Autonomous Ransomware Protection Overview
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ONTAP 9.10.1以降のAutonomous RansProtection(ARP)機能では、NAS(NFSおよびSMB)環境のワークロード分析を使用して、ランサムウェア攻撃を示す可能性のある異常なアクティビティをプロアクティブに検出して警告します。
攻撃の疑いがある場合、ARPは、スケジュールされたSnapshotコピーからの既存の保護に加えて、新しいSnapshotコピーも作成します。
ライセンスとイネーブルメント
ARPにはライセンスが必要です。ARPは、 "ONTAP 1ライセンス"。ONTAP Oneライセンスがない場合は、使用しているONTAPのバージョンによって異なる他のライセンスを使用してARPを使用できます。
ONTAP リリース | 使用許諾 |
---|---|
ONTAP 9.11.1以降 |
anti_Ransomware |
ONTAP 9.10.1 |
MT_EK_MGMT(マルチテナントキー管理) |
-
ONTAP 9.11.1以降にアップグレードしていて、ARPがすでにシステムに設定されている場合は、新しいアンチランサムウェアライセンスを購入する必要はありません。新しいARP設定の場合、新しいライセンスが必要です。
-
ONTAP 9.11.1以降からONTAP 9.10.1にリバートする際に、ランサムウェア対策ライセンスでARPを有効にしていると、警告メッセージが表示され、ARPの再設定が必要になる場合があります。 "ARPのリバートについて説明します"。
System ManagerまたはONTAP CLIを使用して、ボリューム単位でARPを設定できます。
ONTAP ランサムウェア攻撃からの保護戦略
ランサムウェアの効果的な検出戦略には、複数の保護レイヤを含める必要があります。
例えは、車両の安全機能です。シートベルトなどの単一の機能に頼らず、事故時に完全に身を守ることができます。エアバッグ、アンチロックブレーキ、および前方衝突警告はすべて、より良い結果をもたらす追加の安全機能です。ランサムウェア攻撃からの保護は、同様の方法で確認する必要があります。
ONTAP には、ランサムウェアからの保護に役立つFPolicy、Snapshotコピー、SnapLock 、Active IQ デジタルアドバイザなどの機能が含まれていますが、以下では機械学習機能を備えたARP搭載機能に焦点を当てて説明します。
ONTAPのその他のランサムウェア対策機能の詳細については、を参照してください "TR-4572 :『 NetApp Solution for Ransomware 』"
ARPが検出するもの
ARPは、身代金が支払われるまで攻撃者がデータを保留するサービス拒否攻撃から保護するように設計されています。ARPは、以下に基づくランサムウェア対策検出を提供します。
-
受信データを暗号化データまたはプレーンテキストとして識別する。
-
検出する分析
-
Entropy :ファイル内のデータのランダム性の評価
-
ファイル拡張子タイプ:通常の拡張子タイプと一致しない拡張子
-
ファイルIOPS :データ暗号化による異常なボリュームアクティビティの急増(ONTAP 9.11.1以降)
-
ARPは、少数のファイルのみが暗号化された後、ほとんどのランサムウェア攻撃の拡散を検出し、データを保護するためのアクションを自動的に実行し、攻撃の疑いがあることを警告します。
ランサムウェア攻撃の安全性を完全に保証できるランサムウェア検出や防御システムはありません。攻撃が検出されない可能性はありますが、アンチウイルスソフトウェアが侵入を検出できなかった場合、ARPは重要な追加防御層として機能します。 |
学習モードとアクティブモード
ARPには2つのモードがあります。
-
学習(または「ドライラン」モード)
-
アクティブ(または「有効」モード)
ARPをイネーブルにすると、ARPはラーニングモードで実行されます。学習モードでは、ONTAPシステムは、エントロピー、ファイル拡張子タイプ、ファイルIOPSなどの分析領域に基づいてアラートプロファイルを作成します。ARPをラーニングモードで実行して、ワークロード特性を評価するのに十分な時間が経過したら、アクティブモードに切り替えてデータの保護を開始できます。ARPがアクティブモードに切り替わると、ONTAP はARPスナップショットを作成して、脅威が検出された場合にデータを保護します。
