La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Scopri la protezione autonoma da ransomware ONTAP

08/20/2025 Collaboratori

PDF

A partire da ONTAP 9.10.1, gli amministratori ONTAP possono abilitare Autonomous Ransomware Protection (ARP) per eseguire l'analisi del carico di lavoro in ambienti NAS (NFS e SMB) per rilevare e segnalare in modo proattivo attività anomale che potrebbero indicare un attacco ransomware. A partire da ONTAP 9.17.1, ARP supporta anche volumi di dispositivi a blocchi, inclusi volumi SAN contenenti LUN, o volumi NAS contenenti dischi virtuali da hypervisor come VMware, Hyper-V e KVM.

ARP è integrato direttamente in ONTAP, garantendo controllo e coordinamento integrati con le altre funzionalità di ONTAP. ARP opera in tempo reale, elaborando i dati durante la scrittura o la lettura dal file system e rilevando e rispondendo rapidamente a potenziali attacchi ransomware.

ARP crea snapshot bloccati a intervalli regolari, oltre a quelli programmati, per una maggiore protezione. Gestisce in modo intelligente la durata della conservazione degli snapshot. Se non viene rilevata alcuna attività insolita, gli snapshot vengono rapidamente riciclati. Tuttavia, se viene rilevato un attacco, uno snapshot creato prima dell'inizio dell'attacco viene conservato per un periodo di tempo prolungato.

Licenze e abilitazione

Il supporto ARP è incluso nel programma "Licenza ONTAP ONE". Se non si dispone della licenza ONTAP One, sono disponibili altre licenze per l'uso ARP che variano a seconda della versione di ONTAP

Release di ONTAP Licenza

Release di ONTAP	Licenza
ONTAP 9.11.1 e versioni successive	`Anti_ransomware`
ONTAP 9.10.1	`MT_EK_MGMT` (Gestione chiavi multi-tenant)

ONTAP 9.11.1 e versioni successive

Anti_ransomware

ONTAP 9.10.1

MT_EK_MGMT (Gestione chiavi multi-tenant)

Se si esegue l'aggiornamento da ONTAP 9.10.1 a ONTAP 9.11.1 o versione successiva e ARP è già configurato sul sistema, non è necessario installare il nuovo Anti-ransomware licenza. Per le nuove configurazioni ARP, è richiesta la nuova licenza.
Se si passa da ONTAP 9.11.1 o versione successiva a ONTAP 9.10.1 e si è abilitato ARP con la licenza Anti_ransomware, verrà visualizzato un messaggio di avviso e potrebbe essere necessario riconfigurare ARP. "Scopri come ripristinare ARP" .

"È possibile abilitare la protezione autonoma da ransomware (ARP) su un volume esistente o creare un nuovo volume e abilitare ARP" .

Strategia di protezione ransomware di ONTAP

Una strategia efficace di rilevamento ransomware dovrebbe includere più di un singolo livello di protezione.

Un'analogia sarebbe la sicurezza di un veicolo. Non ci si affida a una singola funzione, ad esempio una cintura di sicurezza, per proteggersi completamente in caso di incidente. Gli airbag, i freni antibloccaggio e l'allarme anticollisione anteriore sono tutte funzioni di sicurezza aggiuntive che consentono di ottenere risultati migliori. La protezione ransomware deve essere visualizzata nello stesso modo.

Sebbene ONTAP includa funzionalità come FPolicy, snapshot, SnapLock e Active IQ Digital Advisor (noto anche come Digital Advisor) per contribuire alla protezione dal ransomware, le seguenti informazioni si concentrano sulla funzionalità ARP con capacità di apprendimento automatico.

Per saperne di più sulle altre funzionalità del portfolio NetApp che proteggono dal ransomware, vedere "Ransomware e il portfolio di protezione di NetApp" .

Cosa rileva ARP

ONTAP ARP è progettato per proteggere dagli attacchi denial-of-service, in cui l'aggressore trattiene i dati fino al pagamento di un riscatto. ARP offre il rilevamento del ransomware in tempo reale basato sui seguenti fattori:

Identificazione dei dati in arrivo come testo crittografato o normale.
Analisi che rilevano:
- Entropia: (utilizzata in NAS e SAN) Una valutazione della casualità dei dati in un file
- Tipi di estensione file: (utilizzato solo in NAS) Un'estensione file che non è conforme ai tipi di estensione previsti
- File IOPS: (utilizzato solo in NAS a partire da ONTAP 9.11.1) Un aumento dell'attività anomala del volume con crittografia dei dati

ARP rileva la diffusione della maggior parte degli attacchi ransomware dopo che è stato crittografato solo un numero limitato di file, risponde automaticamente per proteggere i dati e avvisa l'utente che si sta verificando un sospetto attacco.

