Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

ONTAP 자율적 랜섬웨어 방어에 대해 알아보십시오

기여자 netapp-dbagwell netapp-ahibbard netapp-aaron-holt netapp-aherbin netapp-forry netapp-adlove pixelchrome netapp-thomi netapp-barbe

ONTAP 9.10.1부터 ONTAP 관리자는 NAS(NFS 및 SMB) 환경에서 워크로드 분석을 수행하는 ARP(자율 랜섬웨어 보호)를 활성화하여 랜섬웨어 공격을 나타낼 수 있는 비정상 활동을 사전에 감지하고 경고할 수 있습니다. ONTAP 9.17.1부터 ARP는 LUN이 포함된 SAN 볼륨이나 VMware, Hyper-V, KVM과 같은 하이퍼바이저의 가상 디스크가 포함된 NAS 볼륨을 포함한 블록 장치 볼륨도 지원합니다.

ARP는 ONTAP에 직접 내장되어 ONTAP의 다른 기능들과의 통합 제어 및 조정을 보장합니다. ARP는 실시간으로 작동하여 파일 시스템에 데이터를 쓰거나 읽는 동시에 처리하고, 잠재적인 랜섬웨어 공격을 신속하게 탐지하고 대응합니다.

ARP는 추가 보호를 위해 예약된 스냅샷과 함께 정기적으로 잠금 스냅샷을 생성합니다. 스냅샷 보존 기간을 지능적으로 관리합니다. 비정상적인 활동이 감지되지 않으면 스냅샷은 신속하게 재활용됩니다. 그러나 공격이 감지되면 공격 시작 전에 생성된 스냅샷이 장기간 보관됩니다.

라이센스 및 지원

ARP 지원은 "ONTAP One 라이센스". ONTAP One 라이선스가 없는 경우 ONTAP 버전에 따라 ARP 사용을 위한 다른 라이선스를 사용할 수 있습니다

ONTAP 릴리스 라이센스

ONTAP 9.11.1 이상

Anti_ransomware

ONTAP 9.10.1

MT_EK_MGMT (멀티 테넌트 키 관리)

  • ONTAP 9.10.1에서 ONTAP 9.11.1 이상으로 업그레이드하고 시스템에 ARP가 이미 구성되어 있는 경우 새 버전을 설치할 필요가 없습니다. Anti-ransomware 라이센스. 새로운 ARP 구성에는 새 라이센스가 필요합니다.

  • ONTAP 9.11.1 이상에서 ONTAP 9.10.1로 되돌리고 Anti_ransomware 라이선스로 ARP를 활성화한 경우 경고 메시지가 표시되고 ARP를 재구성해야 할 수 있습니다. "ARP를 되돌리는 방법에 대해 알아보십시오" .

ONTAP 랜섬웨어 보호 전략

효과적인 랜섬웨어 탐지 전략에는 단일 이상의 보호 계층이 포함되어야 합니다.

예를 들어, 차량의 안전 기능을 들 수 있습니다. 안전 벨트와 같은 단일 기능에 의존하여 사고 시 사용자를 완전히 보호하지 않습니다. 에어백, 안티 브레이크 및 전방 충돌 경고는 모두 추가적인 안전 기능으로 훨씬 더 나은 결과를 제공합니다. 랜섬웨어 보호는 동일한 방법으로 확인해야 합니다.

ONTAP 랜섬웨어로부터 보호하는 데 도움이 되는 FPolicy, 스냅샷, SnapLock, Active IQ Digital Advisor ( Digital Advisor 라고도 함)와 같은 기능이 포함되어 있지만, 다음 정보는 머신 러닝 기능을 갖춘 ARP 기능에 중점을 둡니다.

랜섬웨어로부터 보호하는 NetApp 포트폴리오의 다른 기능에 대해 자세히 알아보려면 다음을 참조하세요. "Ransomware 및 NetApp의 보호 포트폴리오" .

ARP가 감지하는 것

ONTAP ARP는 공격자가 몸값을 지불할 때까지 데이터를 은닉하는 서비스 거부(DoS) 공격으로부터 보호하도록 설계되었습니다. ARP는 다음을 기반으로 실시간 랜섬웨어 탐지 기능을 제공합니다.

