Saiba mais sobre a proteção autônoma contra ransomware do ONTAP
A partir do ONTAP 9.10.1, os administradores do ONTAP podem habilitar a Proteção Autônoma contra Ransomware (ARP) para realizar análise de carga de trabalho em ambientes NAS (NFS e SMB) para detectar proativamente e alertar sobre atividades anormais que possam indicar um ataque de ransomware. A ARP é integrada diretamente ao ONTAP, garantindo controle e coordenação integrados com os demais recursos do ONTAP. A ARP opera em tempo real, processando os dados à medida que são gravados ou lidos do sistema de arquivos e detectando e respondendo rapidamente a possíveis ataques de ransomware.
O ARP cria snapshots bloqueados em intervalos regulares, além dos snapshots agendados. A retenção de Snapshot é ajustada dinamicamente: os snapshots são reciclados rapidamente quando nenhuma atividade incomum é detectada e os snapshots criados antes da detecção de um ataque são retidos por mais tempo para investigação e recuperação.
Para suporte a protocolos, adequação à carga de trabalho e requisitos específicos da versão, consulte "Casos de uso e considerações do ARP".
Para obter mais informações sobre snapshots gerados pelo ARP, incluindo alterações adicionadas pela versão do ONTAP, consulte Snapshots ARP.
Licenças e capacitação
Você precisa de uma licença para usar o ARP. Decida se deseja habilitar o ARP por padrão em novos volumes ou habilitar manualmente por volume.
Opções de licença para ARP
O suporte a ARP está incluído no pacote."Licença ONTAP One" . Se você não tiver a licença ONTAP One, outras licenças estarão disponíveis para uso ARP, que variam dependendo da sua versão do ONTAP.
| Lançamentos da ONTAP | Licença |
|---|---|
ONTAP 9.11,1 e posterior |
|
ONTAP 9.10,1 |
|
-
Se você estiver atualizando do ONTAP 9.10.1 para o ONTAP 9.11.1 ou posterior e o ARP já estiver configurado em seu sistema, não será necessário instalar o novo
Anti-ransomwarelicença. Para novas configurações ARP, a nova licença é necessária. -
Se você estiver revertendo do ONTAP 9.11.1 ou posterior para o ONTAP 9.10.1 e tiver habilitado o ARP com a licença Anti_ransomware, verá uma mensagem de aviso e talvez seja necessário reconfigurar o ARP. "Saiba mais sobre como reverter ARP" .
Opções de capacitação para ARP
O ARP oferece opções flexíveis de capacitação nos níveis de cluster, SVM e volume, permitindo que você configure a capacitação automática padrão para novos volumes ou ative o ARP manualmente em volumes existentes, conforme necessário.
A partir do ONTAP 9.18.1, o ARP é habilitado automaticamente por padrão em todos os novos volumes para AFF série A e AFF série C, ASA e ASA r2. Essa capacitação automática do ARP por padrão não se aplica a "volumes ou configurações não suportadas". Você deve habilitar ARP manualmente em volumes existentes. Para obter detalhes sobre como a capacitação padrão entra em vigor durante a atualização, consulte "Considerações específicas sobre a atualização da versão ARP".
Durante o período de carência, você pode "desative a capacitação padrão para novos volumes no nível do cluster usando o System Manager ou a ONTAP CLI". Se você não optar por não participar, ARP será ativado automaticamente para todos os novos volumes criados após o término do período de carência. Se as necessidades mudarem após o período de carência, você também terá a flexibilidade de ativar ou desativar a capacitação padrão a qualquer momento.
Se você desativou a capacitação padrão automática do ARP no nível do cluster, também pode optar por "Ativar manualmente o ARP por padrão em todos os novos volumes" no nível do SVM. Para ONTAP 9.17.1 e anteriores, esta é a única maneira de configurar o ARP para ser ativado por padrão em novos volumes.
A partir da versão 9.18.1, você pode habilitar manualmente o ARP em todos os volumes existentes no nível do cluster (selecione Cluster > Segurança e
na seção Anti-ransomware, depois selecione Habilitar em todos os volumes existentes).