Nessun sistema di rilevamento ransomware o prevenzione può garantire completamente la sicurezza da un attacco ransomware. Anche se è possibile che un attacco possa non essere rilevato, ARP agisce come un importante livello di difesa aggiuntivo se il software antivirus non è riuscito a rilevare un'intrusione.

Scopri le modalità ARP

Una volta attivato ARP per un volume, il sistema passa attraverso due modalità distinte. ARP utilizza un periodo di apprendimento o valutazione per stabilire una base di riferimento per il normale comportamento del carico di lavoro. Durante tale periodo, ARP analizza le metriche di sistema per sviluppare un profilo di allerta prima di abilitare la protezione attiva. Dopo il passaggio a una modalità di rilevamento attivo, ARP inizia a monitorare le attività anomale in tempo reale, intraprendendo automaticamente azioni di protezione e generando avvisi in caso di rilevamento di comportamenti anomali.

Per ARP, i comportamenti della modalità di apprendimento e della modalità attiva variano in base alla versione ONTAP , al tipo di volume e al protocollo (NAS o SAN).

Ambienti NAS e tipi di modalità

Gli ambienti NAS utilizzano modalità di apprendimento e attive. Per ARP/IA in esecuzione negli ambienti NAS a partire da ONTAP 9.16.1, non è previsto alcun periodo di apprendimento quando ARP viene utilizzato con volumi FlexVol .

La tabella seguente riassume le differenze tra ONTAP 9.10.1 e le versioni successive per gli ambienti NAS.

Modalità Descrizione Tipi e versioni del volume

Apprendimento

Per ONTAP dalla versione 9.15.1 alla 9.10.1, ARP viene automaticamente impostato in modalità di apprendimento quando si abilita ARP. In modalità di apprendimento, il sistema ONTAP sviluppa un profilo di allerta basato sulle aree analitiche: entropia, tipi di estensione dei file e IOPS dei file. Si consiglia di lasciare ARP in modalità di apprendimento per 30 giorni. A partire da ONTAP 9.13.1, ARP determina automaticamente l'intervallo di apprendimento ottimale e automatizza il passaggio, che potrebbe avvenire prima di 30 giorni. Per le versioni precedenti a ONTAP 9.13.1, è possibile effettuare il passaggio manualmente.

"Scopri di più sul passaggio dalla modalità di apprendimento a quella attiva" .

Il comando security anti-ransomware volume workload-behavior show mostra le estensioni di file rilevate nel volume. Se si esegue questo comando nelle prime fasi della modalità di apprendimento e viene visualizzata una rappresentazione accurata dei tipi di file, non utilizzare tali dati come base per passare alla modalità attiva, poiché ONTAP sta ancora raccogliendo altre metriche. Ulteriori informazioni su security anti-ransomware volume workload-behavior show nella "Riferimento al comando ONTAP".

Volumi FlexVol con ONTAP 9.15.1 a 9.10.1
Volumi FlexGroup con ONTAP 9.13.1 e versioni successive

Attivo

Dopo aver eseguito ARP in modalità di apprendimento per un tempo sufficiente a valutare le caratteristiche del carico di lavoro, è possibile passare alla modalità attiva e iniziare a proteggere i dati. A partire da ONTAP 9.13.1, ARP determina automaticamente l'intervallo di apprendimento ottimale e automatizza il passaggio, che potrebbe avvenire prima di 30 giorni.

Con ONTAP dalla versione 9.10.1 alla 9.15.1, ARP passa alla modalità attiva al termine del periodo di apprendimento ottimale. Dopo il passaggio di ARP alla modalità attiva, ONTAP crea snapshot ARP per proteggere i dati in caso di rilevamento di una minaccia.

In modalità attiva, se un'estensione di file viene contrassegnata come anomala, è necessario valutare l'avviso. È possibile intervenire sull'avviso per proteggere i dati oppure contrassegnarlo come falso positivo. Contrassegnare un avviso come falso positivo aggiorna il profilo dell'avviso. Ad esempio, se l'avviso viene attivato da una nuova estensione di file e lo si contrassegna come falso positivo, non si riceverà alcun avviso la prossima volta che l'estensione del file verrà rilevata.

Tutte le versioni ONTAP supportate e i volumi FlexVol e FlexGroup

Ambienti SAN e tipi di modalità

Gli ambienti SAN utilizzano periodi di valutazione (simili alle modalità di apprendimento negli ambienti NAS) prima di passare automaticamente al rilevamento attivo. La tabella seguente riassume le modalità di valutazione e attiva.