  • 수신 데이터를 암호화된 텍스트 또는 일반 텍스트로 식별합니다.

  • 다음을 감지하는 분석:

    • 엔트로피: (NAS 및 SAN에서 사용됨) 파일 내 데이터의 무작위성 평가

    • 파일 확장자 유형: (NAS에서만 사용됨) 예상되는 확장자 유형에 맞지 않는 파일 확장자

    • 파일 IOPS: ( ONTAP 9.11.1부터 NAS에서만 사용됨) 데이터 암호화로 인한 비정상적인 볼륨 활동 급증

ARP는 소수의 파일만 암호화된 후 대부분의 랜섬웨어 공격이 확산되는 것을 감지하고, 자동으로 대응하여 데이터를 보호하며, 의심되는 공격이 발생했을 때 경고합니다.

참고 랜섬웨어 탐지 또는 방지 시스템이 랜섬웨어 공격에서 안전을 완벽하게 보장할 수는 없습니다. 공격이 탐지되지 않을 수도 있지만, 안티바이러스 소프트웨어가 침입에 대한 감지에 실패한 경우 ARP는 중요한 추가 방어 계층으로 작용합니다.

ARP 모드에 대해 알아보세요

볼륨에 대해 ARP가 활성화되면 두 가지 모드를 거칩니다. ARP는 학습 또는 평가 기간을 통해 정상적인 워크로드 동작의 기준을 설정합니다. 이 기간 동안 ARP는 시스템 메트릭을 분석하여 경고 프로필을 작성한 후 능동적 보호를 활성화합니다. ARP가 능동 감지 모드로 전환되면 실시간으로 비정상 활동을 모니터링하고, 자동으로 보호 조치를 취하며, 비정상 동작이 감지되면 경고를 생성합니다.

ARP의 경우 학습 모드와 활성 모드 동작은 ONTAP 버전, 볼륨 유형, 프로토콜(NAS 또는 SAN)에 따라 다릅니다.

NAS 환경 및 모드 유형

NAS 환경은 학습 모드와 활성 모드를 사용합니다 . ARP/AI ONTAP 9.16.1부터 NAS 환경에서 실행되는 경우 FlexVol 볼륨과 함께 ARP를 사용할 때 학습 기간이 없습니다.

다음 표는 NAS 환경에서 ONTAP 9.10.1과 이후 버전 간의 차이점을 요약한 것입니다.

방법 설명 볼륨 유형 및 버전

학습

ONTAP 9.15.1~9.10.1의 경우, ARP를 활성화하면 ARP가 자동으로 학습 모드로 설정됩니다. 학습 모드에서 ONTAP 시스템은 엔트로피, 파일 확장자 유형, 파일 IOPS 등의 분석 영역을 기반으로 경고 프로필을 개발합니다. ARP를 30일 동안 학습 모드로 유지하는 것이 좋습니다. ONTAP 9.13.1부터 ARP는 최적의 학습 간격을 자동으로 결정하고 전환을 자동화하며, 이는 30일 전에 실행될 수 있습니다. ONTAP 9.13.1 이전 버전에서는 수동으로 전환할 수 있습니다.

팁 이 명령은 security anti-ransomware volume workload-behavior show 볼륨에서 감지된 파일 확장명을 표시합니다. 이 명령을 학습 모드 초기에 실행하면 파일 유형이 정확하게 표시되는 경우 ONTAP가 다른 메트릭을 수집하고 있으므로 해당 데이터를 활성 모드로 전환하기 위한 기준으로 사용해서는 안 됩니다. 에 대한 자세한 내용은 security anti-ransomware volume workload-behavior show "ONTAP 명령 참조입니다"을 참조하십시오.
  • ONTAP 9.15.1~9.10.1을 사용한 FlexVol 볼륨

  • ONTAP 9.13.1 이상을 사용한 FlexGroup 볼륨

활동적인

워크로드 특성을 평가할 수 있을 만큼 충분한 시간 동안 ARP를 학습 모드로 실행한 후, 활성 모드로 전환하여 데이터 보호를 시작할 수 있습니다. ONTAP 9.13.1부터 ARP는 최적의 학습 간격을 자동으로 결정하고 전환을 자동화하며, 이는 30일 전에 실행될 수 있습니다.