Se preferir limitar a capacitação de ARP a um volume específico, você pode "habilitar ARP por volume".
Estratégia de proteção contra ransomware da ONTAP
A proteção eficaz contra ransomware requer várias camadas de proteção trabalhando juntas.
Embora ONTAP inclua recursos como FPolicy, snapshots, SnapLock e Active IQ Digital Advisor (também conhecido como Digital Advisor) para ajudar na proteção contra ransomware, o ARP fornece uma camada adicional de defesa.
Para saber mais sobre outros recursos no portfólio da NetApp que protegem contra ransomware, consulte:
O que o ARP deteta
O ONTAP ARP foi projetado para proteger contra ataques de negação de serviço, nos quais o invasor retém dados até que um resgate seja pago. O ARP oferece detecção de ransomware em tempo real com base nos seguintes fatores:
-
Identificação de dados recebidos como criptografados ou texto simples.
-
Análises que detectam:
-
Entropia: (Usado em NAS e SAN) Uma avaliação da aleatoriedade dos dados em um arquivo
-
Tipos de extensão de arquivo: (Usado somente no NAS) Uma extensão de arquivo que não está em conformidade com os tipos de extensão esperados
-
IOPS de arquivo: (Usado somente em NAS a partir do ONTAP 9.11.1) Um aumento na atividade de volume anormal com criptografia de dados
-
O ARP detecta a propagação da maioria dos ataques de ransomware depois que apenas um pequeno número de arquivos é criptografado, responde automaticamente para proteger os dados e alerta você sobre a ocorrência de um ataque suspeito.
|
|
Nenhum sistema de detecção de ransomware pode garantir segurança completa. O ARP fornece uma camada extra de defesa caso o software antivírus não detecte uma intrusão. |
Aprenda sobre os modos ARP
Depois que o ARP é habilitado para um volume, ele entra em um período de aprendizado para estabelecer uma linha de base. O ARP analisa as métricas do sistema para desenvolver um perfil de alerta antes de passar para o modo de detecção ativa. No modo ativo, o ARP monitora atividades anormais, tomando ações de proteção e gerando alertas se detectar comportamento anormal.
Para ARP, os comportamentos do modo de aprendizagem e do modo ativo diferem de acordo com a versão do ONTAP , o tipo de volume e o protocolo (NAS ou SAN).
Ambientes NAS e tipos de modo
A tabela a seguir resume as diferenças entre o ONTAP 9.10.1 e versões posteriores para ambientes NAS.
Nas versões com o modelo ARP anterior, recomenda-se um período de aprendizagem antes do início do monitoramento ativo. Para ambientes NAS que suportamARP/IA Não há período de aprendizagem e o monitoramento ativo começa imediatamente.
| Modo | Descrição | Tipos e versões de volume | ||
|---|---|---|---|---|
Aprendizado |
Para determinadas versões do ONTAP e certos tipos de volume, o ARP é automaticamente configurado para o modo de aprendizagem quando você o habilita. No modo de aprendizagem, o sistema ONTAP desenvolve um perfil de alerta com base nas áreas analíticas: entropia, tipos de extensão de arquivo e IOPS de arquivo. Recomenda-se deixar o ARP no modo de aprendizagem por 30 dias. A partir do ONTAP 9.13.1, o ARP determina automaticamente o intervalo de aprendizado ideal e automatiza a alternância, o que pode ocorrer antes de 30 dias. Para versões anteriores ao ONTAP 9.13.1, você pode fazer a troca manualmente. A partir do ONTAP 9.16.1, para volumes FlexVol , existe apenas o modo ativo, e o modo de aprendizado é automaticamente migrado para o modo ativo para quaisquer volumes FlexVol atualizados para esta versão ou posterior. Para o ONTAP 9.16.1 a 9.17.1, os volumes FlexGroup ainda não são suportados pelo ARP/AI e continuam a executar o modelo ARP antigo. Por esse motivo, ainda é recomendável um período de adaptação para essas versões com volumes FlexGroup . A partir do ONTAP 9.18.1, existe apenas o modo ativo para volumes FlexVol e FlexGroup . Quaisquer volumes atualizados são automaticamente colocados em modo ativo.
