Proteggi i tuoi dati con la protezione autonoma dai ransomware NetApp con intelligenza artificiale
Proteggi i tuoi dati con NetApp Autonomous Ransomware Protection with AI (ARP/AI). Monitora l'attività negli ambienti NAS (NFS/SMB) e SAN per rilevare comportamenti anomali che potrebbero indicare un attacco ransomware. Se viene rilevata una minaccia, ARP/AI crea automaticamente nuove snapshot immutabili così puoi ripristinare i tuoi dati.
Utilizzare ARP/AI per proteggersi dagli attacchi denial-of-service, in cui l'aggressore trattiene i dati finché non viene pagato un riscatto. ARP/AI offre il rilevamento ransomware in tempo reale basato su:
-
Identificazione dei dati in entrata come crittografati o non crittografati.
-
Analisi che rilevano:
-
Entropia: una valutazione della casualità dei dati in un file (utilizzata sia in ambienti NAS che SAN)
-
Tipi di estensione file: un'estensione che non si conforma al tipo di estensione normale (usata solo in ambienti NAS)
-
IOPS dei file: un picco di attività anomala del volume con crittografia dei dati (usato solo in ambienti NAS)
-
ARP/AI è in grado di rilevare la diffusione della maggior parte degli attacchi ransomware dopo che è stato crittografato solo un numero limitato di file, di intervenire automaticamente per proteggere i dati e di avvisare l'utente che si sta verificando un sospetto attacco.
La funzionalità ARP/AI si aggiorna automaticamente in base alla versione di ONTAP eseguita Amazon FSx for NetApp ONTAP, così non è necessario effettuare aggiornamenti manuali.
- Modalità di apprendimento e attive
-
Il comportamento di ARP/AI dipende dal protocollo e dal tipo di volume:
-
Volumi NAS (NFS/SMB): ARP/AI inizia a funzionare non appena lo abiliti. Utilizza un modello di intelligenza artificiale pre-addestrato per rilevare immediatamente le minacce ransomware.
-
Volumi SAN (a partire da ONTAP 9.17.1): ARP/AI offre una protezione immediata, anche durante il primo periodo di valutazione. Durante questo periodo di 2-4 settimane, il sistema apprende le normali attività di crittografia e imposta le soglie di avviso. Allo stesso tempo, continua a monitorare i tuoi dati, rilevare le minacce e inviare avvisi.
-
Modalità attiva: Quando la modalità attiva è attiva, FSx per ONTAP crea snapshot ARP/AI per aiutarti a proteggere i tuoi dati quando rileva una possibile minaccia.
-
Se il sistema segnala un'estensione di file come insolita, esamina l'avviso. Puoi rispondere all'avviso per proteggere i tuoi dati oppure contrassegnarlo come falso positivo se l'attività è prevista.
Quando contrassegni un avviso come falso positivo, il sistema aggiorna le sue impostazioni di avviso. Ad esempio, se una nuova estensione di file attiva un avviso e la contrassegni come falso positivo, non riceverai un avviso la prossima volta che il sistema rileva quella estensione di file.
- Configurazioni non supportate
-
Le seguenti configurazioni non supportano l'uso di ARP/AI.
-
Volumi NVMe
-
Volumi iSCSI con versioni di ONTAP precedenti alla 9.17.1
-
Abilita ARP/AI per un file system o un volume
Attivando ARP/AI per un file system, proteggi automaticamente tutti i volumi NAS attuali e nuovi (NFS/SMB). A partire da ONTAP 9.17.1, supporta anche i volumi SAN (iSCSI). Puoi anche attivare ARP/AI per volumi specifici.
Se ARP/AI rileva un attacco reale dopo la sua attivazione, Workload Factory crea automaticamente una snapshot policy. Questa policy può creare fino a sei snapshot ogni quattro ore. Ogni snapshot è bloccato per 2-5 giorni.
Per abilitare ARP/AI per un file system o un volume, è necessario associare un collegamento. "Scopri come associare un collegamento esistente o come creare e associare un nuovo collegamento" . Dopo aver associato il collegamento, tornare a questa operazione.
-
Accedere utilizzando uno dei "esperienze di console".
-
Seleziona il menu
e quindi seleziona Archiviazione. -
Dal menu Archiviazione, selezionare FSx per ONTAP.
-
Da FSx per ONTAP, selezionare il menu azioni del file system per abilitare ARP/AI, quindi selezionare Gestisci.
-
In Informazioni, seleziona l'icona della matita accanto a Protezione autonoma da ransomware. L'icona della matita appare accanto alla freccia quando il mouse passa sopra la riga Protezione autonoma dal ransomware.