ARPを学習モードのまま30日間放置することをお勧めします。ONTAP 9.13.1以降では、ARPによって最適な学習期間間隔が自動的に決定され、30日前にスイッチが自動化されます。
アクティブモードで、ファイル拡張子が異常としてフラグされている場合は、アラートを評価する必要があります。アラートに対処してデータを保護したり、アラートを誤検出としてマークしたりできます。アラートをfalse positiveとしてマークすると、アラートプロファイルが更新されます。たとえば、新しいファイル拡張子によってアラートがトリガーされ、アラートをfalse positiveとしてマークした場合、次回そのファイル拡張子が監視されたときにアラートは受信されません。コマンド security anti-ransomware volume workload-behavior show
ボリュームで検出されたファイル拡張子が表示されます。(このコマンドをラーニングモードの早い段階で実行し、ファイルタイプが正確に表現されている場合は、ONTAPが他のメトリックを収集しているため、そのデータをアクティブモードに移行するためのベースとして使用しないでください)。
ONTAP 9.11.1以降では、ARPの検出パラメータをカスタマイズできます。詳細については、を参照してください ARP攻撃検出パラメータを管理します。。
脅威の評価とARPスナップショット
アクティブモードでは、ARPは学習した分析に対して測定された受信データに基づいて脅威の確率を評価します。ARPが脅威を検出すると、測定値が割り当てられます。
-
低:ボリュームの異常をいち早く検出したもの(たとえば、新しいファイル拡張子がボリュームに観察された場合)。
-
中程度:同じファイル拡張子を持つ複数のファイルが観察されます。
-
ONTAP 9.10.1では、中程度へのエスカレーションのしきい値は100個以上です。ONTAP 9.11.1以降では、ファイル数を変更できます。デフォルト値は20です。
-
脅威が少ない状況では、ONTAPが異常を検出し、ボリュームのSnapshotを作成して最適なリカバリポイントを作成します。ARPスナップショットは、 anti-ransomware-backup
タグを付け、その名前で識別できます。例: Anti_ransomware_backup.2022-12-20_1248
。
ONTAPがランサムウェアのプロファイルに異常が一致しているかどうかを判断する分析レポートを実行すると、脅威は「中程度」にエスカレーションされます。下位レベルの脅威はログに記録され、System Managerの[*イベント]セクションに表示されます。攻撃の可能性が中程度の場合、ONTAP によってEMS通知が生成され、脅威を評価するように求められます。ONTAPは低脅威に関するアラートを送信しませんが、ONTAP 9.14.1以降では、次のことが可能です。 アラート設定の変更。詳細については、を参照してください 異常な活動に対応する。。
脅威に関する情報は、レベルに関係なく、System Managerの[*イベント]セクションまたはを使用して表示できます security anti-ransomware volume show
コマンドを実行します
ARPスナップショットは最低2日間保持されます。ONTAP 9.11.1以降では、保持設定を変更できます。詳細については、を参照してください Snapshotコピーのオプションを変更します。
ランサムウェア攻撃のあとに ONTAP でデータをリカバリする方法
攻撃の疑いがある場合、システムはその時点でボリュームの Snapshot コピーを作成し、そのコピーをロックします。あとで攻撃が確認されれば、ボリュームをこのSnapshotにリストアして、データ損失を最小限に抑えることができます。
ロックされた Snapshot コピーは、通常の方法で削除できません。ただし、後で攻撃をフォールスポジティブとしてマークする場合、ロックされたコピーは削除されます。
影響を受けるファイルと攻撃時間に関する知識を持つことで、ボリューム全体をスナップショットの 1 つに戻すだけでなく、さまざまな Snapshot コピーから影響を受けるファイルを選択的にリカバリできます。
ARPは、実績のあるONTAP データ保護とディザスタリカバリテクノロジを基盤として、ランサムウェア攻撃に対応しています。データのリカバリの詳細については、次のトピックを参照してください。