Skip to main content
Data Infrastructure Insights
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Segurança da carga de trabalho: Simulando um ataque

Colaboradores netapp-alavoie

Você pode usar as instruções nesta página para simular um ataque para testar ou demonstrar o Workload Security usando o script de simulação de ransomware incluído.

Coisas a observar antes de começar

  • O script de simulação de ransomware funciona apenas no Linux. O script de simulação também deve gerar alertas de alta confiança caso o usuário tenha integrado o ONTAP ARP com o Workload Security.

  • O Workload Security detectará eventos e alertas gerados com o NFS 4.1 somente se a versão do ONTAP for 9.15 ou superior.

  • O script é fornecido com os arquivos de instalação do agente Workload Security. Ele está disponível em qualquer máquina que tenha um agente Workload Security instalado.

  • Você pode executar o script na própria máquina do agente Workload Security; não há necessidade de preparar outra máquina Linux. No entanto, se você preferir executar o script em outro sistema, basta copiar o script e executá-lo lá.

  • Os usuários podem optar pelo Python ou pelo shell script com base em suas preferências e requisitos de sistema.

  • O script Python requer instalações prévias. Se não quiser usar Python, use o script de shell.

Diretrizes:

Este script deve ser executado em uma SVM contendo uma pasta com um número substancial de arquivos para criptografia, idealmente 100 ou mais, incluindo arquivos em subpastas. Certifique-se de que os arquivos não estejam vazios.

Para gerar o alerta, pause temporariamente o coletor antes da criação dos dados de teste. Após a geração dos arquivos de amostra, reinicie o coletor e inicie o processo de criptografia.

Passos:

Prepare o sistema:

Primeiro, monte o volume de destino na máquina. Você pode montar uma exportação NFS ou CIFS.

Para montar a exportação NFS no Linux:

mount -t nfs -o vers=4.0 10.193.177.158:/svmvol1 /mntpt
mount -t nfs -o vers=4.0 Vserver data IP>:/nfsvol /destinationlinuxfolder

Não monte o NFS versão 4,1; ele não é suportado pelo Fpolicy.

Para montar o CIFS no Linux:

mount -t cifs //10.193.77.91/sharedfolderincluster /root/destinationfolder/ -o username=raisa

Habilitar a proteção autônoma contra ransomware do ONTAP (opcional):

Se a versão do seu cluster ONTAP for 9.11.1 ou superior, você poderá habilitar o serviço ONTAP Ransomware Protection executando o seguinte comando no console de comando do ONTAP.

 security anti-ransomware volume enable -volume [volume_name] -vserver [svm_name]
Em seguida, configure um Data Collector:
  1. Configure o agente Workload Security se ainda não tiver sido feito.

  2. Configure um coletor de dados SVM se ainda não tiver feito isso.

  3. Certifique-se de que o protocolo de montagem esteja selecionado ao configurar o coletor de dados.

Gere os arquivos de amostra programaticamente:

Antes de criar os arquivos, você deve primeiro parar ou "pausar o coletor de dados" processamento.

Antes de executar a simulação, você deve primeiro adicionar arquivos para serem criptografados. Você pode copiar manualmente os arquivos a serem criptografados para a pasta de destino ou usar um dos scripts incluídos para criá-los programaticamente. Independentemente do método utilizado, certifique-se de que haja pelo menos 100 arquivos para criptografar.

Se você optar por criar os arquivos programaticamente, poderá usar o Shell ou o Python:

Concha:

  1. Faça login na caixa Agente.

  2. Monte um compartilhamento NFS ou CIFS do SVM do arquivador para a máquina do agente. CD para essa pasta.

  3. Copie o script do diretório de instalação do agente (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/shell/create_dataset.sh) para o local de montagem de destino.

  4. Execute o seguinte comando usando os scripts no diretório montado (por exemplo, /root/demo) para criar a pasta e os arquivos do conjunto de dados de teste:

     './create_dataset.sh'
    . Isso criará 100 arquivos não vazios com várias extensões dentro da pasta de montagem em um diretório chamado "test_dataset".

