Saiba mais sobre a proteção autônoma contra ransomware do ONTAP
Sugerir alterações
PDFs
A partir do ONTAP 9.10.1, os administradores do ONTAP podem habilitar a Proteção Autônoma contra Ransomware (ARP) para realizar análises de carga de trabalho em ambientes NAS (NFS e SMB) para detectar e alertar proativamente sobre atividades anormais que possam indicar um ataque de ransomware. A partir do ONTAP 9.17.1, o ARP também oferece suporte a volumes de dispositivos de bloco, incluindo volumes SAN contendo LUNs ou namespaces NVMe, ou volumes NAS contendo discos virtuais de hipervisores como VMware, Hyper-V e KVM.
O ARP é integrado diretamente ao ONTAP, garantindo controle e coordenação integrados com os demais recursos do ONTAP. O ARP opera em tempo real, processando dados conforme são gravados ou lidos no sistema de arquivos e detectando e respondendo rapidamente a potenciais ataques de ransomware.
O ARP cria snapshots bloqueados em intervalos regulares, juntamente com os agendados, para maior proteção. Ele gerencia de forma inteligente por quanto tempo os instantâneos são mantidos. Se nenhuma atividade incomum for detectada, os snapshots são reciclados rapidamente. No entanto, se um ataque for detectado, um snapshot criado antes do início do ataque é mantido por um período prolongado.
Licenças e capacitação
O suporte ARP está incluído no "Licença ONTAP ONE" . Se você não tiver a licença ONTAP One, outras licenças estarão disponíveis para uso ARP, que variam dependendo da sua versão do ONTAP.
| Lançamentos da ONTAP | Licença |
|---|---|
ONTAP 9.11,1 e posterior |
|
ONTAP 9.10,1 |
|
-
Se você estiver atualizando do ONTAP 9.10.1 para o ONTAP 9.11.1 ou posterior e o ARP já estiver configurado em seu sistema, não será necessário instalar o novo
Anti-ransomwarelicença. Para novas configurações ARP, a nova licença é necessária. -
Se você estiver revertendo do ONTAP 9.11.1 ou posterior para o ONTAP 9.10.1 e tiver habilitado o ARP com a licença Anti_ransomware, verá uma mensagem de aviso e talvez seja necessário reconfigurar o ARP. "Saiba mais sobre como reverter ARP" .
Estratégia de proteção contra ransomware da ONTAP
Uma estratégia eficaz de detecção de ransomware deve incluir mais de uma camada de proteção. Considere os recursos de segurança de um veículo como uma analogia. Você não depende de um único recurso, como um cinto de segurança, para protegê-lo completamente em um acidente. Airbags, freios ABS e alerta de colisão frontal são recursos de segurança que, juntos, levam a um melhor resultado. A proteção contra ransomware deve ser vista da mesma maneira.
Embora o ONTAP inclua recursos como FPolicy, snapshots, SnapLock e Active IQ Digital Advisor (também conhecido como Digital Advisor) para ajudar a proteger contra ransomware, as informações a seguir se concentram no recurso ARP com recursos de aprendizado de máquina.
Para saber mais sobre outros recursos do portfólio da NetApp que protegem contra ransomware, consulte "Portfólio de proteção de ransomware e NetApp" .
O que o ARP deteta
O ONTAP ARP foi projetado para proteger contra ataques de negação de serviço, nos quais o invasor retém dados até que um resgate seja pago. O ARP oferece detecção de ransomware em tempo real com base nos seguintes fatores:
-
Identificação de dados recebidos como criptografados ou texto simples.
-
Análises que detectam:
-
Entropia: (Usado em NAS e SAN) Uma avaliação da aleatoriedade dos dados em um arquivo
-
Tipos de extensão de arquivo: (Usado somente no NAS) Uma extensão de arquivo que não está em conformidade com os tipos de extensão esperados
-
IOPS de arquivo: (Usado somente em NAS a partir do ONTAP 9.11.1) Um aumento na atividade de volume anormal com criptografia de dados
-
O ARP detecta a propagação da maioria dos ataques de ransomware depois que apenas um pequeno número de arquivos é criptografado, responde automaticamente para proteger os dados e alerta você sobre a ocorrência de um ataque suspeito.
|
Nenhum sistema de detecção de ransomware pode garantir segurança completa. O ARP fornece uma camada extra de defesa caso o software antivírus não detecte uma intrusão. |
Aprenda sobre os modos ARP
Depois que o ARP é habilitado para um volume, ele entra em um período de aprendizado para estabelecer uma linha de base. O ARP analisa as métricas do sistema para desenvolver um perfil de alerta antes de passar para o modo de detecção ativa. No modo ativo, o ARP monitora atividades anormais, tomando ações de proteção e gerando alertas se detectar comportamento anormal.
Para ARP, os comportamentos do modo de aprendizagem e do modo ativo diferem de acordo com a versão do ONTAP , o tipo de volume e o protocolo (NAS ou SAN).