Modalità Descrizione Tipi e versioni del volume

Modalità	Descrizione	Tipi e versioni del volume
Valutazione	Viene eseguito un periodo di valutazione da due a quattro settimane per determinare il comportamento di base della crittografia. È possibile verificare se il periodo di valutazione è completo eseguendo `security anti-ransomware volume show` comando e controllo `Block device detection status` . "Scopri di più sui volumi SAN e sul periodo di valutazione dell'entropia" .	Volumi FlexVol con ONTAP 9.17.1 e versioni successive
Attivo	Dopo il periodo di valutazione, è possibile determinare se la protezione ARP SAN è attiva eseguendo il comando `security anti-ransomware volume show` e verificando `Block device detection status`. `Active_suitable_workload` Indica che la quantità di entropia valutata può essere monitorata con successo. ARP regola automaticamente la soglia adattiva in base ai dati esaminati durante la valutazione.	Volumi FlexVol con ONTAP 9.17.1 e versioni successive

Valutazione

Viene eseguito un periodo di valutazione da due a quattro settimane per determinare il comportamento di base della crittografia. È possibile verificare se il periodo di valutazione è completo eseguendo security anti-ransomware volume show comando e controllo Block device detection status .

"Scopri di più sui volumi SAN e sul periodo di valutazione dell'entropia" .

Volumi FlexVol con ONTAP 9.17.1 e versioni successive

Attivo

Dopo il periodo di valutazione, è possibile determinare se la protezione ARP SAN è attiva eseguendo il comando security anti-ransomware volume show e verificando Block device detection status. Active_suitable_workload Indica che la quantità di entropia valutata può essere monitorata con successo. ARP regola automaticamente la soglia adattiva in base ai dati esaminati durante la valutazione.

Volumi FlexVol con ONTAP 9.17.1 e versioni successive

Valutazione delle minacce e istantanee ARP

ARP valuta la probabilità di minaccia in base ai dati in ingresso, confrontandoli con l'analisi appresa. Quando ARP rileva un'anomalia, viene assegnata una misurazione. Un'istantanea può essere assegnata al momento del rilevamento o a intervalli regolari.

Soglie ARP

Basso: Il primo rilevamento di un'anomalia nel volume (ad esempio, nel volume viene osservata una nuova estensione del file). Questo livello di rilevamento è disponibile solo nelle versioni precedenti a ONTAP 9.16,1 che non dispongono di ARP/ai.
- A partire da ONTAP 9.11.1, è possibile "personalizzare i parametri di rilevamento per ARP" .
- In ONTAP 9.10.1, la soglia per l'escalation a moderate è di 100 o più file.
Moderato: viene rilevata un'entropia elevata o vengono osservati più file con la stessa estensione mai vista prima. Questo è il livello di rilevamento di base in ONTAP 9.16.1 e versioni successive con ARP/AI.

La minaccia passa a moderata dopo che ONTAP esegue un report analitico per determinare se l'anomalia corrisponde a un profilo ransomware. Quando la probabilità di attacco è moderata, ONTAP genera una notifica EMS che richiede di valutare la minaccia. ONTAP non invia avvisi su minacce di basso livello; tuttavia, a partire da ONTAP 9.14.1 è possibile "modificare le impostazioni di avviso predefinite". "Rispondere ad attività anomale" .

È possibile visualizzare informazioni sulle minacce moderate nella sezione Eventi di System Manager o con il security anti-ransomware volume show comando. Gli eventi a basso rischio possono essere visualizzati anche utilizzando il security anti-ransomware volume show comando nelle versioni precedenti a ONTAP 9.16.1 che non dispongono di ARP/ai. Ulteriori informazioni su security anti-ransomware volume show nella "Riferimento al comando ONTAP".

Snapshot ARP

In ONTAP 9.16.1 e nelle versioni precedenti, ARP crea uno snapshot quando vengono rilevati i primi segnali di un attacco. Viene quindi condotta un'analisi dettagliata per confermare o respingere il potenziale attacco. Poiché gli snapshot ARP vengono creati in modo proattivo, anche prima che un attacco sia completamente confermato, potrebbero essere generati a intervalli regolari per alcune applicazioni legittime. La presenza di questi snapshot non deve essere considerata un'anomalia. Se un attacco viene confermato, la probabilità di attacco viene aumentata a Moderate e viene generata una notifica di attacco.

A partire da ONTAP 9.17.1, gli snapshot ARP vengono generati a intervalli regolari sia per i volumi NAS che SAN. ONTAP antepone un nome allo snapshot ARP per renderlo facilmente identificabile.

