Note di rilascio
Panoramica della protezione ransomware autonoma
Suggerisci modifiche
-
PDF del sito di questa documentazione
-
Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
-
Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
-
-
Gestione dello storage NAS
-
Configurare NFS con la CLI
-
Gestisci NFS con la CLI
-
Gestire SMB con la CLI
-
Gestire i server SMB
-
Gestire l'accesso ai file utilizzando SMB
-
-
-
Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
-
Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
-
-
Protezione dei dati e disaster recovery
-
Raccolta di documenti PDF separati
Creating your file...
A partire da ONTAP 9.10.1, la funzionalità di protezione ransomware autonoma (ARP) utilizza l'analisi del carico di lavoro in ambienti NAS (NFS e SMB) per rilevare e avvisare in modo proattivo circa attività anomale che potrebbero indicare un attacco ransomware.
Quando si sospetta un attacco, ARP crea anche nuove copie Snapshot, oltre alla protezione esistente dalle copie Snapshot pianificate.
Licenze e abilitazione
ARP richiede una licenza. ARP è disponibile con "Licenza ONTAP ONE". Se non si dispone della licenza ONTAP ONE, sono disponibili altre licenze per l'utilizzo di ARP, che variano a seconda della versione di ONTAP in uso.
| Release di ONTAP | Licenza |
|---|---|
ONTAP 9.11.1 e versioni successive |
Anti_ransomware |
ONTAP 9.10.1 |
MT_EK_MGMT (Gestione delle chiavi multi-tenant) |
-
Se si esegue l'aggiornamento a ONTAP 9.11.1 o versione successiva e ARP è già configurato nel sistema, non è necessario acquistare la nuova licenza Anti-ransomware. Per le nuove configurazioni ARP, è necessaria la nuova licenza.
-
Se si esegue il ripristino da ONTAP 9.11.1 o versione successiva a ONTAP 9.10.1 e si attiva ARP con la licenza Anti-ransomware, viene visualizzato un messaggio di avviso e potrebbe essere necessario riconfigurare ARP. "Scopri come ripristinare ARP".
È possibile configurare ARP per volume utilizzando Gestione sistema o l'interfaccia CLI di ONTAP.
Strategia di protezione ransomware di ONTAP
Una strategia efficace di rilevamento ransomware dovrebbe includere più di un singolo livello di protezione.
Un'analogia sarebbe la sicurezza di un veicolo. Non ci si affida a una singola funzione, ad esempio una cintura di sicurezza, per proteggersi completamente in caso di incidente. Gli airbag, i freni antibloccaggio e l'allarme anticollisione anteriore sono tutte funzioni di sicurezza aggiuntive che consentono di ottenere risultati migliori. La protezione ransomware deve essere visualizzata nello stesso modo.
Mentre ONTAP include funzionalità come FPolicy, Snapshot Copies, SnapLock e Active IQ Digital Advisor per la protezione dal ransomware, le seguenti informazioni si concentrano sulla funzionalità ARP on-box con funzionalità di machine learning.
Per ulteriori informazioni sulle altre funzionalità anti-ransomware di ONTAP, consulta la sezione "TR-4572: Soluzione NetApp per ransomware."
Cosa rileva ARP
ARP è progettato per proteggere da attacchi di tipo Denial-of-service in cui l'utente malintenzionato trattiene i dati fino a quando non viene pagato un riscatto. ARP offre il rilevamento anti-ransomware basato su:
-
Identificazione dei dati in entrata come crittografati o non crittografati.
-
Analytics, che rileva
-
Entropia: Una valutazione della casualità dei dati in un file
-
Tipi di estensione del file: Un'estensione non conforme al normale tipo di estensione
-
IOPS del file: Aumento dell'attività anomala del volume con crittografia dei dati (a partire da ONTAP 9.11.1)
-
ARP è in grado di rilevare la diffusione della maggior parte degli attacchi ransomware dopo la crittografia di un numero limitato di file, intraprendere azioni automatiche per proteggere i dati e avvisare l'utente che si sta verificando un attacco sospetto.
|
Nessun sistema di rilevamento ransomware o prevenzione può garantire completamente la sicurezza da un attacco ransomware. Anche se è possibile che un attacco possa non essere rilevato, ARP agisce come un importante livello di difesa aggiuntivo se il software antivirus non è riuscito a rilevare un'intrusione. |
Modalità di apprendimento e attive
ARP dispone di due modalità:
-
Apprendimento (o modalità "dry run")
-
Attivo (o modalità "abilitato")
Quando si attiva ARP, viene eseguito in modalità di apprendimento. In modalità di apprendimento, il sistema ONTAP sviluppa un profilo di avviso basato sulle aree di analisi: Entropia, tipi di estensione dei file e IOPS dei file. Dopo aver eseguito ARP in modalità di apprendimento per un tempo sufficiente a valutare le caratteristiche del carico di lavoro, è possibile passare alla modalità attiva e iniziare a proteggere i dati. Una volta che ARP è passato alla modalità attiva, ONTAP crea copie snapshot ARP per proteggere i dati se viene rilevata una minaccia.
