ONTAP 9.16.1부터 ARP는 지속적으로 진화하는 랜섬웨어 형태를 99% 정확도로 감지하는 랜섬웨어 방지 분석을 위한 머신 러닝 모델을 채택함으로써 사이버 복원력을 개선합니다. ARP의 머신 러닝 모델은 시뮬레이션 랜섬웨어 공격 전후에 대규모 파일 데이터 세트에 대해 사전 훈련됩니다. 리소스 집약적인 이 교육은 ONTAP 외부에서 실시되지만, 본 교육의 학습은 ONTAP 내 모델에 사용됩니다.

ARP/AI 및 FlexVol 볼륨에는 없습니다.학습 기간 ARP/AI는 설치 또는 9.16으로 업그레이드한 직후 활성 모드로 시작됩니다. 클러스터를 ONTAP 9.16.1로 업그레이드한 후 해당 볼륨에 대해 ARP가 이미 활성화된 경우 기존 및 새 FlexVol 볼륨에 대해 ARP/AI가 자동으로 활성화됩니다.

"ARP/AI 활성화에 대해 자세히 알아보십시오"

최신 랜섬웨어 위협에 대한 최신 보호를 유지하기 위해 ARP/AI는 정기적인 ONTAP 업그레이드 및 릴리스 정보 외부에서 발생하는 자동 업데이트를 자주 제공합니다. "자동 업데이트를 활성화했습니다"그렇다면 보안 파일에 대한 자동 업데이트를 선택한 후 ARP/AI에 대한 자동 보안 업데이트를 받을 수도 있습니다. 이러한 업데이트를 수동으로 수행하고 업데이트가 발생하는 시기를 제어할 수도 있습니다.

ONTAP 9.16.1부터 시스템 및 펌웨어 업데이트 외에 ARP/AI용 보안 업데이트를 System Manager를 사용하여 사용할 수 있습니다.

"ARP/AI 업데이트에 대해 자세히 알아보십시오"

ARP 지원은 에 포함되어 "ONTAP One 라이센스"있습니다. ONTAP One 라이센스가 없는 경우 ONTAP 버전에 따라 다른 ARP를 사용할 수 있는 다른 라이센스가 있습니다.

"ARP를 되돌리는 방법에 대해 알아보십시오"..

효과적인 랜섬웨어 탐지 전략에는 단일 이상의 보호 계층이 포함되어야 합니다.

예를 들어, 차량의 안전 기능을 들 수 있습니다. 안전 벨트와 같은 단일 기능에 의존하여 사고 시 사용자를 완전히 보호하지 않습니다. 에어백, 안티 브레이크 및 전방 충돌 경고는 모두 추가적인 안전 기능으로 훨씬 더 나은 결과를 제공합니다. 랜섬웨어 보호는 동일한 방법으로 확인해야 합니다.

ONTAP에는 랜섬웨어로부터 보호하기 위한 FPolicy, 스냅샷, SnapLock 및 Active IQ 디지털 어드바이저(디지털 자문이라고도 함)와 같은 기능이 포함되어 있지만, 머신 러닝 기능을 갖춘 ARP 온박스 기능에 중점을 둡니다.

ONTAP의 다른 안티 랜섬웨어 기능에 대한 자세한 내용은 를 참조하십시오"Ransomware 및 NetApp의 보호 포트폴리오".

ARP는 공격자가 몸값을 지불하기 전까지 데이터를 보유하는 서비스 거부 공격으로부터 보호하도록 설계되었습니다. ARP는 다음을 기반으로 실시간 랜섬웨어 탐지를 제공합니다.

ARP는 적은 수의 파일만 암호화한 후 대부분의 랜섬웨어 공격의 확산을 감지하고 자동으로 조치를 취하여 데이터를 보호하고 의심스러운 공격이 발생하고 있음을 사용자에게 알릴 수 있습니다.

ARP에는 두 가지 모드가 있습니다.

ONTAP 9.10.1에서 9.15.1로 실행되는 모든 ARP와 ONTAP 9.16.1을 사용하는 FlexGroup 볼륨에 사용되는 ARP의 경우 ARP를 활성화하면 _learning mode_에서 실행됩니다. 학습 모드에서 ONTAP 시스템은 엔트로피, 파일 확장자 유형 및 파일 IOPS와 같은 분석 영역을 기반으로 경고 프로필을 개발합니다. 학습 모드에서 충분한 시간 동안 ARP를 실행하여 워크로드 특성을 평가한 후 활성 모드로 전환하고 데이터 보호를 시작할 수 있습니다.

