Scopri la protezione autonoma da ransomware in ONTAP
A partire da ONTAP 9.10.1, la funzionalità di protezione ransomware autonoma (ARP) utilizza l'analisi del carico di lavoro in ambienti NAS (NFS e SMB) per rilevare e avvisare in modo proattivo circa attività anomale che potrebbero indicare un attacco ransomware. Quando si sospetta un attacco, ARP crea anche nuovi snapshot oltre alla protezione esistente fornita dagli snapshot pianificati.
Protezione autonoma dal ransomware con intelligenza artificiale (ARP/ai)
A partire da ONTAP 9.16,1, ARP migliora la resilienza informatica adottando un modello di machine-learning per gli analytics anti-ransomware che rileva forme di ransomware in continua evoluzione con una precisione del 99%. Il modello di apprendimento automatico di ARP è preformato su un ampio set di dati di file sia prima che dopo un attacco ransomware simulato. Questo corso intensivo di risorse viene svolto al di fuori di ONTAP, ma l'apprendimento di questo corso viene utilizzato per il modello all'interno di ONTAP.
Con ARP/ai e FlexVol Volumes, non c'è periodo di apprendimento. ARP/ai inizia in modalità attiva subito dopo l'installazione o l'aggiornamento a 9,16. Dopo aver aggiornato il cluster a ONTAP 9.16,1, ARP/ai verrà automaticamente abilitato per i volumi FlexVol esistenti e nuovi se ARP è già abilitato per tali volumi.
Per mantenere una protezione aggiornata contro le più recenti minacce ransomware, ARP/ai offre frequenti aggiornamenti automatici che si verificano al di fuori dei regolari aggiornamenti e cadenze delle release di ONTAP. In tal caso"aggiornamenti automatici abilitati", sarà anche possibile iniziare a ricevere gli aggiornamenti automatici per la protezione di ARP/ai dopo aver selezionato gli aggiornamenti automatici per i file di protezione. È inoltre possibile scegliere di eseguire questi aggiornamenti manualmente e controllare quando si verificano gli aggiornamenti.
A partire da ONTAP 9.16,1, gli aggiornamenti per la protezione per ARP/ai sono disponibili tramite Gestione sistema oltre agli aggiornamenti del sistema e del firmware.
La funzione ARP/ai attualmente supporta solo NAS. Sebbene la funzionalità di aggiornamento automatico mostri la disponibilità di nuovi file di sicurezza per la distribuzione in System Manager, questi aggiornamenti sono applicabili solo per la protezione del carico di lavoro NAS. |
Licenze e abilitazione
Il supporto ARP è incluso nella "Licenza ONTAP ONE". Se non si dispone della licenza ONTAP ONE, sono disponibili altre licenze per utilizzare ARP che differiscono a seconda della versione di ONTAP in uso.
Release di ONTAP | Licenza |
---|---|
ONTAP 9.11.1 e versioni successive |
Anti_ransomware |
ONTAP 9.10.1 |
MT_EK_MGMT (Gestione delle chiavi multi-tenant) |
-
Se si esegue l'aggiornamento da ONTAP 9.10,1 a ONTAP 9.11,1 o versioni successive e ARP è già configurato sul sistema, non è necessario installare la nuova licenza anti-ransomware. Per le nuove configurazioni ARP, è necessaria la nuova licenza.
-
Se si esegue il ripristino da ONTAP 9.11.1 o versione successiva a ONTAP 9.10.1 e si attiva ARP con la licenza Anti-ransomware, viene visualizzato un messaggio di avviso e potrebbe essere necessario riconfigurare ARP.
Strategia di protezione ransomware di ONTAP
Una strategia efficace di rilevamento ransomware dovrebbe includere più di un singolo livello di protezione.
Un'analogia sarebbe la sicurezza di un veicolo. Non ci si affida a una singola funzione, ad esempio una cintura di sicurezza, per proteggersi completamente in caso di incidente. Gli airbag, i freni antibloccaggio e l'allarme anticollisione anteriore sono tutte funzioni di sicurezza aggiuntive che consentono di ottenere risultati migliori. La protezione ransomware deve essere visualizzata nello stesso modo.