ONTAP 9.10.1부터 9.15.1까지는 최적 학습 기간이 완료된 후 ARP가 활성 모드로 전환됩니다. ARP가 활성 모드로 전환된 후, ONTAP 위협이 감지될 경우 데이터를 보호하기 위해 ARP 스냅샷을 생성합니다.

활성 모드에서 파일 확장자가 비정상으로 표시되면 알림을 평가해야 합니다. 알림에 따라 조치를 취하여 데이터를 보호하거나, 알림을 오탐지로 표시할 수 있습니다. 알림을 오탐지로 표시하면 알림 프로필이 업데이트됩니다. 예를 들어, 새로운 파일 확장자로 인해 알림이 발생하고 해당 알림을 오탐지로 표시하면 다음에 해당 파일 확장자가 발견될 때 알림을 받지 않습니다.

지원되는 모든 ONTAP 버전과 FlexVol 및 FlexGroup 볼륨

SAN 환경 및 모드 유형

SAN 환경은 활성 감지 모드로 자동 전환되기 전에 평가 기간(NAS 환경의 학습 모드와 유사)을 사용합니다. 다음 표는 평가 모드와 활성 모드를 요약한 것입니다.

방법 설명 볼륨 유형 및 버전

평가

기준 암호화 동작을 확인하기 위해 2~4주간의 평가 기간이 수행됩니다. 평가 기간이 완료되었는지 확인하려면 다음을 실행하세요. security anti-ransomware volume show 명령 및 확인 Block device detection status .

  • ONTAP 9.17.1 이상을 사용한 FlexVol 볼륨

활동적인

평가 기간 후에 ARP SAN 보호가 활성화되었는지 확인하려면 다음을 실행하세요. security anti-ransomware volume show 명령 및 확인 Block device detection status . 상태 Active_suitable_workload 평가된 엔트로피 양을 성공적으로 모니터링할 수 있음을 나타냅니다. ARP는 평가 중에 검토된 데이터에 따라 적응 임계값을 자동으로 조정합니다.

  • ONTAP 9.17.1 이상을 사용한 FlexVol 볼륨

위협 평가 및 ARP 스냅샷

ARP는 학습된 분석 결과를 바탕으로 수신 데이터를 기반으로 위협 가능성을 평가합니다. ARP가 이상 징후를 감지하면 측정값이 할당됩니다. 스냅샷은 감지 시점 또는 정기적인 간격으로 할당될 수 있습니다.

ARP 임계값

  • * Low * (낮음) *: 볼륨에서 비정상 상태를 가장 먼저 감지합니다(예: 볼륨에서 새 파일 확장자가 관찰됨). 이 감지 수준은 ARP/AI가 없는 ONTAP 9.16.1 이전 버전에서만 사용할 수 있습니다.

  • 보통: 높은 엔트로피가 감지되거나 이전에는 발견되지 않았던 동일한 파일 확장자를 가진 파일이 여러 개 관찰됩니다. 이는 ARP/AI가 적용된 ONTAP 9.16.1 이상의 기본 감지 수준입니다.

ONTAP 에서 분석 보고서를 실행하여 이상 징후가 랜섬웨어 프로필과 일치하는지 확인한 후 위협 수준이 중간 수준으로 상승합니다. 공격 가능성이 중간 수준인 경우, ONTAP EMS 알림을 생성하여 위협을 평가하도록 안내합니다. ONTAP는 낮은 위협에 대한 경고를 전송하지 않지만 ONTAP 9.14.1부터는 다음을 수행할 수 있습니다"기본 알림 설정 수정". "비정상적인 활동에 응답합니다" .

System Manager의 * Events * 섹션 또는 명령을 사용하여 보통 수준의 위협에 대한 정보를 볼 수 security anti-ransomware volume show 있습니다. ARP/AI가 없는 ONTAP 9.16.1 이전 버전의 명령을 사용하여 낮은 위협 이벤트를 볼 수도 security anti-ransomware volume show 있습니다. 에 대한 자세한 내용은 security anti-ransomware volume show "ONTAP 명령 참조입니다"을 참조하십시오.