|
|
||
Avaliação |
Um período de avaliação de duas a quatro semanas é realizado para determinar o comportamento de criptografia de referência. Detecções e alertas podem ocorrer enquanto os limites de referência estão sendo estabelecidos. Você pode determinar se o período de avaliação foi concluído executando o comando |
Volumes NAS que contêm discos virtuais de hipervisor detectados pelo ONTAP com ONTAP 9.17.1P5 e versões posteriores |
||
Ativo |
No modo ativo, se uma extensão de arquivo for sinalizada como anormal, você deve avaliar o alerta. Você pode agir de acordo com o alerta para proteger seus dados ou marcá-lo como um falso positivo. Marcar um alerta como falso positivo atualiza o perfil de alerta. Por exemplo, se o alerta for disparado por uma nova extensão de arquivo e você marcá-lo como falso positivo, não receberá um alerta na próxima vez que a extensão do arquivo for observada. |
Todas as versões ONTAP suportadas e volumes FlexVol e FlexGroup |
Ambientes SAN e tipos de modo
Ambientes SAN utilizam períodos de avaliação (semelhantes aos modos de aprendizagem em ambientes NAS) antes de fazer a transição automática para a detecção ativa. A tabela a seguir resume os modos de avaliação e ativos.
| Modo | Descrição | Tipos e versões de volume |
|---|---|---|
Avaliação |
Um período de avaliação de duas a quatro semanas é realizado para determinar o comportamento básico de criptografia, enquanto o ARP/AI fornece proteção ativa imediata para volumes SAN durante esse período. A detecção e os alertas podem ocorrer enquanto os limites de referência estão sendo estabelecidos. Você pode determinar se o período de avaliação foi concluído executando o |
|
Ativo |
Após o período de avaliação, você pode determinar se a proteção ARP SAN está ativa executando o |
|
Avaliação de ameaças e instantâneos ARP
O ARP avalia a probabilidade de ameaças com base nos dados recebidos, comparados com análises aprendidas. Quando o ARP detecta uma anomalia, uma medição é atribuída. O ARP pode atribuir um snapshot no momento da detecção ou em intervalos regulares.
Limites ARP
-
Low: A deteção mais precoce de uma anomalia no volume (por exemplo, uma nova extensão de arquivo é observada no volume). Este nível de deteção só está disponível em versões anteriores ao ONTAP 9.16,1 que não têm ARP/AI.
-
A partir do ONTAP 9.11.1, você pode "personalizar os parâmetros de detecção para ARP" .
-
No ONTAP 9.10,1, o limite de escalonamento para moderar é de 100 ou mais arquivos.
-
-
Moderado: Alta entropia é detectada ou múltiplos arquivos com a mesma extensão nunca vista antes são observados. Este é o nível de detecção básico no ONTAP 9.16.1 e versões posteriores com ARP/AI.
A ameaça se torna moderada após o ONTAP executar um relatório analítico para determinar se a anormalidade corresponde a um perfil de ransomware. Quando a probabilidade de ataque é moderada, o ONTAP gera uma notificação EMS solicitando que você avalie a ameaça. O ONTAP não envia alertas sobre ameaças baixas; no entanto, a partir do ONTAP 9.14.1, você pode "modificar as configurações de alerta padrão" . Para mais informações, consulte "Responder a atividades anormais" .
Você pode visualizar informações sobre ameaças moderadas na seção Eventos do System Manager ou com o security anti-ransomware volume show comando. Os eventos de baixa ameaça também podem ser visualizados usando o security anti-ransomware volume show comando em versões anteriores ao ONTAP 9.16.1 que não têm ARP/AI. Saiba mais sobre security anti-ransomware volume show o "Referência do comando ONTAP"na .
Snapshots ARP
O ARP cria um instantâneo quando os primeiros sinais de um ataque são detectados. Uma análise detalhada é então conduzida para confirmar ou descartar o ataque potencial. Como os snapshots ARP são criados proativamente antes mesmo de um ataque ser totalmente confirmado, eles também podem ser gerados em intervalos regulares para determinados aplicativos legítimos. A presença desses snapshots não deve ser considerada uma anomalia. Se um ataque for confirmado, a probabilidade de ataque é aumentada para Moderate e uma notificação de ataque é gerada.