Anche se ONTAP include funzionalità come FPolicy, snapshot, SnapLock e consulente digitale Active IQ (noto anche come consulente digitale) per una maggiore protezione dal ransomware, le seguenti informazioni si concentrano sulla funzionalità ARP on-box con funzionalità di apprendimento automatico.
Per ulteriori informazioni sulle altre funzionalità anti-ransomware di ONTAP, consulta "Ransomware e il portfolio di protezione di NetApp".
Cosa rileva ARP
ARP è progettato per proteggere da attacchi di tipo Denial-of-service in cui l'utente malintenzionato trattiene i dati fino a quando non viene pagato un riscatto. ARP offre il rilevamento del ransomware in tempo reale basato su:
-
Identificazione dei dati in entrata come crittografati o non crittografati.
-
Analisi che rilevano:
-
Entropia: Una valutazione della casualità dei dati in un file
-
Tipi di estensione del file: Un'estensione non conforme al normale tipo di estensione
-
IOPS del file: Aumento dell'attività anomala del volume con crittografia dei dati (a partire da ONTAP 9.11.1)
-
ARP è in grado di rilevare la diffusione della maggior parte degli attacchi ransomware dopo la crittografia di un numero limitato di file, intraprendere azioni automatiche per proteggere i dati e avvisare l'utente che si sta verificando un attacco sospetto.
Nessun sistema di rilevamento ransomware o prevenzione può garantire completamente la sicurezza da un attacco ransomware. Anche se è possibile che un attacco possa non essere rilevato, ARP agisce come un importante livello di difesa aggiuntivo se il software antivirus non è riuscito a rilevare un'intrusione. |
Modalità di apprendimento e attive
ARP dispone di due modalità:
-
Modalità apprendimento (o modalità "funzionamento a secco")
-
Modalità attiva (o modalità "abilitata")
Per tutti gli ARP eseguiti con ONTAP 9.10,1 a 9.15.1 e ARP utilizzati per i volumi FlexGroup con ONTAP 9.16,1, quando si abilita ARP viene eseguito in learning mode. In modalità di apprendimento, il sistema ONTAP sviluppa un profilo di avviso basato sulle aree di analisi: Entropia, tipi di estensione dei file e IOPS dei file. Dopo aver eseguito ARP in modalità di apprendimento per un tempo sufficiente a valutare le caratteristiche del carico di lavoro, è possibile passare alla modalità attiva e iniziare a proteggere i dati.
Si consiglia di lasciare ARP in modalità di apprendimento per 30 giorni. A partire da ONTAP 9.13,1, ARP determina automaticamente l'intervallo di apprendimento ottimale e automatizza lo switch, che può verificarsi prima di 30 giorni.
Il comando security anti-ransomware volume workload-behavior show mostra le estensioni di file rilevate nel volume. Se si esegue questo comando nelle prime fasi della modalità di apprendimento e viene visualizzata una rappresentazione accurata dei tipi di file, non utilizzare tali dati come base per passare alla modalità attiva, poiché ONTAP sta ancora raccogliendo altre metriche.
|
Per ARP in esecuzione con ONTAP 9.10,1 a 9.15.1, ARP passa alla modalità attiva una volta completato l'intervallo di apprendimento ottimale. Con ARP/ai che inizia in ONTAP 9.16,1, non vi è alcun periodo di apprendimento quando ARP viene utilizzato con FlexVol Volumes. ARP/ai sui volumi FlexVol inizia in modalità attiva subito dopo l'installazione o l'aggiornamento a 9.16.1. Se si utilizza ONTAP 9.16,1 e ARP con FlexGroup Volumes, è ancora necessario un periodo di apprendimento prima di passare alla modalità attiva.
Dopo che ARP è passato alla modalità attiva, ONTAP crea istantanee ARP per proteggere i dati se viene rilevata una minaccia.