Ambientes NAS e tipos de modo
Os ambientes NAS usam modos de aprendizagem e ativos. Para ARP/IA em execução em ambientes NAS a partir do ONTAP 9.16.1, não há período de aprendizado quando o ARP é usado com volumes FlexVol .
A tabela a seguir resume as diferenças entre o ONTAP 9.10.1 e versões posteriores para ambientes NAS.
| Modo | Descrição | Tipos e versões de volume | ||
|---|---|---|---|---|
Aprendizado |
Para o ONTAP 9.15.1 a 9.10.1, o ARP é definido automaticamente para o modo de aprendizagem quando você o habilita. No modo de aprendizagem, o sistema ONTAP desenvolve um perfil de alerta com base nas áreas analíticas: entropia, tipos de extensão de arquivo e IOPS de arquivo. Recomenda-se deixar o ARP no modo de aprendizagem por 30 dias. A partir do ONTAP 9.13.1, o ARP determina automaticamente o intervalo de aprendizado ideal e automatiza a alternância, o que pode ocorrer antes de 30 dias. Para versões anteriores ao ONTAP 9.13.1, você pode fazer a troca manualmente.
|
|
||
Ativo |
Após executar o ARP no modo de aprendizado por tempo suficiente para avaliar as características da carga de trabalho, você pode alternar para o modo ativo e começar a proteger seus dados. A partir do ONTAP 9.13.1, o ARP determina automaticamente o intervalo de aprendizado ideal e automatiza a alternância, o que pode ocorrer antes de 30 dias. Com o ONTAP 9.15.1 a 9.10.1, o ARP alterna para o modo ativo após a conclusão do período de aprendizado ideal. Após a mudança para o modo ativo, o ONTAP cria snapshots do ARP para proteger os dados caso uma ameaça seja detectada. No modo ativo, se uma extensão de arquivo for sinalizada como anormal, você deve avaliar o alerta. Você pode agir de acordo com o alerta para proteger seus dados ou marcá-lo como um falso positivo. Marcar um alerta como falso positivo atualiza o perfil de alerta. Por exemplo, se o alerta for disparado por uma nova extensão de arquivo e você marcá-lo como falso positivo, não receberá um alerta na próxima vez que a extensão do arquivo for observada. |
Todas as versões ONTAP suportadas e volumes FlexVol e FlexGroup |
Ambientes SAN e tipos de modo
Ambientes SAN utilizam períodos de avaliação (semelhantes aos modos de aprendizagem em ambientes NAS) antes de fazer a transição automática para a detecção ativa. A tabela a seguir resume os modos de avaliação e ativos.
| Modo | Descrição | Tipos e versões de volume |
|---|---|---|
Avaliação |
Um período de avaliação de duas a quatro semanas é realizado para determinar o comportamento básico da criptografia. Você pode determinar se o período de avaliação foi concluído executando o |
|
Ativo |
Após o período de avaliação, você pode determinar se a proteção ARP SAN está ativa executando o |
|
Avaliação de ameaças e instantâneos ARP
O ARP avalia a probabilidade de ameaças com base nos dados recebidos, medidos em comparação com as análises aprendidas. Quando o ARP detecta uma anormalidade, uma medição é atribuída. Um snapshot pode ser atribuído no momento da detecção ou em intervalos regulares.
Limites ARP
-
Low: A deteção mais precoce de uma anomalia no volume (por exemplo, uma nova extensão de arquivo é observada no volume). Este nível de deteção só está disponível em versões anteriores ao ONTAP 9.16,1 que não têm ARP/AI.
-
A partir do ONTAP 9.11.1, você pode "personalizar os parâmetros de detecção para ARP" .
-
No ONTAP 9.10,1, o limite de escalonamento para moderar é de 100 ou mais arquivos.
-
-
Moderado: Alta entropia é detectada ou múltiplos arquivos com a mesma extensão nunca vista antes são observados. Este é o nível de detecção básico no ONTAP 9.16.1 e versões posteriores com ARP/AI.
A ameaça se torna moderada após o ONTAP executar um relatório analítico para determinar se a anormalidade corresponde a um perfil de ransomware. Quando a probabilidade de ataque é moderada, o ONTAP gera uma notificação EMS solicitando que você avalie a ameaça. O ONTAP não envia alertas sobre ameaças baixas; no entanto, a partir do ONTAP 9.14.1, você pode "modificar as configurações de alerta padrão" . Para mais informações, consulte "Responder a atividades anormais" .
Você pode visualizar informações sobre ameaças moderadas na seção Eventos do System Manager ou com o security anti-ransomware volume show comando. Os eventos de baixa ameaça também podem ser visualizados usando o security anti-ransomware volume show comando em versões anteriores ao ONTAP 9.16.1 que não têm ARP/AI. Saiba mais sobre security anti-ransomware volume show o "Referência do comando ONTAP"na .
