Saiba mais sobre a proteção autônoma contra ransomware no ONTAP
A partir do ONTAP 9.10,1, o recurso Autonomous ransomware Protection (ARP) usa análise de workload em ambientes nas (NFS e SMB) para detectar e avisar proativamente sobre atividades anormais que podem indicar um ataque. Quando um ataque é suspeito, o ARP também cria novos snapshots, além da proteção existente fornecida por snapshots programados.
Proteção autônoma contra ransomware com inteligência artificial (ARP/AI)
A partir do ONTAP 9.16,1, o ARP melhora a resiliência cibernética adotando um modelo de aprendizado de máquina para análise anti-ransomware que deteta formas de ransomware em constante evolução com 99% de precisão. O modelo de aprendizado de máquina do ARP é pré-treinado em um grande conjunto de dados de arquivos antes e depois de um ataque simulado de ransomware. Esse treinamento intensivo em recursos é feito fora do ONTAP, mas o aprendizado desse treinamento é usado para o modelo dentro do ONTAP.
Com os volumes ARP/AI e FlexVol, não período de aprendizagemhá . O ARP/AI começa no modo ativo imediatamente após a instalação ou atualização para o 9,16. Depois de atualizar o cluster para o ONTAP 9.16,1, o ARP/AI será automaticamente ativado para volumes FlexVol existentes e novos se o ARP já estiver ativado para esses volumes.
Para manter a proteção atualizada contra as ameaças mais recentes de ransomware, o ARP/AI oferece atualizações automáticas frequentes que ocorrem fora dos quadros regulares de atualização e liberação do ONTAP. Se tiver"atualizações automáticas ativadas", também poderá começar a receber atualizações automáticas de segurança para ARP/AI depois de selecionar atualizações automáticas para ficheiros de segurança. Você também pode optar por fazer essas atualizações manualmente e controlar quando as atualizações ocorrem.
A partir do ONTAP 9.16,1, as atualizações de segurança para ARP/AI estão disponíveis usando o Gerenciador do sistema, além das atualizações de sistema e firmware.
O recurso ARP/AI atualmente suporta apenas nas. Embora o recurso de atualização automática exiba a disponibilidade de novos arquivos de segurança para implantação no System Manager, essas atualizações são aplicáveis apenas à proteção da carga de trabalho nas. |
Licenças e capacitação
O suporte ARP está incluído no "Licença ONTAP ONE". Se você não tiver a licença ONTAP One, outras licenças estarão disponíveis para usar ARP que diferem dependendo da sua versão do ONTAP.
Lançamentos da ONTAP | Licença |
---|---|
ONTAP 9.11,1 e posterior |
Anti_ransomware |
ONTAP 9.10,1 |
MT_EK_MGMT (gerenciamento de chaves de vários clientes) |
-
Se você estiver atualizando do ONTAP 9.10,1 para o ONTAP 9.11,1 ou posterior e o ARP já estiver configurado em seu sistema, não será necessário instalar a nova licença Anti-ransomware. Para novas configurações ARP, a nova licença é necessária.
-
Se você estiver revertendo do ONTAP 9.11,1 ou posterior para o ONTAP 9.10,1 e tiver ativado o ARP com a licença Anti-ransomware, verá uma mensagem de aviso e poderá precisar reconfigurar o ARP.
Estratégia de proteção contra ransomware da ONTAP
Uma estratégia eficaz de detecção de ransomware deve incluir mais do que uma única camada de proteção.
Uma analogia seria as caraterísticas de segurança de um veículo. Você não confia em uma única caraterística, como um cinto de segurança, para protegê-lo completamente em um acidente. Os airbags, os travões antibloqueio e o aviso de colisão à frente são todos elementos de segurança adicionais que conduzirão a um resultado muito melhor. A proteção contra ransomware deve ser vista da mesma maneira.
Embora o ONTAP inclua recursos como FPolicy, snapshots, SnapLock e Active IQ Digital Advisor (também conhecido como consultor digital) para ajudar a proteger contra ransomware, as informações a seguir se concentram no recurso ARP on-box com recursos de aprendizado de máquina.
Para saber mais sobre outros recursos anti-ransomware do ONTAP, "Portfólio de proteção de ransomware e NetApp"consulte .
O que o ARP deteta
O ARP é projetado para proteger contra ataques de negação de serviço, onde o invasor retém dados até que um resgate seja pago. O ARP oferece detecção de ransomware em tempo real com base em:
-
Identificação dos dados recebidos como encriptados ou em texto simples.
-
Análises que detectam:
-
Entropia: Uma avaliação da aleatoriedade dos dados em um arquivo
-
Tipos de extensão de arquivo: Uma extensão que não está em conformidade com o tipo de extensão normal
-
IOPS de arquivos: Um aumento na atividade de volume anormal com criptografia de dados (a partir de ONTAP 9.11,1)
-
O ARP pode detetar a propagação da maioria dos ataques de ransomware depois que apenas um pequeno número de arquivos é criptografado, tomar medidas automaticamente para proteger os dados e alertá-lo de que um ataque suspeito está acontecendo.
Nenhum sistema de prevenção ou detecção de ransomware pode garantir completamente a segurança de um ataque de ransomware. Embora seja possível que um ataque não seja detetado, o ARP atua como uma importante camada adicional de defesa se o software antivírus não conseguir detetar uma intrusão. |
Aprendizagem e modos ativos
ARP tem dois modos:
-
Modo de aprendizagem (ou modo "funcionamento a seco")
-
Modo ativo (ou modo "ativado")
Para todos os ARP em execução com ONTAP 9.10,1 a 9.15.1 e ARP usados para volumes FlexGroup com ONTAP 9.16,1, quando você ativa o ARP, ele é executado em modo de aprendizagem. No modo de aprendizagem, o sistema ONTAP desenvolve um perfil de alerta baseado nas áreas analíticas: Entropia, tipos de extensão de arquivo e IOPS de arquivos. Depois de executar o ARP no modo de aprendizado por tempo suficiente para avaliar as caraterísticas da carga de trabalho, você pode alternar para o modo ativo e começar a proteger seus dados.