A partire da ONTAP 9.11.1, è possibile modificare le impostazioni di conservazione. Per ulteriori informazioni, consultare "Modificare le opzioni per le istantanee" .

La tabella seguente riassume le differenze degli snapshot ARP tra ONTAP 9.16.1 e versioni precedenti e ONTAP 9.17.1.

Funzione	ONTAP 9.16.1 e precedenti	ONTAP 9.17.1 e versioni successive
Trigger di creazione	Viene rilevata un'elevata entropia È stata rilevata una nuova estensione di file (9.15.1 e precedenti) È stato rilevato un aumento delle operazioni sui file (9.15.1 e precedenti) L'intervallo di creazione degli snapshot si basa sul tipo di trigger.	Gli snapshot vengono creati a intervalli fissi di 4 ore, indipendentemente da qualsiasi fattore scatenante specifico, e non sono necessariamente indicativi di un attacco.
Convenzione sui nomi anteposti	"Backup anti-ransomware"	"Backup periodico anti-ransomware"
Comportamento di eliminazione	Lo snapshot ARP è bloccato e non può essere eliminato dall'amministratore	Lo snapshot ARP è bloccato e non può essere eliminato dall'amministratore
Numero massimo di snapshot	"Limite configurabile di sei snapshot"	"Limite configurabile di sei snapshot"
Periodo di conservazione	Determinato in base alle condizioni di attivazione (non fisso) Gli snapshot creati prima dell'attacco vengono conservati finché l'amministratore non contrassegna l'attacco come vero o falso positivo (chiaro-sospetto).	Normalmente gli snapshot vengono conservati per 12 ore. Volumi NAS: se un attacco viene confermato dall'analisi dei file, gli snapshot creati prima dell'attacco vengono conservati finché l'amministratore non contrassegna l'attacco come vero o falso positivo (chiaro-sospetto). Archivi dati di volumi SAN o VM: se un attacco viene confermato dall'analisi dell'entropia dei blocchi, gli snapshot creati prima dell'attacco vengono conservati per 10 giorni (configurabile). Il periodo di conservazione di uno snapshot creato prima dell'inizio di un attacco è esteso a 10 giorni (configurabile).
Azione chiaramente sospetta	Gli amministratori possono eseguire un'azione di cancellazione del sospetto che imposta la conservazione in base alla conferma: 24 ore per la conservazione dei falsi positivi 7 giorni per la conservazione dei veri positivi Questo comportamento di conservazione precauzionale non esisteva prima di ONTAP 9.16.1	Gli amministratori possono eseguire un'azione di cancellazione del sospetto che imposta la conservazione in base alla conferma: 24 ore per la conservazione dei falsi positivi 7 giorni per la conservazione dei veri positivi
Tempo di scadenza	Nessuno	Per tutti gli snapshot è impostato un tempo di scadenza

Funzione

ONTAP 9.16.1 e precedenti

ONTAP 9.17.1 e versioni successive

Trigger di creazione

Viene rilevata un'elevata entropia
È stata rilevata una nuova estensione di file (9.15.1 e precedenti)
È stato rilevato un aumento delle operazioni sui file (9.15.1 e precedenti)

L'intervallo di creazione degli snapshot si basa sul tipo di trigger.

Gli snapshot vengono creati a intervalli fissi di 4 ore, indipendentemente da qualsiasi fattore scatenante specifico, e non sono necessariamente indicativi di un attacco.

Convenzione sui nomi anteposti

"Backup anti-ransomware"

"Backup periodico anti-ransomware"

Comportamento di eliminazione

Lo snapshot ARP è bloccato e non può essere eliminato dall'amministratore

Numero massimo di snapshot

"Limite configurabile di sei snapshot"

Periodo di conservazione

Determinato in base alle condizioni di attivazione (non fisso)
Gli snapshot creati prima dell'attacco vengono conservati finché l'amministratore non contrassegna l'attacco come vero o falso positivo (chiaro-sospetto).

Normalmente gli snapshot vengono conservati per 12 ore.

Volumi NAS: se un attacco viene confermato dall'analisi dei file, gli snapshot creati prima dell'attacco vengono conservati finché l'amministratore non contrassegna l'attacco come vero o falso positivo (chiaro-sospetto).
Archivi dati di volumi SAN o VM: se un attacco viene confermato dall'analisi dell'entropia dei blocchi, gli snapshot creati prima dell'attacco vengono conservati per 10 giorni (configurabile).

Il periodo di conservazione di uno snapshot creato prima dell'inizio di un attacco è esteso a 10 giorni (configurabile).