Si consiglia di lasciare ARP in modalità di apprendimento per 30 giorni. A partire da ONTAP 9.13.1, ARP determina automaticamente l'intervallo ottimale del periodo di apprendimento e automatizza lo switch, che può verificarsi prima di 30 giorni.
In modalità attiva, se un'estensione del file è contrassegnata come anomala, è necessario valutare l'avviso. Puoi agire sull'avviso per proteggere i tuoi dati o contrassegnarlo come falso positivo. Se si contrassegna un avviso come falso positivo, il profilo di avviso viene aggiornato. Ad esempio, se l'avviso viene attivato da una nuova estensione di file e l'utente contrassegna l'avviso come falso positivo, non verrà visualizzato alcun avviso alla successiva visualizzazione dell'estensione del file. Il comando security anti-ransomware volume workload-behavior show mostra le estensioni di file rilevate nel volume. (Se si esegue questo comando nelle prime fasi della modalità di apprendimento e viene visualizzata una rappresentazione accurata dei tipi di file, non utilizzare tali dati come base per passare alla modalità attiva, poiché ONTAP sta ancora raccogliendo altre metriche).
A partire da ONTAP 9.11.1, è possibile personalizzare i parametri di rilevamento per ARP. Per ulteriori informazioni, vedere Gestire i parametri di rilevamento degli attacchi ARP.
Valutazione delle minacce e copie snapshot ARP
In modalità attiva, ARP valuta la probabilità di minaccia in base ai dati in entrata misurati in base alle analisi apprese. Viene assegnata una misurazione quando ARP rileva una minaccia:
-
Basso: Il primo rilevamento di un'anomalia nel volume (ad esempio, una nuova estensione del file è osservata nel volume).
-
Moderato: Si osservano più file con la stessa estensione mai vista prima.
-
In ONTAP 9.10.1, la soglia per l'escalation a moderate è di 100 o più file. A partire da ONTAP 9.11.1, è possibile modificare la quantità di file; il valore predefinito è 20.
-
In una situazione di basso rischio, ONTAP rileva un'anomalia e crea una copia Snapshot del volume per creare il punto di recovery migliore. ONTAP anticipa il nome della copia snapshot ARP con Anti-ransomware-backup per renderla facilmente identificabile, per esempio Anti_ransomware_backup.2022-12-20_1248.
Dopo che ONTAP ha eseguito un report di analytics, la minaccia passa a moderata. Ciò determina se l'anomalia corrisponde a un profilo ransomware. Le minacce che rimangono a basso livello sono registrate e visibili nella sezione Eventi di System Manager. Quando la probabilità di attacco è moderata, ONTAP genera una notifica EMS che richiede di valutare la minaccia. ONTAP non invia avvisi relativi a minacce basse, tuttavia, a partire da ONTAP 9.14.1, è possibile modificare le impostazioni degli avvisi. Per ulteriori informazioni, vedere Rispondere ad attività anomale.
È possibile visualizzare informazioni su una minaccia, indipendentemente dal livello, nella sezione Eventi di System Manager o con security anti-ransomware volume show comando.
Le copie Snapshot ARP vengono conservate per un minimo di due giorni. A partire da ONTAP 9.11.1, è possibile modificare le impostazioni di conservazione. Per ulteriori informazioni, vedere Modificare le opzioni per le copie Snapshot.
Come ripristinare i dati in ONTAP dopo un attacco ransomware
Quando si sospetta un attacco, il sistema esegue una copia Snapshot del volume in quel momento e blocca tale copia. Se l'attacco viene confermato in seguito, il volume può essere ripristinato utilizzando la copia snapshot ARP.
Le copie Snapshot bloccate non possono essere eliminate con mezzi normali. Tuttavia, se in seguito decidi di contrassegnare l'attacco come falso positivo, la copia bloccata verrà eliminata.
Conoscendo i file interessati e il momento dell'attacco, è possibile recuperare in modo selettivo i file interessati da varie copie Snapshot, piuttosto che semplicemente riportare l'intero volume in una delle copie Snapshot.
ARP si basa quindi sulla comprovata tecnologia di protezione dei dati e disaster recovery di ONTAP per rispondere agli attacchi ransomware. Per ulteriori informazioni sul ripristino dei dati, consultare i seguenti argomenti.