30일 동안 ARP를 학습 모드로 두는 것이 좋습니다. ONTAP 9.13.1부터 ARP는 자동으로 최적의 학습 간격을 결정하고 30일 이전에 발생할 수 있는 스위치를 자동화합니다.

ONTAP 9.10.1에서 9.15.1로 실행되는 ARP의 경우 최적의 학습 간격이 완료된 후 ARP가 _ACTIVE MODE_로 전환됩니다. ARP/AI는 ONTAP 9.16.1로 시작하므로 FlexVol 볼륨과 함께 ARP를 사용할 때 학습 기간이 없습니다. FlexVol 볼륨의 ARP/AI는 설치 또는 9.16.1로 업그레이드한 직후 활성 모드로 시작됩니다. FlexGroup 볼륨에서 ONTAP 9.16.1 및 ARP를 사용하는 경우 활성 모드로 전환하기 전에 학습 기간이 필요합니다.

ARP가 활성 모드로 전환된 후 ONTAP는 위협이 감지될 경우 데이터를 보호하기 위해 ARP 스냅샷을 생성합니다.

활성 모드에서 파일 확장자가 비정상으로 플래그되는 경우 경고를 평가해야 합니다. 경고를 통해 데이터를 보호하거나 경고를 거짓 긍정 으로 표시할 수 있습니다. 경고를 false positive로 표시하면 경고 프로필이 업데이트됩니다. 예를 들어, 새 파일 확장자에 의해 경고가 트리거되고 이 경고를 false positive로 표시하면 다음에 파일 확장명이 관찰될 때 알림이 수신되지 않습니다.

활성 모드에서 ARP는 학습된 분석에 대해 측정된 수신 데이터를 기반으로 위협 가능성을 평가합니다. ARP가 위협을 탐지할 때 측정이 할당됩니다.

위협이 낮은 상황에서 ONTAP는 비정상성을 감지하고 볼륨의 스냅샷을 생성하여 최상의 복구 지점을 만듭니다. ONTAP는 쉽게 식별할 수 있도록 ARP 스냅샷의 이름 앞에 을 붙입니다 Anti-ransomware-backup(예 Anti_ransomware_backup.2022-12-20_1248:).

ONTAP에서 분석 보고서를 실행하고 비정상 상태가 랜섬웨어 프로필과 일치하는지 확인하는 위협이 보통 수준으로 증가합니다. 하위 수준에 남아 있는 위협은 System Manager의 이벤트 섹션에 기록되고 표시됩니다. 공격 가능성이 보통이면 ONTAP에서 위협을 평가하라는 EMS 알림을 생성합니다. ONTAP는 낮은 위협에 대한 경고를 보내지 않지만 ONTAP 9.14.1부터 시작할 수 있습니다 알림 설정을 수정합니다. 자세한 내용은 을 참조하십시오 비정상적인 활동에 응답합니다.

수준에 상관없이 System Manager의 * Events * 섹션 또는 명령을 사용하여 위협에 대한 정보를 볼 수 security anti-ransomware volume show 있습니다.

개별 ARP 스냅샷은 2일 동안 유지됩니다. ARP 스냅샷이 여러 개 있는 경우 기본적으로 5일 동안 보존됩니다. ONTAP 9.11.1부터 보존 설정을 수정할 수 있습니다. 자세한 내용은 을 스냅샷 옵션을 수정합니다참조하십시오.

공격이 의심되는 경우 시스템은 해당 시점에 볼륨 스냅샷을 생성하고 해당 복사본을 잠급니다. 나중에 공격이 확인되면 ARP 스냅샷을 사용하여 볼륨을 복원할 수 있습니다.

잠긴 스냅샷은 정상적인 방법으로 삭제할 수 없습니다. 그러나 나중에 이 공격을 가양성 공격으로 표시하기로 결정하면 잠긴 복사본이 삭제됩니다.

영향을 받는 파일과 공격 시간을 알면 전체 볼륨을 스냅샷 중 하나로 되돌리는 대신 다양한 스냅샷에서 영향을 받는 파일을 선택적으로 복구할 수 있습니다.

ARP는 검증된 ONTAP 데이터 보호 및 재해 복구 기술을 기반으로 구축되며, 랜섬웨어 공격에 대응합니다. 데이터 복구에 대한 자세한 내용은 다음 항목을 참조하십시오.

ONTAP 9.13.1 부터는 ARP(Autonomous 랜섬웨어 보호) 구성에 2명 이상의 인증된 사용자 관리자가 필요할 수 있도록 MAV(Multi-admin verification)를 활성화하는 것이 좋습니다. 자세한 내용은 을 "다중 관리 검증을 활성화합니다"참조하십시오.