Azione chiaramente sospetta

Gli amministratori possono eseguire un'azione di cancellazione del sospetto che imposta la conservazione in base alla conferma:

24 ore per la conservazione dei falsi positivi
7 giorni per la conservazione dei veri positivi

Questo comportamento di conservazione precauzionale non esisteva prima di ONTAP 9.16.1

Gli amministratori possono eseguire un'azione di cancellazione del sospetto che imposta la conservazione in base alla conferma:

24 ore per la conservazione dei falsi positivi
7 giorni per la conservazione dei veri positivi

Tempo di scadenza

Nessuno

Per tutti gli snapshot è impostato un tempo di scadenza

Come ripristinare i dati in ONTAP dopo un attacco ransomware

ARP si basa sulla comprovata tecnologia ONTAP di protezione dei dati e disaster recovery per rispondere agli attacchi ransomware. ARP crea snapshot bloccati quando vengono rilevati i primi segnali di un attacco in ONTAP 9.16.1 e versioni precedenti, oppure a intervalli regolari nella versione 9.17.1 e versioni successive. È necessario innanzitutto verificare se l'attacco è reale o un falso positivo. Se l'attacco viene confermato, il volume può essere ripristinato utilizzando lo snapshot ARP.

Gli snapshot bloccati non possono essere eliminati con metodi normali. Tuttavia, se in seguito decidi di contrassegnare l'attacco come falso positivo, la copia bloccata verrà eliminata.

Conoscendo i file interessati e il momento dell'attacco, è possibile recuperare in modo selettivo i file interessati da vari snapshot, anziché semplicemente riportare l'intero volume in uno degli snapshot.

Per ulteriori informazioni su come rispondere a un attacco e recuperare i dati, consultare i seguenti argomenti:

Protezione di verifica multi-admin per ARP

A partire da ONTAP 9.13.1, si consiglia di abilitare la verifica multi-admin (MAV) in modo che siano necessari due o più amministratori utente autenticati per la configurazione della protezione autonoma dal ransomware (ARP). Per ulteriori informazioni, vedere "Attiva la verifica multi-admin".

Protezione autonoma dal ransomware con intelligenza artificiale (ARP/ai)

A partire da ONTAP 9.16.1, ARP migliora la resilienza informatica adottando un modello di apprendimento automatico per l'analisi anti-ransomware che rileva forme di ransomware in continua evoluzione con una precisione del 99% negli ambienti NAS. Il modello di apprendimento automatico di ARP è pre-addestrato su un ampio set di dati di file sia prima che dopo un attacco ransomware simulato. Questa formazione, che richiede molte risorse, viene eseguita esternamente a ONTAP utilizzando set di dati di ricerca forense open source per addestrare il modello. I dati dei clienti non vengono utilizzati durante l'intera pipeline di modellazione e non sussistono problemi di privacy. Il modello pre-addestrato risultante da questa formazione è incluso nella confezione di ONTAP. Questo modello non è accessibile né modificabile tramite l'interfaccia a riga ONTAP comando o l'API ONTAP .

Transizione immediata alla protezione attiva per ARP/ai con FlexVol Volumes

Con i volumi ARP/AI e FlexVol, non vi sono periodo di apprendimento. ARP/AI è abilitato e attivo immediatamente dopo l'installazione o l'aggiornamento alla versione 9.16. Dopo l'aggiornamento del cluster a ONTAP 9.16.1, ARP/AI verrà abilitato automaticamente per i volumi FlexVol esistenti e nuovi, se ARP è già abilitato per tali volumi

"Ulteriori informazioni sull'attivazione di ARP/ai"

Aggiornamenti automatici ARP/ai

Per mantenere una protezione aggiornata contro le ultime minacce ransomware, ARP/AI offre frequenti aggiornamenti automatici che si verificano al di fuori delle normali cadenze di aggiornamento e rilascio ONTAP . Se hai "aggiornamenti automatici abilitati" Potrai quindi iniziare a ricevere aggiornamenti di sicurezza automatici per ARP/AI dopo aver selezionato gli aggiornamenti automatici per i file di sicurezza. Puoi anche scegliere di "effettuare manualmente questi aggiornamenti" e controllare quando vengono effettuati gli aggiornamenti.

A partire da ONTAP 9.16,1, gli aggiornamenti per la protezione per ARP/ai sono disponibili tramite Gestione sistema oltre agli aggiornamenti del sistema e del firmware.

"Ulteriori informazioni sugli aggiornamenti ARP/ai"

Informazioni correlate

"Riferimento al comando ONTAP"