릴리스 정보
자율 랜섬웨어 보호 개요
변경 제안
-
이 문서 사이트의 PDF
-
볼륨 관리
-
CLI를 통한 논리적 스토리지 관리
-
-
NAS 스토리지 관리
-
CLI를 사용하여 SMB를 관리합니다
-
SMB를 사용하여 파일 액세스를 관리합니다
-
-
-
보안 및 데이터 암호화
-
별도의 PDF 문서 모음
Creating your file...
ONTAP 9.10.1부터 ARP(Autonomous 랜섬웨어 보호) 기능은 NAS(NFS 및 SMB) 환경에서 워크로드 분석을 사용하여 랜섬웨어 공격을 나타낼 수 있는 비정상적인 활동을 사전에 감지하여 경고합니다.
공격이 의심되면 ARP는 예약된 Snapshot 복제본으로부터 기존 보호 기능 외에 새 Snapshot 복제본도 생성합니다.
라이센스 및 지원
ARP에는 라이센스가 필요합니다. ARP는 에서 사용할 수 있습니다 "ONTAP One 라이센스". ONTAP One 라이센스가 없는 경우 ONTAP 버전에 따라 다른 ARP를 사용할 수 있습니다.
| ONTAP 릴리스 | 라이센스 |
|---|---|
ONTAP 9.11.1 이상 |
안티 랜섬웨어 |
ONTAP 9.10.1 |
Mt_EK_MGMT(멀티 테넌트 키 관리) |
-
ONTAP 9.11.1 이상으로 업그레이드하고 ARP가 이미 시스템에 구성되어 있는 경우, 새로운 Anti-랜섬웨어 라이센스를 구입할 필요가 없습니다. 새 ARP 구성의 경우 새 라이센스가 필요합니다.
-
ONTAP 9.11.1 이상에서 ONTAP 9.10.1로 되돌려지는 경우, 안티랜섬웨어 라이센스로 ARP를 활성화한 경우 경고 메시지가 표시되고 ARP를 다시 구성해야 할 수 있습니다. "ARP를 되돌리는 방법에 대해 알아보십시오".
System Manager 또는 ONTAP CLI를 사용하여 볼륨별로 ARP를 구성할 수 있습니다.
ONTAP 랜섬웨어 보호 전략
효과적인 랜섬웨어 탐지 전략에는 단일 이상의 보호 계층이 포함되어야 합니다.
예를 들어, 차량의 안전 기능을 들 수 있습니다. 안전 벨트와 같은 단일 기능에 의존하여 사고 시 사용자를 완전히 보호하지 않습니다. 에어백, 안티 브레이크 및 전방 충돌 경고는 모두 추가적인 안전 기능으로 훨씬 더 나은 결과를 제공합니다. 랜섬웨어 보호는 동일한 방법으로 확인해야 합니다.
ONTAP에는 FPolicy, Snapshot 복사본, SnapLock, Active IQ 디지털 자문과 같은 기능이 포함되어 랜섬웨어로부터 보호하지만, 다음 정보는 머신 러닝 기능이 있는 ARP 기본 기능에 초점을 맞춥니다.
ONTAP의 기타 랜섬웨어 방지 기능에 대한 자세한 내용은 을 참조하십시오 "TR-4572: 랜섬웨어용 NetApp 솔루션"
ARP가 감지하는 것
ARP는 공격자가 몸값을 지불하기 전까지 데이터를 보유하는 서비스 거부 공격으로부터 보호하도록 설계되었습니다. ARP는 다음을 기반으로 안티 랜섬웨어 감지를 제공합니다.
-
들어오는 데이터를 암호화된 데이터 또는 일반 텍스트로 식별합니다.
-
탐지 분석
-
엔트로피: 파일의 데이터 임의 정도 평가
-
파일 확장명 형식: 일반 확장명 형식에 맞지 않는 확장자입니다
-
파일 IOPS: 데이터 암호화(ONTAP 9.11.1부터 시작)로 인해 비정상적인 볼륨 활동이 급증함
-
ARP는 적은 수의 파일만 암호화한 후 대부분의 랜섬웨어 공격의 확산을 감지하고 자동으로 조치를 취하여 데이터를 보호하고 의심스러운 공격이 발생하고 있음을 사용자에게 알릴 수 있습니다.
|
랜섬웨어 탐지 또는 방지 시스템이 랜섬웨어 공격에서 안전을 완벽하게 보장할 수는 없습니다. 공격이 탐지되지 않을 수도 있지만, 안티바이러스 소프트웨어가 침입에 대한 감지에 실패한 경우 ARP는 중요한 추가 방어 계층으로 작용합니다. |
학습 및 활성 모드
ARP에는 두 가지 모드가 있습니다.
-
* 학습 * (또는 "드라이 런" 모드)
-
* 활성 * (또는 "활성화" 모드)
ARP를 활성화하면 _learning mode_에서 실행됩니다. 학습 모드에서 ONTAP 시스템은 엔트로피, 파일 확장자 유형 및 파일 IOPS와 같은 분석 영역을 기반으로 경고 프로필을 개발합니다. 학습 모드에서 충분한 시간 동안 ARP를 실행하여 워크로드 특성을 평가한 후 활성 모드로 전환하고 데이터 보호를 시작할 수 있습니다. ARP가 활성 모드로 전환되면 ONTAP는 위협이 감지될 경우 데이터를 보호하기 위해 ARP 스냅샷 복사본을 생성합니다.