-
Dalla pagina NetApp Autonomous Ransomware Protection with AI (ARP/AI), procedere come segue:
-
Abilita o disabilita la funzionalità.
-
Creazione automatica di snapshot: seleziona il numero massimo di snapshot da conservare e l'intervallo di tempo tra un'acquisizione e l'altra. L'impostazione predefinita è 6 snapshot ogni 4 ore.
-
Snapshot immutabili: seleziona il periodo di conservazione predefinito in ore e il numero massimo di giorni per conservare gli snapshot immutabili. Abilitare questa opzione per garantire che gli snapshot non possano essere eliminati o modificati fino al termine del periodo di conservazione specificato.
-
Rilevamento: facoltativamente, seleziona uno qualsiasi dei seguenti parametri per eseguire automaticamente la scansione e rilevare le anomalie.
-
-
Accettare la dichiarazione per procedere.
-
Selezionare Applica per salvare le modifiche.
-
Accedere utilizzando uno dei "esperienze di console".
-
Seleziona il menu
e quindi seleziona Archiviazione. -
Dal menu Archiviazione, selezionare FSx per ONTAP.
-
Da FSx per ONTAP, selezionare il menu azioni del file system per abilitare ARP/AI, quindi selezionare Gestisci.
-
Dalla scheda Volumi, seleziona il menu azioni del volume per abilitare ARP/AI, quindi Azioni di protezione dati e infine Gestisci ARP/AI.
-
Nella finestra di dialogo Gestisci ARP/AI, procedere come segue:
-
Abilita o disabilita la funzionalità.
-
Rilevamento: facoltativamente, seleziona uno qualsiasi dei seguenti parametri per eseguire automaticamente la scansione e rilevare le anomalie.
-
-
Accettare la dichiarazione per procedere.
-
Selezionare Applica per salvare le modifiche.
Convalida degli attacchi ransomware
Determinare se un attacco è un falso allarme o un incidente ransomware autentico.
-
Accedere utilizzando uno dei "esperienze di console".
-
Seleziona il menu
e quindi seleziona Archiviazione. -
Dal menu Archiviazione, selezionare FSx per ONTAP.
-
Da FSx for ONTAP, seleziona il file system per cui convalidare gli attacchi ransomware.
-
Nella panoramica del file system, selezionare la scheda volumi.
-
Seleziona analizza attacchi dal riquadro Autonomous ransomware Protection.
-
Scarica il report sugli eventi di attacco per verificare se alcuni file o cartelle sono stati compromessi e decidere se si è verificato un attacco.
-
Se non si è verificato alcun attacco, selezionare Falso allarme per il volume nella tabella, quindi selezionare Chiudi
-
Se si è verificato un attacco, selezionare attacco reale per il volume nella tabella. Viene visualizzata la finestra di dialogo Ripristina dati volume compromessi. È possibile procedere immediatamente a oppure selezionare Chiudi e tornare a ripristina i tuoi daticompletare il processo di ripristino in un secondo momento.
Recuperare i dati dopo un attacco ransomware
Quando il sistema rileva un possibile attacco, crea e blocca un'istantanea del volume in quel preciso istante.
Se l'attacco viene successivamente confermato, puoi ripristinare i file interessati o l'intero volume dallo snapshot.
Gli snapshot bloccati non possono essere eliminati fino alla scadenza del periodo di conservazione. Se in seguito l'attacco viene identificato come un falso allarme, lo snapshot bloccato viene eliminato.
Poiché il sistema identifica i file interessati e l'ora dell'attacco, puoi recuperare solo i file interessati dagli snapshot disponibili invece di ripristinare l'intero volume.
-
Accedere utilizzando uno dei "esperienze di console".
-
Seleziona il menu
e quindi seleziona Archiviazione. -
Dal menu Archiviazione, selezionare FSx per ONTAP.
-
Da FSx for ONTAP, seleziona il file system per cui recuperare i dati.
-
Nella panoramica del file system, selezionare la scheda volumi.
-
Seleziona analizza attacchi dal riquadro Autonomous ransomware Protection.
-
Se si è verificato un attacco, selezionare attacco reale per il volume nella tabella.
-
Nella finestra di dialogo Ripristina dati volume compromessi, seguire le istruzioni per eseguire il ripristino a livello di file o a livello di volume. Nella maggior parte dei casi, i file vengono ripristinati piuttosto che in un intero volume.
-
Dopo aver completato il ripristino, selezionare Chiudi.
I dati compromessi sono stati ripristinati.