ONTAP自律型ランサムウェア対策の詳細
変更を提案
PDF
ONTAP 9.10.1以降、 ONTAP管理者はAutonomous Ransomware Protection(ARP)を有効にしてNAS(NFSおよびSMB)環境でワークロード分析を実行し、ランサムウェア攻撃の兆候となる可能性のある異常なアクティビティをプロアクティブに検出して警告することができます。ONTAPONTAP 9.17.1 以降、ARP は、LUN または NVMe 名前空間を含む SAN ボリュームや、VMware などのハイパーバイザーからの仮想ディスクを含む NAS ボリュームなどのブロック デバイス ボリュームもサポートします。
ARPはONTAPに直接組み込まれており、ONTAPの他の機能との統合的な制御と連携を実現します。ARPはリアルタイムで動作し、ファイルシステムへの書き込みやファイルシステムからの読み取り時にデータを処理し、潜在的なランサムウェア攻撃を迅速に検出して対応します。
ARPは、保護を強化するために、スケジュールされたスナップショットに加え、定期的にロックされたスナップショットを作成します。スナップショットの保存期間をスマートに管理します。異常なアクティビティが検出されない場合、スナップショットはすぐに再利用されます。ただし、攻撃が検出された場合は、攻撃開始前に作成されたスナップショットが長期間保持されます。
ライセンスとイネーブルメント
ARPサポートは、"ONTAP Oneライセンス" 。ONTAP One ライセンスをお持ちでない場合は、 ONTAPのバージョンに応じて異なる他のライセンスを ARP に使用できます
| ONTAP リリース | ライセンス |
|---|---|
ONTAP 9.11.1以降 |
|
ONTAP 9 10.1 |
|
-
ONTAP 9.10.1からONTAP 9.11.1以降にアップグレードする場合、システムでARPがすでに設定されている場合は、新しいものをインストールする必要はありません。 `Anti-ransomware`ライセンス。新しくARPを設定する場合は、ライセンスが必要です。
-
ONTAP 9.11.1 以降からONTAP 9.10.1 に復元する場合、Anti_ransomware ライセンスで ARP を有効にしていると、警告メッセージが表示され、ARP の再設定が必要になることがあります。"ARPのリバートについて説明します" 。
ONTAPランサムウェア対策戦略
ランサムウェアを効果的に検出するには、複数の保護レイヤが必要です。例として、自動車の安全機能を考えてみましょう。シートベルトなどの1つの機能だけでは、事故から完全に身を守ることはできません。エアバッグ、アンチロックブレーキ、前方衝突警告は、総合的に見てより良い結果につながる安全機能です。ランサムウェア対策についても同じことが言えます。
ONTAPには、ランサムウェアからの保護に役立つ FPolicy、スナップショット、 SnapLock、 Active IQ Digital Advisor ( Digital Advisorとも呼ばれる)などの機能が含まれていますが、次の情報は機械学習機能を備えた ARP 機能に重点を置いています。
ランサムウェアから保護するNetAppポートフォリオのその他の機能の詳細については、以下を参照してください。 "ランサムウェアとNetAppの保護ポートフォリオ" 。
ARPが検出する内容
ONTAP ARPは、身代金が支払われるまで攻撃者がデータを保持し続けるサービス拒否攻撃から保護するように設計されています。ARPは、以下の情報に基づいてリアルタイムのランサムウェア検出を提供します。
-
受信データが暗号化されているかプレーンテキストであるかを識別します。
-
以下を検出する分析:
-
エントロピー: (NASおよびSANで使用) ファイル内のデータのランダム性の評価
-
ファイル拡張子の種類: (NASでのみ使用) 想定される拡張子の種類に準拠していないファイル拡張子
-
ファイルIOPS: ( ONTAP 9.11.1以降のNASでのみ使用) データ暗号化による異常なボリュームアクティビティの急増
-
ARP は、少数のファイルが暗号化されただけでほとんどのランサムウェア攻撃の拡散を検出し、自動的に応答してデータを保護して、疑わしい攻撃が発生していることを警告します。
|
ランサムウェア検出システムでは完全な安全性を保証することはできません。 ARP は、ウイルス対策ソフトウェアが侵入を検出できなかった場合に、追加の防御層を提供します。 |
ARPモードについて学ぶ
ボリュームに対して ARP が有効になると、ベースラインを確立するための学習期間に入ります。 ARP は、アクティブ検出モードに移行する前にシステム メトリックを分析してアラート プロファイルを作成します。アクティブ モードでは、ARP は異常なアクティビティを監視し、異常な動作を検出すると保護アクションを実行し、アラートを生成します。
ARP の場合、学習モードとアクティブ モードの動作は、 ONTAP のバージョン、ボリューム タイプ、およびプロトコル (NAS または SAN) によって異なります。
NAS環境とモードの種類
次の表は、NAS 環境におけるONTAP 9.10.1 以降のバージョンの違いをまとめたものです。
以前の ARP モデルのバージョンでは、アクティブ モニタリングを開始する前に学習期間を設けることが推奨されます。 NAS環境をサポートする場合ARP/AI学習期間はなく、アクティブ モニタリングがすぐに開始されます。
| モード | 説明 | ボリュームの種類とバージョン | ||