30일 동안 ARP를 학습 모드로 두는 것이 좋습니다. ONTAP 9.13.1 부터 ARP는 최적의 학습 기간을 자동으로 결정하고 30일 이전에 발생할 수 있는 스위치를 자동화합니다.
활성 모드에서 파일 확장자가 비정상으로 플래그되는 경우 경고를 평가해야 합니다. 경고를 통해 데이터를 보호하거나 경고를 거짓 긍정 으로 표시할 수 있습니다. 경고를 false positive로 표시하면 경고 프로필이 업데이트됩니다. 예를 들어, 새 파일 확장자에 의해 경고가 트리거되고 이 경고를 false positive로 표시하면 다음에 파일 확장명이 관찰될 때 알림이 수신되지 않습니다. 명령을 입력합니다 security anti-ransomware volume workload-behavior show 볼륨에서 감지된 파일 확장자를 표시합니다. (학습 모드 초기에 이 명령을 실행하고 파일 유형을 정확하게 표시한다면 ONTAP에서 다른 메트릭을 계속 수집하므로 해당 데이터를 액티브 모드로 이동하기 위한 기반으로 사용해서는 안 됩니다.)
ONTAP 9.11.1부터 ARP에 대한 검출 파라미터를 사용자 정의할 수 있다. 자세한 내용은 을 참조하십시오 ARP 공격 탐지 매개변수를 관리합니다.
위협 평가 및 ARP 스냅샷 사본
활성 모드에서 ARP는 학습된 분석에 대해 측정된 수신 데이터를 기반으로 위협 가능성을 평가합니다. ARP가 위협을 탐지할 때 측정이 할당됩니다.
-
낮음: 볼륨에서 비정상 상태를 가장 빨리 감지합니다(예: 볼륨에서 새 파일 확장자가 관찰됨).
-
보통: 파일 확장자가 표시되지 않은 동일한 여러 개의 파일이 관찰됩니다.
-
ONTAP 9.10.1에서 Moderate로 에스컬레이션하기 위한 임계값은 100개 이상의 파일입니다. ONTAP 9.11.1부터 파일 수량은 수정할 수 있으며 기본값은 20입니다.
-
위협이 낮은 상황에서 ONTAP는 비정상성을 감지하고 볼륨의 스냅샷 복사본을 생성하여 최상의 복구 지점을 생성합니다. ONTAP는 ARP 스냅샷 복사본의 이름을 로 접두어 붙입니다 Anti-ransomware-backup 예를 들어 쉽게 식별할 수 있도록 합니다 Anti_ransomware_backup.2022-12-20_1248.
ONTAP에서 분석 보고서를 실행하고 비정상 상태가 랜섬웨어 프로필과 일치하는지 확인하는 위협이 보통 수준으로 증가합니다. 하위 수준에 남아 있는 위협은 System Manager의 이벤트 섹션에 기록되고 표시됩니다. 공격 가능성이 보통이면 ONTAP에서 위협을 평가하라는 EMS 알림을 생성합니다. ONTAP는 낮은 위협에 대한 경고를 보내지 않지만 ONTAP 9.14.1부터 시작할 수 있습니다 알림 설정을 수정합니다. 자세한 내용은 을 참조하십시오 비정상적인 활동에 응답합니다.
System Manager의 이벤트 섹션 또는 에서 수준에 관계없이 위협에 대한 정보를 볼 수 있습니다 security anti-ransomware volume show 명령.
ARP 스냅샷 복사본은 최소 2일 동안 보존됩니다. ONTAP 9.11.1부터 보존 설정을 수정할 수 있습니다. 자세한 내용은 을 참조하십시오 스냅샷 복사본에 대한 옵션을 수정합니다.
랜섬웨어 공격 후 ONTAP에서 데이터를 복구하는 방법
공격이 의심되면 해당 시점에 시스템에서 볼륨 Snapshot 복사본을 생성한 후 해당 복사본을 잠급니다. 나중에 공격이 확인되면 ARP 스냅샷 복사본을 사용하여 볼륨을 복원할 수 있습니다.
잠긴 스냅샷 복사본은 일반적인 방법으로 삭제할 수 없습니다. 그러나 나중에 이 공격을 가양성 공격으로 표시하기로 결정하면 잠긴 복사본이 삭제됩니다.
영향을 받는 파일과 공격 시간을 알 수 있으므로 전체 볼륨을 스냅샷 복사본 중 하나로 되돌리는 것이 아니라 다양한 Snapshot 복사본에서 영향을 받는 파일을 선택적으로 복구할 수 있습니다.
ARP는 검증된 ONTAP 데이터 보호 및 재해 복구 기술을 기반으로 구축되며, 랜섬웨어 공격에 대응합니다. 데이터 복구에 대한 자세한 내용은 다음 항목을 참조하십시오.