-
Modificar configurações de retenção: a partir do ONTAP 9.11.1, você pode "modificar as configurações de retenção de snapshots".
-
Intervalos e resposta a anomalias: A partir do ONTAP 9.17.1, snapshots ARP são gerados em intervalos regulares para volumes NAS e SAN, bem como em resposta a anomalias detectadas, o que sempre foi a resposta padrão. ONTAP adiciona um nome ao snapshot ARP para facilitar sua identificação.
-
SnapMirror sincronização síncrona e ativa: A partir do ONTAP 9.19.1 RC, os snapshots ARP criados para volumes que participam de SnapMirror sincronização síncrona ou SnapMirror active sync seguem estas regras adicionais:
-
Os snapshots ARP são criados e mantidos no volume primário.
-
Os snapshots ARP não são replicados para o secundário como parte da SnapMirror síncrona ou SnapMirror active sync. Você precisa "ativar ARP novamente" no volume de recuperação após o failover.
-
|
|
A restauração em nível de volume (volume snapshot restore em SnapMirror síncrono ou SnapMirror active sync em volumes SAN pode exigir que você suspenda temporariamente ou interrompa a relação SnapMirror síncrona ou SnapMirror active sync. Em muitos casos, você pode evitar interromper SnapMirror síncrono ou SnapMirror active sync usando FlexClone ou operações de restauração em nível de arquivo a partir de ARP ou outros snapshots no volume primário.
|
A tabela a seguir resume as diferenças de instantâneos do ARP por versão.
| Recurso | ONTAP 9.17.1 e posterior | ONTAP 9.16.1 e anteriores |
|---|---|---|
Gatilho de criação |
Um instantâneo "periódico" ou de "ataque" é criado com base no tipo de gatilho. |
O intervalo de criação de instantâneo é baseado no tipo de gatilho. |
Convenção de nomes prefixados |
"Backup_periódico_anti_ransomware" "Backup_anti_ataque_anti_ransomware" |
"Backup anti-ransomware" |
Comportamento de exclusão |
O instantâneo ARP está bloqueado e não pode ser excluído pelo administrador |
O instantâneo ARP está bloqueado e não pode ser excluído pelo administrador |
Contagem máxima de instantâneos |
||
Período de retenção |
Os instantâneos normalmente são retidos por 12 horas.
|
|
Ação de suspeita clara |
Os administradores podem executar uma ação de limpeza de suspeitos que define a retenção com base na confirmação:
|
Os administradores podem executar uma ação de limpeza de suspeitos que define a retenção com base na confirmação:
Este comportamento de retenção preventiva não existia antes do ONTAP 9.16.1 |
Tempo de expiração |
Um tempo de expiração é definido para todos os instantâneos |
Nenhum |
Como recuperar dados no ONTAP após um ataque de ransomware
O ARP se baseia na comprovada tecnologia de proteção de dados e recuperação de desastres do ONTAP para responder a ataques de ransomware. O ARP cria instantâneos bloqueados quando os primeiros sinais de um ataque são detectados. Você precisará primeiro confirmar se o ataque é real ou um falso positivo. Se você confirmar o ataque, o volume poderá ser restaurado usando o snapshot do ARP.
Snapshots bloqueados não podem ser excluídos por meios normais. Entretanto, se mais tarde você decidir marcar o ataque como um falso positivo, o ONTAP excluirá a cópia bloqueada.
Você pode recuperar arquivos afetados de instantâneos selecionados em vez de reverter o volume inteiro.
Consulte os tópicos a seguir para obter mais informações sobre como responder a um ataque e recuperar dados:
Proteção de verificação multi-admin para ARP
A partir do ONTAP 9.13.1, é recomendável ativar a verificação multi-admin (MAV) para que dois ou mais administradores de usuário autenticados sejam necessários para a configuração ARP (Autonomous ransomware Protection). Para obter mais informações, "Ative a verificação de vários administradores"consulte .