ARP 스냅샷

ONTAP 9.16.1 이하 버전에서는 ARP가 공격의 초기 징후가 감지되면 스냅샷을 생성합니다. 그런 다음 상세 분석을 수행하여 잠재적 공격을 확인하거나 차단합니다. ARP 스냅샷은 공격이 완전히 확인되기 전에도 사전에 생성되므로, 특정 정상 애플리케이션에 대해서도 정기적으로 생성될 수 있습니다. 이러한 스냅샷의 존재를 이상 현상으로 간주해서는 안 됩니다. 공격이 확인되면 공격 가능성은 다음과 같이 증가합니다. Moderate , 공격 알림이 생성됩니다.

ONTAP 9.17.1부터 NAS 및 SAN 볼륨 모두에 대해 ARP 스냅샷이 정기적으로 생성됩니다. ONTAP ARP 스냅샷에 이름을 추가하여 쉽게 식별할 수 있도록 합니다.

ONTAP 9.11.1부터 보존 설정을 수정할 수 있습니다. 자세한 내용은 다음을 참조하세요. "스냅샷 옵션을 수정합니다" .

다음 표는 ONTAP 9.16.1 및 이전 버전과 ONTAP 9.17.1 간의 ARP 스냅샷 차이점을 요약한 것입니다.

피처 ONTAP 9.16.1 및 이전 버전 ONTAP 9.17.1 이상

창조 트리거

  • 높은 엔트로피가 감지되었습니다

  • 새로운 파일 확장자가 감지되었습니다(9.15.1 및 이전 버전)

  • 파일 작업 급증이 감지되었습니다(9.15.1 및 이전 버전)

스냅샷 생성 간격은 트리거 유형에 따라 달라집니다.

스냅샷은 특정 트리거와 관계없이 고정된 4시간 간격으로 생성되며, 반드시 공격을 나타내는 것은 아닙니다.

접두사 이름 규칙

"랜섬웨어 방지 백업"

"랜섬웨어 방지 주기적 백업"

삭제 동작

ARP 스냅샷이 잠겨 있어 관리자가 삭제할 수 없습니다.

ARP 스냅샷이 잠겨 있어 관리자가 삭제할 수 없습니다.

최대 스냅샷 수

"6개의 스냅샷 구성 가능 한도"

"6개의 스냅샷 구성 가능 한도"

보존 기간

  • 트리거 조건에 따라 결정됨(고정되지 않음)

  • 공격이 발생하기 전에 생성된 스냅샷은 관리자가 공격을 참으로 표시하거나 거짓 양성(명확한 의심)으로 표시할 때까지 보관됩니다.

스냅샷은 일반적으로 12시간 동안 보관됩니다.

  • NAS 볼륨: 파일 분석을 통해 공격이 확인되면 공격 전에 생성된 스냅샷은 관리자가 공격을 참으로 표시하거나 거짓 긍정(명확한 의심)으로 표시할 때까지 보관됩니다.

  • SAN 볼륨 또는 VM 데이터 저장소: 블록 엔트로피 분석을 통해 공격이 확인되면 공격 전에 생성된 스냅샷은 10일 동안 보관됩니다(구성 가능).

    공격이 시작되기 전에 생성된 스냅샷의 보존 기간이 10일로 연장됩니다(설정 가능).

명백한 의심 행위

관리자는 확인을 기준으로 보존 기간을 설정하는 명백한 의심 작업을 수행할 수 있습니다.

  • 24시간 동안 거짓 양성 보존

  • 7일간의 True Positive 유지 기간

이 예방적 보존 동작은 ONTAP 9.16.1 이전에는 존재하지 않았습니다.

관리자는 확인을 기준으로 보존 기간을 설정하는 명백한 의심 작업을 수행할 수 있습니다.

  • 24시간 동안 거짓 양성 보존

  • 7일간의 True Positive 유지 기간

만료 시간

없음

모든 스냅샷에 만료 시간이 설정됩니다.