In modalità attiva, se un'estensione del file è contrassegnata come anomala, è necessario valutare l'avviso. Puoi agire sull'avviso per proteggere i tuoi dati o contrassegnarlo come falso positivo. Se si contrassegna un avviso come falso positivo, il profilo di avviso viene aggiornato. Ad esempio, se l'avviso viene attivato da una nuova estensione di file e l'utente contrassegna l'avviso come falso positivo, non verrà visualizzato alcun avviso alla successiva visualizzazione dell'estensione del file.
A partire da ONTAP 9.11.1, è possibile personalizzare i parametri di rilevamento per ARP. Per ulteriori informazioni, vedere Gestire i parametri di rilevamento degli attacchi ARP. |
Valutazione delle minacce e istantanee ARP
In modalità attiva, ARP valuta la probabilità di minaccia in base ai dati in entrata misurati in base alle analisi apprese. Viene assegnata una misurazione quando ARP rileva una minaccia:
-
Basso: Il primo rilevamento di un'anomalia nel volume (ad esempio, nel volume viene osservata una nuova estensione del file). Questo livello di rilevamento è disponibile solo nelle versioni precedenti a ONTAP 9.16,1 che non dispongono di ARP/ai.
-
Moderato: Si osservano più file con la stessa estensione mai vista prima.
-
In ONTAP 9.10.1, la soglia per l'escalation a moderate è di 100 o più file.
-
A partire da ONTAP 9.11.1, è possibile modificare la quantità di file; il valore predefinito è 20.
-
In una situazione di basso rischio, ONTAP rileva un'anomalia e crea un'istantanea del volume per creare il punto di ripristino migliore. ONTAP anticipa il nome dello snapshot ARP con Anti-ransomware-backup
per renderlo facilmente identificabile; ad esempio, Anti_ransomware_backup.2022-12-20_1248
.
Dopo che ONTAP ha eseguito un report di analytics, la minaccia passa a moderata. Ciò determina se l'anomalia corrisponde a un profilo ransomware. Le minacce che rimangono a basso livello sono registrate e visibili nella sezione Eventi di System Manager. Quando la probabilità di attacco è moderata, ONTAP genera una notifica EMS che richiede di valutare la minaccia. ONTAP non invia avvisi relativi a minacce basse, tuttavia, a partire da ONTAP 9.14.1, è possibile modificare le impostazioni degli avvisi. Per ulteriori informazioni, vedere Rispondere ad attività anomale.
È possibile visualizzare le informazioni relative a una minaccia, indipendentemente dal livello, nella sezione Eventi di System Manager o con il security anti-ransomware volume show
comando.
Le singole istantanee ARP vengono conservate per due giorni. Se sono presenti più snapshot ARP, per impostazione predefinita vengono conservati per cinque giorni. A partire da ONTAP 9.11.1, è possibile modificare le impostazioni di conservazione. Per ulteriori informazioni, vedere Modificare le opzioni per le istantanee.
Come ripristinare i dati in ONTAP dopo un attacco ransomware
Quando si sospetta un attacco, il sistema acquisisce uno snapshot del volume in tale point-in-time e la blocca. Se l'attacco viene confermato in seguito, il volume può essere ripristinato utilizzando lo snapshot ARP.
Gli snapshot bloccati non possono essere eliminati con metodi normali. Tuttavia, se in seguito decidi di contrassegnare l'attacco come falso positivo, la copia bloccata verrà eliminata.
Conoscendo i file interessati e il momento dell'attacco, è possibile recuperare in modo selettivo i file interessati da vari snapshot, anziché semplicemente riportare l'intero volume in uno degli snapshot.
ARP si basa quindi sulla comprovata tecnologia di protezione dei dati e disaster recovery di ONTAP per rispondere agli attacchi ransomware. Per ulteriori informazioni sul ripristino dei dati, consultare i seguenti argomenti.
Protezione di verifica multi-admin per ARP
A partire da ONTAP 9.13.1, si consiglia di attivare la verifica multi-admin (MAV) in modo che siano necessari due o più amministratori utente autenticati per la configurazione ARP (Autonomous ransomware Protection). Per ulteriori informazioni, vedere "Attiva la verifica multi-admin".