Proteção autônoma contra ransomware com inteligência artificial (ARP/AI)
A partir do ONTAP 9.16.1, o ARP aprimora a resiliência cibernética adotando um modelo de aprendizado de máquina para análises anti-ransomware que detecta formas de ransomware em constante evolução com 99% de precisão em ambientes NAS. O modelo de aprendizado de máquina do ARP é pré-treinado em um grande conjunto de dados de arquivos antes e depois de um ataque de ransomware simulado. Este treinamento intensivo em recursos é realizado fora do ONTAP, utilizando conjuntos de dados de pesquisa forense de código aberto para treinar o modelo. Os dados do cliente não são utilizados em todo o pipeline de modelagem e não há problemas de privacidade. O modelo pré-treinado resultante deste treinamento está incluído na caixa do ONTAP . Este modelo não é acessível ou modificável por meio da CLI ou da API do ONTAP .
Com ARP/AI, não háperíodo de aprendizagem . O ARP/AI é ativado imediatamente após a instalação ou atualização para os seguintes tipos de volume suportados:
-
Volumes NAS FlexVol com ONTAP 9.16.1 e versões posteriores.
-
Volumes NAS FlexGroup com ONTAP 9.18.1 e versões posteriores.
-
Volumes SAN com ONTAP 9.17.1 e posterior (ativos imediatamente, mesmo durante o"período de avaliação" )
Para volumes existentes e novos com funcionalidade ARP já habilitada, a proteção ARP/AI será ativada automaticamente após a atualização do cluster para uma versão do ONTAP compatível com ARP/AI.
Para manter a proteção atualizada contra as ameaças de ransomware mais recentes, a ARP/AI oferece atualizações automáticas frequentes que ocorrem fora dos ritmos regulares de atualização e lançamento do ONTAP . Se você tiver "atualizações automáticas ativadas" então você também poderá começar a receber atualizações automáticas de segurança para ARP/AI após selecionar atualizações automáticas para arquivos de segurança. Você também pode optar por "faça essas atualizações manualmente" e controlar quando as atualizações ocorrem.
A partir do ONTAP 9.16,1, as atualizações de segurança para ARP/AI estão disponíveis usando o Gerenciador do sistema, além das atualizações de sistema e firmware.
Diferenças entre ARP/AI e modelos ARP em resumo
| Recurso | ARP | ARP/IA |
|---|---|---|
Versões do ONTAP |
ONTAP 9.10.1-9.15.1 |
ONTAP 9.16.1 e posterior; 9.15.1 (tech preview) |
Método de detecção |
Analisa a atividade dos arquivos, a entropia dos dados e os tipos de extensão de arquivos |
Modelo de IA/aprendizado de máquina treinado em grandes conjuntos de dados forenses; analisa entropia e comportamento de arquivos |
Período de aprendizagem |
Requer modo de aprendizagem de 30 dias para volumes NAS FlexVol (alternância automática disponível em 9.13.1 e posteriores) |
Sem período de aprendizagem; ativo imediatamente após capacitação |
Suporte ao tipo de volume |
|
|
Criação de Snapshot |
Acionado por alta entropia, novas extensões de arquivo ou picos de operações de arquivo |
Criado em intervalos fixos de 4 horas e mediante confirmação de ataque |
Retenção de Snapshot |
Retido até que o administrador limpe a atividade suspeita |
Padrão de 12 horas; prorrogado com base na confirmação do ataque (24 horas para falso positivo, 7 dias para positivo confirmado) |
Atualizações |
Lógica de detecção estática (atualizada apenas com as atualizações do ONTAP) |
Atualizações de segurança automáticas independentes das versões do ONTAP |
Implantação |
Capacitação manual por volume ou configuração padrão em nível de SVM |
Capacitação manual por volume ou configuração padrão no nível do SVM; capacitação padrão em todos os novos volumes no nível do cluster para sistemas compatíveis em 9.18.1 e posteriores |
Período de avaliação |
Não aplicável |
Necessário para volumes SAN (2 a 4 semanas) para estabelecer limites de criptografia de referência |