|---|---|---|---|---|
学ぶ |
特定のバージョンのONTAPおよび特定のボリューム タイプでは、ARP を有効にすると、ARP は自動的に学習モードに設定されます。学習モードでは、ONTAPシステムにより、分析対象(エントロピー、ファイルの拡張子タイプ、ファイルのIOPS)に基づくアラート プロファイルが作成されます。 を学習モードのまま30日間維持することをお勧めします。ONTAPONTAP 9.13.1 以降、ARP は最適な学習間隔を自動的に決定し、切り替えを自動化します。切り替えは 30 日前に実行される可能性があります。ONTAPより前のバージョンでは、手動で切り替えることができます。 ONTAP 9.16.1 以降、 FlexVolボリュームにはアクティブ モードのみが存在し、このバージョン以降にアップグレードされたすべてのFlexVolボリュームでは、学習モードが自動的にアクティブ モードに移行します。 ONTAP 9.16.1 ~ 9.17.1 では、 FlexGroupボリュームは ARP/AI でまだサポートされていないため、引き続き古い ARP モデルが実行されます。このため、 FlexGroupボリュームを備えたこれらのバージョンでは、学習期間を設けることが依然として推奨されます。 ONTAP 9.18.1 以降では、 FlexVolとFlexGroupボリュームの両方にアクティブ モードのみが存在します。アップグレードされたボリュームは自動的にアクティブ モードに移行します。
|
|
||
アクティブ |
アクティブ モードでは、ファイル拡張子に異常のフラグが立てられている場合は、アラートを評価する必要があります。アラートに応じてデータを保護するための措置を講じることも、アラートを誤検知としてマークすることもできます。アラートを誤検出としてマークすると、そのプロファイルが更新されます。例えば、新しいファイル拡張子によってアラートがトリガーされ、それを誤検知としてマークした場合、次回そのファイル拡張子が検出されたときにはアラートは表示されなくなります。 |
サポートされているすべてのONTAPバージョンとFlexVolおよびFlexGroupボリューム |
SAN環境とモードの種類
SAN環境では、自動的にアクティブ検出に移行する前に、評価期間(NAS環境の学習モードに類似)が設けられます。次の表は、評価モードとアクティブモードの概要です。
| モード | 説明 | ボリュームの種類とバージョン |
|---|---|---|
評価 |
ベースライン暗号化動作を決定するために 2 ~ 4 週間の評価期間が実行され、その評価期間中に ARP/AI は SAN ボリュームに対して即時のアクティブ保護を提供します。ベースラインしきい値が確立されている間に検出とアラートが発生する可能性があります。評価期間が完了したかどうかを確認するには、 |
|
アクティブ |
評価期間終了後、ARP SAN保護がアクティブかどうかを確認するには、 `security anti-ransomware volume show`コマンドとチェック `Block device detection status`の状態 `Active_suitable_workload`評価されたエントロピー量が正常に監視できることを示します。ARPは、評価中に確認されたデータに応じて適応しきい値を自動的に調整します。 |
|
脅威評価とARPスナップショット
ARPは、学習済みの分析結果に基づいて測定された受信データに基づいて脅威の確率を評価します。ARPが異常を検出すると、測定値が割り当てられます。スナップショットは、検出時または定期的に割り当てられます。
ARPしきい値
-
低:ボリュームの異常をいち早く検出したもの(たとえば、新しいファイル拡張子がボリュームに検出された場合など)。このレベルの検出は、ARP/AIを搭載していないONTAP 9 .16.1より前のバージョンでのみ使用できます。
-
ONTAP 9.11.1以降では、 "ARPの検出パラメータをカスタマイズする" 。
-
ONTAP 9.10.1では、中程度へのエスカレーションのしきい値は100個以上です。
-
-
中:高いエントロピーが検出されるか、または同じ未知のファイル拡張子を持つ複数のファイルが検出された場合。これは、ARP/AI機能を備えたONTAP 9.16.1以降のベースライン検出レベルです。
ONTAPによって、異常がランサムウェアのプロファイルと一致しているかを判断する分析レポートが実行されると、脅威は「Moderate」に格上げされます。攻撃の可能性がModerateの場合、ONTAPによって、脅威の評価を求めるEMS通知が生成されます。しかし、ONTAP9.14.1以降では、以下のことが可能です"デフォルトのアラート設定を変更する"。"異常な活動への対応" 。
中程度の脅威に関する情報は、System Managerの*[イベント]セクションまたはコマンドを使用して確認できます security anti-ransomware volume show。脅威が低いイベントは、ARP / AIがないONTAP 9.16.1より前のバージョンでコマンドを使用して表示することもできます security anti-ransomware volume show。の詳細については security anti-ransomware volume show、を"ONTAPコマンド リファレンス"参照してください。
ARPスナップショット