랜섬웨어 공격 후 ONTAP에서 데이터를 복구하는 방법

ARP는 검증된 ONTAP 데이터 보호 및 재해 복구 기술을 기반으로 랜섬웨어 공격에 대응합니다. ONTAP 9.16.1 이하 버전에서는 공격의 초기 징후가 감지되면 ARP가 잠긴 스냅샷을 생성하고, 9.17.1 이상 버전에서는 정기적으로 잠긴 스냅샷을 생성합니다. 먼저 공격이 실제 공격인지 오탐지인지 확인해야 합니다. 공격이 확인되면 ARP 스냅샷을 사용하여 볼륨을 복원할 수 있습니다.

잠긴 스냅샷은 정상적인 방법으로 삭제할 수 없습니다. 그러나 나중에 이 공격을 가양성 공격으로 표시하기로 결정하면 잠긴 복사본이 삭제됩니다.

영향을 받는 파일과 공격 시간을 알면 전체 볼륨을 스냅샷 중 하나로 되돌리는 대신 다양한 스냅샷에서 영향을 받는 파일을 선택적으로 복구할 수 있습니다.

공격에 대응하고 데이터를 복구하는 방법에 대한 자세한 내용은 다음 항목을 참조하세요.

ARP에 대한 다중 관리자 인증 보호

ONTAP 9.13.1부터 ARP(자율 랜섬웨어 차단) 구성을 위해 인증된 사용자 관리자 2명 이상이 필요할 수 있도록 MAV(다중 관리자 검증)를 활성화하는 것이 좋습니다. 자세한 내용은 을 "다중 관리 검증을 활성화합니다"참조하십시오.

인공 지능(ARP/AI)을 이용한 자율적 랜섬웨어 방어

ONTAP 9.16.1부터 ARP는 NAS 환경에서 끊임없이 진화하는 랜섬웨어를 99% 정확도로 탐지하는 랜섬웨어 방지 분석용 머신 러닝 모델을 채택하여 사이버 복원력을 향상시킵니다. ARP의 머신 러닝 모델은 시뮬레이션된 랜섬웨어 공격 전후의 대용량 파일 데이터 세트를 기반으로 사전 학습됩니다. 이러한 리소스 집약적인 학습은 ONTAP 외부에서 오픈 소스 포렌식 연구 데이터 세트를 사용하여 모델을 학습시킵니다. 고객 데이터는 전체 모델링 파이프라인에 사용되지 않으며 개인정보 보호 문제는 발생하지 않습니다. 이 학습을 통해 생성된 사전 학습된 모델은 ONTAP 에 기본 제공됩니다. 이 모델은 ONTAP CLI 또는 ONTAP API를 통해 접근하거나 수정할 수 없습니다.

FlexVol 볼륨의 ARP/AI를 위해 액티브 보호로 즉시 전환됩니다

ARP/AI 및 FlexVol 볼륨을 사용하면학습 기간. ARP/AI는 설치 또는 9.16으로 업그레이드하는 즉시 활성화됩니다. 를 ONTAP 9.16.1로 업그레이드하면 기존 및 새 FlexVol 볼륨에 대해 ARP가 이미 활성화되어 있는 경우 해당 볼륨에 대해 ARP/AI가 자동으로 활성화됩니다.

ARP/AI 자동 업데이트

최신 보안을 유지하기 위해 ARP/AI는 정기적인 ONTAP 업그레이드 및 릴리스 주기 외에도 빈번하게 자동 업데이트를 제공합니다. "자동 업데이트를 활성화했습니다" 보안 파일에 대한 자동 업데이트를 선택하면 ARP/AI에 대한 자동 보안 업데이트를 받을 수 있습니다. 또한 다음 을 선택할 수도 있습니다. "이 업데이트를 수동으로 만드세요" 업데이트가 발생하는 시기를 제어합니다.

ONTAP 9.16.1부터 시스템 및 펌웨어 업데이트 외에 ARP/AI용 보안 업데이트를 System Manager를 사용하여 사용할 수 있습니다.