Con il nuovo NetApp ARP/ai, che è attualmente in anteprima tecnologica, non c'è bisogno di una modalità di apprendimento. Invece, può passare direttamente alla modalità attiva con la sua funzionalità di rilevamento ransomware basata su ai. |
|
|
Con ONTAP One, tutti questi set di funzioni sono completamente gratuiti. Accedi alla solida suite di prodotti NetApp per la protezione dei dati, la sicurezza e tutte le funzioni offerte da ONTAP senza doverti preoccupare delle barriere delle licenze. |
Una volta in modalità attiva, inizia a cercare l'attività anomala del volume che potrebbe essere un ransomware. Se viene rilevata un'attività anomala, viene immediatamente creata una copia Snapshot automatica che fornisce un punto di ripristino il più vicino possibile all'infezione dei file. ARP è in grado di rilevare le modifiche nelle estensioni di file specifiche della VM su un volume NFS situato all'esterno della VM quando viene aggiunta una nuova estensione al volume crittografato o quando viene modificata l'estensione di un file.
Se un attacco ransomware riguarda la macchina virtuale (VM) e altera i file all'interno della macchina virtuale senza apportare modifiche all'esterno della macchina virtuale, l'Advanced ransomware Protection (ARP) rileverà comunque la minaccia se l'entropia predefinita della macchina virtuale è bassa, ad esempio per i tipi di file .txt, .docx o .mp4. Anche se ARP crea uno snapshot di protezione in questo scenario, non genera un avviso di minaccia perché le estensioni dei file al di fuori della VM non sono state manomesse. In tali scenari, gli strati iniziali di difesa identificherebbero l'anomalia, tuttavia ARP aiuta a creare uno snapshot basato sull'entropia.
Per informazioni dettagliate, fare riferimento alla sezione "ARP e macchine virtuali" nel "ARP usecases e considerazioni".
Passando da file a dati di backup, gli attacchi ransomware puntano sempre più ai backup e ai punti di recovery delle snapshot, cercando di eliminarli prima di iniziare a crittografare i file. Tuttavia, con ONTAP, questo può essere impedito creando snapshot antimanomissione su sistemi primari o secondari con "Blocco copia NetApp Snapshot™".
Questi Snapshot non possono essere eliminati o modificati da autori di attacchi ransomware o amministratori fuori controllo, in modo che siano disponibili anche in seguito a un attacco. In caso di impatto sul datastore o su macchine virtuali specifiche, SnapCenter può ripristinare i dati delle macchine virtuali in pochi secondi, riducendo al minimo i downtime dell'organizzazione.
Quanto sopra dimostra in che modo lo storage ONTAP aggiunge un ulteriore livello alle tecniche esistenti, migliorando la predisposizione per il futuro dell'ambiente.
Per ulteriori informazioni, visualizzare le istruzioni per "Soluzioni NetApp per il ransomware".
Ora, se tutti questi elementi devono essere orchestrati e integrati con strumenti SIEM, è possibile utilizzare il servizio OFFTAP come la protezione ransomware BlueXP . È un servizio ideato per proteggere i dati da ransomware. Questo servizio offre protezione per i workload basati sulle applicazioni come Oracle, MySQL, datastore VM e file share sullo storage NFS on-premise.
In questo esempio, il datastore NFS "Src_NFS_DS04" è protetto tramite la protezione ransomware BlueXP .
Per informazioni dettagliate sulla configurazione della protezione ransomware BlueXP , fare riferimento a "Imposta la protezione dal ransomware BlueXP " e "Configurare le impostazioni di protezione dal ransomware BlueXP".
È giunto il momento di descrivere questo concetto con un esempio. In questa procedura dettagliata, il datastore “Src_NFS_DS04” è interessato.
ARP ha immediatamente attivato uno snapshot sul volume al momento del rilevamento.
Una volta completata l'analisi forense, è possibile eseguire i ripristini in modo rapido e perfetto utilizzando la protezione dal ransomware di SnapCenter o BlueXP . Con SnapCenter, andare alle macchine virtuali interessate e selezionare lo snapshot appropriato da ripristinare.
Questa sezione analizza il modo in cui la protezione ransomware BlueXP orchestra il recovery da un incidente ransomware in cui i file delle VM sono crittografati.
|
|
Se la macchina virtuale è gestita da SnapCenter, la protezione anti-ransomware BlueXP ripristina lo stato precedente della macchina virtuale utilizzando il processo coerente con la macchina virtuale. |
-
Accedi alla protezione ransomware di BlueXP ed è visualizzato un avviso sulla Dashboard di protezione ransomware di BlueXP .
-
Fare clic sull'avviso per esaminare gli incidenti relativi a quel volume specifico per l'avviso generato
-
Contrassegna l'incidente ransomware come pronto per il recovery (dopo la neutralizzazione degli incidenti) selezionando "Mark restore needed"
L'avviso può essere ignorato se l'incidente risulta falso positivo. -
Accedere alla scheda Recovery (Ripristino), esaminare le informazioni sul carico di lavoro nella pagina Recovery (Ripristino), selezionare il volume del datastore che si trova nello stato "Restore needed" (Ripristino necessario) e selezionare Restore (Ripristina).
-
In questo caso, l'ambito del ripristino è "da VM" (per SnapCenter per VM, l'ambito del ripristino è "da VM")
-
Scegliere il punto di ripristino da utilizzare per ripristinare i dati, quindi selezionare destinazione e fare clic su Ripristina.
-
Dal menu superiore, selezionare Recovery (Ripristino) per esaminare il carico di lavoro nella pagina Recovery (Ripristino) in cui lo stato dell'operazione si sposta tra gli stati. Una volta completato il ripristino, i file della VM vengono ripristinati come mostrato di seguito.
|
|
Il ripristino può essere eseguito da SnapCenter per VMware o plug-in SnapCenter, a seconda dell'applicazione. |
La soluzione NetApp fornisce vari strumenti efficaci per visibilità, rilevamento e correzione, aiutandoti a rilevare tempestivamente il ransomware, prevenire questa diffusione e ripristinare rapidamente, se necessario, per evitare costosi downtime. Le soluzioni di difesa tradizionali a layer rimangono le più diffuse, così come quelle di partner e terze parti per la visibilità e il rilevamento. Una correzione efficace rimane una parte fondamentale della risposta a qualsiasi minaccia.