Recomenda-se que você deixe o ARP no modo de aprendizado por 30 dias. A partir do ONTAP 9.13,1, o ARP determina automaticamente o intervalo de aprendizagem ideal e automatiza o switch, que pode ocorrer antes de 30 dias.
O comando security anti-ransomware volume workload-behavior show mostra extensões de arquivo que foram detetadas no volume. Se você executar esse comando no início do modo de aprendizado e ele mostrar uma representação precisa dos tipos de arquivo, você não deve usar esses dados como base para mover para o modo ativo, já que o ONTAP ainda está coletando outras métricas.
|
Para ARP em execução com ONTAP 9.10,1 a 9.15.1, o ARP muda para ative mode após o intervalo de aprendizagem ideal ser concluído. Com o ARP/AI a partir do ONTAP 9.16,1, não há período de aprendizado quando o ARP é usado com volumes FlexVol. O ARP/AI nos volumes FlexVol começa no modo ativo imediatamente após a instalação ou atualização para o 9.16.1. Se você estiver usando ONTAP 9.16,1 e ARP com volumes FlexGroup, um período de aprendizado ainda será necessário antes da transição para o modo ativo.
Depois que o ARP mudou para o modo ativo, o ONTAP cria instantâneos ARP para proteger os dados se uma ameaça for detetada.
No modo ativo, se uma extensão de arquivo for sinalizada como anormal, você deve avaliar o alerta. Você pode agir no alerta para proteger seus dados ou você pode marcar o alerta como um falso positivo. Marcar um alerta como falso positivo atualiza o perfil de alerta. Por exemplo, se o alerta for acionado por uma nova extensão de arquivo e você marcar o alerta como um falso positivo, você não receberá um alerta na próxima vez que essa extensão de arquivo for observada.
A partir de ONTAP 9.11,1, você pode personalizar os parâmetros de deteção para ARP. Para obter mais informações, Gerenciar parâmetros de deteção de ataque ARPconsulte . |
Avaliação de ameaças e instantâneos ARP
No modo ativo, o ARP avalia a probabilidade de ameaça com base nos dados de entrada medidos em relação às análises aprendidas. Uma medição é atribuída quando o ARP deteta uma ameaça:
-
Low: A deteção mais precoce de uma anomalia no volume (por exemplo, uma nova extensão de arquivo é observada no volume). Este nível de deteção só está disponível em versões anteriores ao ONTAP 9.16,1 que não têm ARP/AI.
-
Moderado: Vários arquivos com a mesma extensão de arquivo nunca visto-antes são observados.
-
No ONTAP 9.10,1, o limite de escalonamento para moderar é de 100 ou mais arquivos.
-
Começando com ONTAP 9.11,1, a quantidade de arquivo é modificável; seu valor padrão é 20.
-
Em uma situação de baixa ameaça, o ONTAP deteta uma anormalidade e cria um instantâneo do volume para criar o melhor ponto de recuperação. O ONTAP prepende o nome do instantâneo ARP Anti-ransomware-backup
para torná-lo facilmente identificável; por exemplo Anti_ransomware_backup.2022-12-20_1248
, .
A ameaça aumenta para moderar depois que o ONTAP executa um relatório de análise determinando se a anormalidade corresponde a um perfil de ransomware. As ameaças que permanecem no nível baixo são registradas e visíveis na seção Eventos do System Manager. Quando a probabilidade de ataque é moderada, o ONTAP gera uma notificação EMS, solicitando que você avalie a ameaça. O ONTAP não envia alertas sobre baixas ameaças, no entanto, começando com ONTAP 9.14,1, você pode modificar definições de alertas. Para obter mais informações, Responder a atividades anormaisconsulte .
Você pode visualizar informações sobre uma ameaça, independentemente do nível, na seção Eventos do System Manager ou com o security anti-ransomware volume show
comando.
Instantâneos ARP individuais são retidos por dois dias. Se houver vários instantâneos ARP, eles serão retidos por cinco dias por padrão. A partir do ONTAP 9.11,1, você pode modificar as configurações de retenção. Para obter mais informações, Modificar opções para instantâneosconsulte .
Como recuperar dados no ONTAP após um ataque de ransomware
Quando um ataque é suspeito, o sistema obtém um instantâneo de volume nesse momento e bloqueia essa cópia. Se o ataque for confirmado mais tarde, o volume poderá ser restaurado usando o instantâneo ARP.
Os instantâneos bloqueados não podem ser eliminados por meios normais. No entanto, se você decidir mais tarde marcar o ataque como um falso positivo, a cópia bloqueada será excluída.
Com o conhecimento dos arquivos afetados e o tempo de ataque, é possível recuperar seletivamente os arquivos afetados de vários snapshots, em vez de simplesmente reverter todo o volume para um dos snapshots.
O ARP se baseia na comprovada tecnologia de recuperação de desastres e proteção de dados da ONTAP para responder a ataques de ransomware. Consulte os tópicos a seguir para obter mais informações sobre como recuperar dados.
Proteção de verificação multi-admin para ARP
A partir do ONTAP 9.13,1, é recomendável ativar a verificação multi-admin (MAV) para que dois ou mais administradores de usuário autenticados sejam necessários para a configuração ARP (Autonomous ransomware Protection). Para obter mais informações, "Ative a verificação de vários administradores"consulte .