让我们来了解一下上述功能如何与VMware配合使用、以保护和恢复数据免遭勒索软件的攻击。为了保护vSphere和子VM免受攻击、必须采取多种措施、包括分段、对端点使用EDR/XDR/SIEM、安装安全更新以及遵守相应的强化准则。驻留在数据存储库上的每个虚拟机还托管一个标准操作系统。确保安装并定期更新企业服务器反恶意软件产品套件、这是多层勒索软件保护策略的重要组成部分。同时、在为数据存储库提供支持的NFS卷上启用自动防兰森(ARP)。ARP利用内置的内置ML来查看卷工作负载活动和数据熵、从而自动检测勒索软件。ARP可通过ONTAP内置管理界面或系统管理器进行配置、并按卷启用。

处于活动模式后、它将开始查找可能是勒索软件的异常卷活动。如果检测到异常活动、则会立即自动创建Snapshot副本、从而提供尽可能接近文件感染的恢复点。在向加密卷添加新扩展名或修改文件扩展名时、ARP可以检测位于VM外部的NFS卷上VM专用文件扩展名的更改。

如果勒索软件攻击以虚拟机(VM)为目标并更改虚拟机中的文件而不在虚拟机外部进行更改、则高级勒索软件保护(ARP)仍会检测到威胁、前提是虚拟机的默认熵较低、例如.txt、.DOCX或.mp4文件类型。在此情形下、即使ARP创建了一个保护性快照、也不会生成威胁警报、因为虚拟机外部的文件扩展名未被篡改。在这种情况下、初始防御层会识别异常、但ARP有助于根据熵创建快照。

有关详细信息，请参阅中的“ARP和虚拟机”一节"ARP使用情况和注意事项"。

从文件转移到备份数据、勒索软件攻击现在越来越多地针对备份和快照恢复点、在开始加密文件之前尝试将其删除。但是，使用ONTAP时，可以通过使用在主系统或二级系统上创建防篡改快照来防止这种情况"NetApp Snapshot™副本锁定"的发生。

勒索软件攻击者或恶意管理员不能删除或更改这些Snapshot副本、因此即使在遭受攻击后也可以访问这些副本。如果数据存储库或特定虚拟机受到影响、SnapCenter可以在几秒钟内恢复虚拟机数据、从而最大程度地减少组织的停机时间。

上述内容说明了ONTAP存储如何在现有技术基础上再增加一层、从而增强环境的未来防护。

有关其他信息，请查看的指导"针对勒索软件的NetApp解决方案"。

现在、如果所有这些都需要与SIEM工具协调和集成、则可以使用BlueXP  勒索软件保护等OFFTAP服务。它是一项旨在保护数据免遭勒索软件攻击的服务。此服务可为基于应用程序的工作负载提供保护、例如、内部NFS存储上的Oracle、MySQL、VM数据存储库和文件共享。

在此示例中、NFS数据存储库"src_NFS_DS04"使用BlueXP  勒索软件保护进行保护。

有关配置BlueXP  勒索软件保护的详细信息，请参阅"设置BlueXP  勒索软件保护"和"配置BlueXP勒索软件保护设置"。

现在是时候通过一个示例来说明这一点了。在此逐步介绍中、数据存储库"src_NFS_DS04"会受到影响。

ARP在检测到后立即触发卷上的快照。

取证分析完成后、可以使用SnapCenter或BlueXP  勒索软件保护快速无缝地完成恢复。使用SnapCenter、转到受影响的虚拟机并选择要还原的相应快照。

本节将介绍BlueXP  勒索软件保护如何编排从对VM文件进行加密的勒索软件事件中恢复。

NetApp解决方案提供了各种有效的可见性、检测和修复工具、可帮助您及早发现勒索软件、防止此类传播、并在必要时快速恢复、以避免代价高昂的停机。传统的分层防御解决方案仍然很普遍、第三方和合作伙伴的可见性和检测解决方案也是如此。有效补救仍然是应对任何威胁的关键部分。