Python:

Pré-requisito do script Python:

  • Instale o Python (se ainda não estiver instalado).

    • Baixe o Python 3.5.2 ou superior em https://www.python.org/ .

    • Para verificar a instalação do Python, execute python --version .

    • O script Python foi testado em versões tão antigas quanto a 3.5.2.

  • Instale o pip se ainda não estiver instalado:

    • Baixe o script get-pip.py em https://bootstrap.pypa.io/ .

    • Instalar pip usando python get-pip.py .

    • Verifique a instalação do pip com pip --version .

  • Biblioteca PyCryptodome:

    • O script usa a biblioteca PyCryptodome.

    • Instalar PyCryptodome com pip install pycryptodome .

    • Confirme a instalação do PyCryptodome executando pip show pycryptodome .

Script de criação de arquivo em Python:

  1. Faça login na caixa Agente.

  2. Monte um compartilhamento NFS ou CIFS do SVM do arquivador para a máquina do agente. CD para essa pasta.

  3. Copie o script do diretório de instalação do agente (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/python/create_dataset.py) para o local de montagem de destino.

  4. Execute o seguinte comando usando os scripts dentro do diretório montado (por exemplo, /root/demo) para criar a pasta e os arquivos do conjunto de dados de teste:

     'python create_dataset.py'
    . Isso criará 100 arquivos não vazios com várias extensões dentro da pasta de montagem em um diretório chamado “test_dataset”

Retomar o coletor

Se você pausou o coletor antes de seguir essas etapas, certifique-se de retomá-lo depois que os arquivos de amostra forem criados.

Gere os arquivos de amostra programaticamente:

Antes de criar os arquivos, você deve primeiro parar ou "pausar o coletor de dados" processamento.

Para gerar um alerta de ransomware, você pode executar o script incluído, que simulará um alerta de ransomware no Workload Security.

Concha:

  1. Copie o script do diretório de instalação do agente (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/shell/simulate_attack.sh) para o local de montagem de destino.

  2. Execute o seguinte comando usando os scripts no diretório montado (por exemplo, /root/demo) para criptografar o conjunto de dados de teste:

     './simulate_attack.sh'
    . Isso criptografará os arquivos de amostra criados no diretório "test_dataset".

Python:

  1. Copie o script do diretório de instalação do agente (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/python/simulate_attack.py) para o local de montagem de destino.

  2. Observe que os pré-requisitos do Python são instalados conforme a seção Pré-requisitos do script Python

  3. Execute o seguinte comando usando os scripts no diretório montado (por exemplo, /root/demo) para criptografar o conjunto de dados de teste:

     'python simulate_attack.py'
    . Isso criptografará os arquivos de amostra criados no diretório "test_dataset".

Gerar um alerta no Workload Security

Quando a execução do script do simulador for concluída, um alerta será exibido na interface do usuário da Web em alguns minutos.

Observação: caso todas as condições a seguir sejam atendidas, um Alerta de Alta Confiança será gerado.

  1. Monitorou a versão ONTAP do SVM superior a 9.11.1

  2. Proteção autônoma contra ransomware ONTAP configurada

  3. O coletor de dados de segurança da carga de trabalho é adicionado no modo Cluster.

O Workload Security detecta padrões de ransomware com base no comportamento do usuário, enquanto o ONTAP ARP detecta atividades de ransomware com base em atividades de criptografia em arquivos.

Se as condições forem atendidas, o Workload Security marcará os alertas como Alerta de Alta Confiança.

Exemplo de alerta de alta confiança na página Lista de alertas:

Exemplo de alerta de alta confiança, página de lista

Exemplo de detalhe de alerta de alta confiança:

Exemplo de alerta de alta confiança, página de detalhes

Disparando alertas várias vezes

O Workload Security aprende o comportamento do usuário e não gera alertas sobre ataques repetidos de ransomware em 24 horas para o mesmo usuário.

Para gerar um novo alerta com um usuário diferente, siga os mesmos passos novamente (criando dados de teste e depois criptografando os dados de teste).