Proteção autônoma contra ransomware para storage NFS
Sugerir alterações
PDFs
Detectar ransomware o mais cedo possível é crucial para evitar sua propagação e evitar o tempo de inatividade caro. Uma estratégia eficaz de detecção de ransomware deve incorporar várias camadas de proteção nos níveis de host ESXi e VM convidada. Embora várias medidas de segurança sejam implementadas para criar uma defesa abrangente contra ataques de ransomware, o ONTAP permite adicionar mais camadas de proteção à abordagem geral de defesa. Para citar alguns recursos, ele começa com Snapshots, Autonomous ransomware Protection, snapshots à prova de violações e assim por diante.
Vejamos como os recursos mencionados acima funcionam com a VMware para proteger e recuperar os dados contra ransomware. Para proteger o vSphere e as VMs convidadas contra ataques, é essencial tomar várias medidas, incluindo a segmentação, utilizando o EDR/XDR/SIEM para endpoints e instalando atualizações de segurança e aderindo às diretrizes de proteção apropriadas. Cada máquina virtual residente em um datastore também hospeda um sistema operacional padrão. Certifique-se de que os conjuntos de produtos anti-malware de servidor empresarial sejam instalados e atualizados regularmente sobre eles, o que é um componente essencial da estratégia de proteção contra ransomware de várias camadas. Além disso, habilite a proteção Autonomous ransomware (ARP) no volume NFS que alimenta o armazenamento de dados. O ARP utiliza o ONBOX ML integrado que analisa a atividade do volume de trabalho e a entropia de dados para detectar automaticamente ransomware. O ARP é configurável através da interface de gerenciamento integrada do ONTAP ou do Gerenciador do sistema e é ativado por volume.
|
Com o novo NetApp ARP/AI, que está atualmente em visualização técnica, não há necessidade de um modo de aprendizado. Em vez disso, ele pode ir direto para o modo ativo com sua funcionalidade de detecção de ransomware baseada em AI. |
|
|
Com o ONTAP One, todos esses conjuntos de recursos são completamente gratuitos. Acesse o pacote robusto de proteção de dados, segurança e todos os recursos que o ONTAP oferece da NetApp sem se preocupar com as barreiras de licenciamento. |
Uma vez no modo ativo, ele começa a procurar a atividade de volume anormal que pode potencialmente ser ransomware. Se for detetada atividade anormal, uma cópia Snapshot automática é imediatamente obtida, o que fornece um ponto de restauração o mais próximo possível da infeção do arquivo. O ARP pode detetar alterações em extensões de arquivo específicas de VM em um volume NFS localizado fora da VM quando uma nova extensão é adicionada ao volume criptografado ou a extensão de um arquivo é modificada.
Se um ataque de ransomware segmentar a máquina virtual (VM) e alterar arquivos dentro da VM sem fazer alterações fora da VM, o ARP (Advanced ransomware Protection) ainda detetará a ameaça se a entropia padrão da VM for baixa, por exemplo, para tipos de arquivos como .txt, .docx ou .mp4. Mesmo que o ARP crie um snapshot de proteção nesse cenário, ele não gera um alerta de ameaça porque as extensões de arquivo fora da VM não foram adulteradas. Em tais cenários, as camadas iniciais de defesa identificariam a anomalia, no entanto ARP ajuda na criação de um snapshot baseado na entropia.
Para obter informações detalhadas, consulte a seção "ARP e máquinas virtuais" no "Utilizações e considerações do ARP".
Migrando de arquivos para dados de backup, os ataques de ransomware agora visam cada vez mais backups e pontos de recuperação de snapshot ao tentar excluí-los antes de começar a criptografar arquivos. No entanto, com o ONTAP, isso pode ser evitado criando snapshots à prova de violações em sistemas primários ou secundários com "Bloqueio de cópias NetApp Snapshot"o .
Essas cópias Snapshot não podem ser excluídas ou alteradas por invasores de ransomware ou administradores desonestos, portanto, elas ficam disponíveis mesmo após um ataque. Se o armazenamento de dados ou máquinas virtuais específicas forem afetados, o SnapCenter poderá recuperar dados da máquina virtual em segundos, minimizando o tempo de inatividade da organização.
O acima demonstra como o armazenamento ONTAP adiciona uma camada adicional às técnicas existentes, melhorando a proteção de futuro do ambiente.
Para obter informações adicionais, consulte as orientações "Soluções da NetApp para ransomware"do .
Agora, se tudo isso precisa ser orquestrado e integrado com ferramentas SIEM, o serviço OFFTAP, como a proteção contra ransomware BlueXP , pode ser usado. Ele é um serviço desenvolvido para proteger os dados de ransomware. Esse serviço oferece proteção para workloads baseados em aplicações, como Oracle, MySQL, armazenamentos de dados de VM e compartilhamentos de arquivos no storage NFS no local.
Neste exemplo, o armazenamento de dados NFS "src_NFS_DS04" é protegido usando a proteção contra ransomware do BlueXP .
Para obter informações detalhadas sobre como configurar a proteção contra ransomware do BlueXP , "Configurar a proteção contra ransomware do BlueXP "consulte e "Configurar as configurações de proteção contra ransomware do BlueXP".
É hora de passar por isso com um exemplo. Neste passo a passo, o datastore "src_NFS_DS04" é afetado.
O ARP acionou imediatamente um instantâneo no volume após a deteção.
Depois que a análise forense estiver concluída, as restaurações podem ser feitas de forma rápida e perfeita usando a proteção contra ransomware SnapCenter ou BlueXP . Com o SnapCenter, vá para as máquinas virtuais afetadas e selecione o instantâneo apropriado para restaurar.
Esta seção analisa como a proteção contra ransomware do BlueXP orquestra a recuperação de um incidente de ransomware em que os arquivos da VM são criptografados.
|
|
Se a VM for gerenciada pelo SnapCenter, a proteção contra ransomware do BlueXP restaura a VM para o estado anterior usando o processo consistente com a VM. |
-
Acesse a proteção contra ransomware do BlueXP e um alerta aparece no Painel de proteção contra ransomware do BlueXP .
-
Clique no alerta para rever os incidentes nesse volume específico para o alerta gerado
-
Marque o incidente de ransomware como pronto para recuperação (após os incidentes serem neutralizados) selecionando "Marcar restauração necessária"
O alerta pode ser dispensado se o incidente se revelar falso positivo. -
Acesse a guia recuperação e revise as informações da carga de trabalho na página recuperação e selecione o volume do datastore que está no estado "Restaurar necessário" e selecione Restaurar.
-
Nesse caso, o escopo de restauração é "por VM" (para SnapCenter para VMs, o escopo de restauração é "por VM")
-
Escolha o ponto de restauração a ser usado para restaurar os dados e selecione destino e clique em Restaurar.
-
No menu superior, selecione recuperação para revisar a carga de trabalho na página recuperação onde o status da operação se move pelos estados. Depois que a restauração estiver concluída, os arquivos da VM são restaurados como mostrado abaixo.
|
|
A recuperação pode ser realizada a partir do plugin SnapCenter para VMware ou SnapCenter, dependendo do aplicativo. |
A solução NetApp oferece várias ferramentas eficazes de visibilidade, detecção e correção, ajudando você a identificar ransomware com antecedência, prevenir essa propagação e se recuperar rapidamente, se necessário, para evitar tempo de inatividade caro. As soluções tradicionais de defesa em camadas continuam prevalecendo, assim como as soluções de terceiros e parceiros para visibilidade e detecção. A correção eficaz continua sendo uma parte crucial da resposta a qualquer ameaça.