ARP は、攻撃の初期兆候が検出されるとスナップショットを作成します。その後、詳細な分析が行われ、潜在的な攻撃の有無が判断されます。ARP ARP スナップショットは、攻撃が完全に確認される前でも積極的に作成されるため、特定の正当なアプリケーションに対しては定期的に生成されることもあります。これらのスナップショットの存在は異常とはみなされません。攻撃が確認された場合、攻撃確率は `Moderate`攻撃通知が生成されます。
ONTAP 9.17.1 以降では、NAS ボリュームと SAN ボリュームの両方に対して、また検出された異常に応じて、ARP スナップショットが定期的に生成されます。は、ARPスナップショットに識別しやすい名前を付けます。
ONTAP 9.11.1以降では、保持設定を変更できます。詳細については、 "スナップショットのオプションを変更します。" 。
次の表は、バージョン別の ARP スナップショットの違いをまとめたものです。
| 機能 | ONTAP 9.17.1以降 | ONTAP 9.16.1以前 |
|---|---|---|
作成トリガー |
トリガー タイプに基づいて、「定期的」または「攻撃」スナップショットが作成されます。 |
スナップショットの作成間隔はトリガー タイプによって異なります。 |
先頭に付ける名前の規則 |
「ランサムウェア対策定期バックアップ」「ランサムウェア攻撃対策バックアップ」 |
「ランサムウェア対策バックアップ」 |
削除動作 |
ARPスナップショットはロックされており、管理者は削除できません |
ARPスナップショットはロックされており、管理者は削除できません |
最大スナップショット数 |
||
保持期間 |
スナップショットは通常 12 時間保持されます。
|
|
明らかに疑わしい行為 |
管理者は、確認に基づいて保持を設定する明確な疑いのあるアクションを実行できます。
|
管理者は、確認に基づいて保持を設定する明確な疑いのあるアクションを実行できます。
この予防的保持動作は、 ONTAP 9.16.1より前には存在しません。 |
有効期限 |
すべてのスナップショットに有効期限が設定されます |
なし |
ランサムウェア攻撃後にONTAPでデータをリカバリする方法
ARPは、実績のあるONTAPのデータ保護およびディザスタリカバリテクノロジーを基盤として、ランサムウェア攻撃に対応します。ARPARP は、攻撃の初期兆候が検出されると、ロックされたスナップショットを作成します。まず、攻撃が実際のものか誤検知なのかを確認する必要があります。攻撃が確認されれば、ARPスナップショットを使用してボリュームを復元できます。
ロックされたSnapshotは通常の方法では削除できません。ただし、後で攻撃を誤検知としてマークすることにした場合、 ONTAP はロックされたコピーを削除します。
ボリューム全体を元に戻す代わりに、選択したスナップショットから影響を受けたファイルを回復できます。
攻撃への対応とデータの回復の詳細については、次のトピックを参照してください。
ARPのマルチ管理検証保護
ONTAP 9.13.1以降では、Autonomous Ransomware Protection(ARP;自律ランサムウェア対策)設定に複数の認証済みユーザ管理者が必要になるように、Multi-admin Verification(MAV;マルチ管理者検証)を有効にすることを推奨します。詳細については、を参照してください "マルチ管理者検証を有効にします"。
人工知能(ARP / AI)による自律型ランサムウェア対策
ONTAP 9.16.1以降、ARPはランサムウェア対策分析用の機械学習モデルを採用することでサイバーレジリエンス(回復力)を向上させます。ARPの機械学習モデルは、シミュレーションされたランサムウェア攻撃の前後両方の大規模なファイル データセットで事前にトレーニングされています。このモデルは、NAS環境で常に進化するランサムウェアを99%の精度で検出します。このリソース集約型のトレーニングは、オープンソースのフォレンジック調査データセットを用いてONTAPの外部で行われます。モデリングパイプライン全体で顧客データは使用されないため、プライバシーの問題は発生しません。このトレーニングから得られる事前トレーニング済みモデルは、 ONTAPに同梱されています。このモデルは、 ONTAP CLIまたはONTAP APIからアクセスしたり変更したりすることはできません。
ARP/AIでは、学習期間 。サポートされている次のボリューム タイプでは、ARP/AI はインストールまたはアップグレード直後にアクティブになります。
-
ONTAP 9.16.1 以降の NAS FlexVolボリューム
-
ONTAP 9.18.1 以降の NAS FlexGroupボリューム
-
ONTAP 9.17.1以降を搭載したSANボリューム("評価期間" )
ARP 機能がすでに有効になっている既存および新規ボリュームの場合、クラスターを ARP/AI 対応のONTAPバージョンにアップグレードすると、ARP/AI 保護が自動的にアクティブになります。
最新のランサムウェアの脅威に対する保護を最新の状態に保つために、ARP/AIでは、ONTAPの通常のアップグレードやリリースのサイクルとは別に頻繁に自動更新を提供しています。もしあなたが"自動更新を有効にした"セキュリティファイルの自動更新を選択すると、ARP/AIの自動セキュリティ更新も受信できるようになります。また、 "これらの更新を手動で行う"更新が行われるタイミングを制御します。
System.16.1以降では、システムおよびファームウェアの更新に加えて、ONTAP 9 Managerを使用してARP/AIのセキュリティ更新を利用できます。