Snapshots ARP
O ARP cria um instantâneo quando os primeiros sinais de um ataque são detectados. Uma análise detalhada é então conduzida para confirmar ou descartar o ataque potencial. Como os snapshots ARP são criados proativamente antes mesmo de um ataque ser totalmente confirmado, eles também podem ser gerados em intervalos regulares para determinados aplicativos legítimos. A presença desses snapshots não deve ser considerada uma anomalia. Se um ataque for confirmado, a probabilidade de ataque é aumentada para Moderate e uma notificação de ataque é gerada.
A partir do ONTAP 9.17.1, instantâneos ARP são gerados em intervalos regulares para volumes NAS e SAN, bem como em resposta a anomalias detectadas. O ONTAP adiciona um nome ao snapshot ARP para torná-lo facilmente identificável.
A partir do ONTAP 9.11.1, você pode modificar as configurações de retenção. Para obter mais informações, consulte "Modificar opções para instantâneos" .
A tabela a seguir resume as diferenças de instantâneos do ARP por versão.
| Recurso | ONTAP 9.17.1 e posterior | ONTAP 9.16.1 e anteriores |
|---|---|---|
Gatilho de criação |
Um instantâneo "periódico" ou de "ataque" é criado com base no tipo de gatilho. |
O intervalo de criação de instantâneo é baseado no tipo de gatilho. |
Convenção de nomes prefixados |
"Backup_periódico_anti_ransomware" "Backup_anti_ataque_anti_ransomware" |
"Backup anti-ransomware" |
Comportamento de exclusão |
O instantâneo ARP está bloqueado e não pode ser excluído pelo administrador |
O instantâneo ARP está bloqueado e não pode ser excluído pelo administrador |
Contagem máxima de instantâneos |
||
Período de retenção |
Os instantâneos normalmente são retidos por 12 horas.
|
|
Ação de suspeita clara |
Os administradores podem executar uma ação de limpeza de suspeitos que define a retenção com base na confirmação:
|
Os administradores podem executar uma ação de limpeza de suspeitos que define a retenção com base na confirmação:
Este comportamento de retenção preventiva não existia antes do ONTAP 9.16.1 |
Tempo de expiração |
Um tempo de expiração é definido para todos os instantâneos |
Nenhum |
Como recuperar dados no ONTAP após um ataque de ransomware
O ARP se baseia na comprovada tecnologia de proteção de dados e recuperação de desastres do ONTAP para responder a ataques de ransomware. O ARP cria instantâneos bloqueados quando os primeiros sinais de um ataque são detectados. Você precisará primeiro confirmar se o ataque é real ou um falso positivo. Se você confirmar o ataque, o volume poderá ser restaurado usando o snapshot do ARP.
Snapshots bloqueados não podem ser excluídos por meios normais. Entretanto, se mais tarde você decidir marcar o ataque como um falso positivo, o ONTAP excluirá a cópia bloqueada.
Você pode recuperar arquivos afetados de instantâneos selecionados em vez de reverter o volume inteiro.
Consulte os tópicos a seguir para obter mais informações sobre como responder a um ataque e recuperar dados:
Proteção de verificação multi-admin para ARP
A partir do ONTAP 9.13.1, é recomendável ativar a verificação multi-admin (MAV) para que dois ou mais administradores de usuário autenticados sejam necessários para a configuração ARP (Autonomous ransomware Protection). Para obter mais informações, "Ative a verificação de vários administradores"consulte .
Proteção autônoma contra ransomware com inteligência artificial (ARP/AI)
A partir do ONTAP 9.16.1, o ARP aprimora a resiliência cibernética adotando um modelo de aprendizado de máquina para análises anti-ransomware que detecta formas de ransomware em constante evolução com 99% de precisão em ambientes NAS. O modelo de aprendizado de máquina do ARP é pré-treinado em um grande conjunto de dados de arquivos antes e depois de um ataque de ransomware simulado. Este treinamento intensivo em recursos é realizado fora do ONTAP, utilizando conjuntos de dados de pesquisa forense de código aberto para treinar o modelo. Os dados do cliente não são utilizados em todo o pipeline de modelagem e não há problemas de privacidade. O modelo pré-treinado resultante deste treinamento está incluído na caixa do ONTAP . Este modelo não é acessível ou modificável por meio da CLI ou da API do ONTAP .
Com os volumes ARP/AI e FlexVol, não háperíodo de aprendizagem. O ARP/AI é habilitado e ativado imediatamente após a instalação ou atualização para a versão 9.16. ONTAP o ARP já esteja habilitado para esses volumes.
Para manter a proteção atualizada contra as ameaças de ransomware mais recentes, a ARP/AI oferece atualizações automáticas frequentes que ocorrem fora dos ritmos regulares de atualização e lançamento do ONTAP . Se você tiver "atualizações automáticas ativadas" então você também poderá começar a receber atualizações automáticas de segurança para ARP/AI após selecionar atualizações automáticas para arquivos de segurança. Você também pode optar por "faça essas atualizações manualmente" e controlar quando as atualizações ocorrem.
A partir do ONTAP 9.16,1, as atualizações de segurança para ARP/AI estão disponíveis usando o Gerenciador do sistema, além das atualizações de sistema e firmware.