了解ONTAP自动防兰软件保护
建议更改
PDF
从ONTAP 9.10.1 开始, ONTAP管理员可以启用自主勒索软件防护 (ARP) 功能,在 NAS(NFS 和 SMB)环境中执行工作负载分析,从而主动检测并警告可能预示勒索软件攻击的异常活动。从ONTAP 9.17.1 开始,ARP 还支持块设备卷,包括包含 LUN 或 NVMe 命名空间的 SAN 卷,或包含来自虚拟机管理程序(如 VMware、Hyper-V 和 KVM)的虚拟磁盘的 NAS 卷。
ARP 直接内置于 ONTAP 中,确保与 ONTAP 的其他功能实现集成控制和协调。ARP实时运行,在文件系统中写入或读取数据时进行处理,并快速检测和响应潜在的勒索软件攻击。
ARP 会定期创建锁定快照,并根据计划创建快照,以增强保护。它智能地管理快照的保存时间。如果未检测到异常活动,则会快速回收快照。但是,如果检测到攻击,则会将攻击开始前创建的快照保留更长时间。
许可证和支持
ARP 支持包含在"ONTAP One许可证" 。如果您没有ONTAP One 许可证,则可以使用其他许可证来用于 ARP,具体取决于您的ONTAP版本。
| ONTAP 版本 | 许可证 |
|---|---|
ONTAP 9.11.1及更高版本 |
|
ONTAP 9.10.1 |
|
-
如果您要从ONTAP 9.10.1 升级到ONTAP 9.11.1 或更高版本,并且系统上已配置 ARP,则无需安装新的 `Anti-ransomware`许可证。对于新的 ARP 配置,需要新的许可证。
-
如果您从ONTAP 9.11.1 或更高版本恢复到ONTAP 9.10.1,并且已使用 Anti_ransomware 许可证启用 ARP,您将看到一条警告消息,可能需要重新配置 ARP。"了解还原ARP的相关信息" 。
ONTAP 勒索软件保护策略
有效的勒索软件检测策略应该包含多层保护。以车辆的安全功能为例。您不能依赖安全带等单一功能来在事故中完全保护您。安全气囊、防抱死制动系统和前方碰撞警告等安全功能共同作用,带来更佳效果。勒索软件保护也应以同样的方式看待。
虽然ONTAP包含 FPolicy、快照、 SnapLock和Active IQ Digital Advisor (也称为Digital Advisor)等功能来帮助防御勒索软件,但以下信息重点介绍具有机器学习功能的 ARP 功能。
要详细了解NetApp产品组合中防范勒索软件的其他功能,请参阅"勒索软件和NetApp的保护产品组合" 。
ARP检测到的内容
ONTAP ARP 旨在防御拒绝服务攻击,即攻击者扣留数据直至支付赎金。ARP基于以下方式提供实时勒索软件检测:
-
将传入数据识别为加密或纯文本。
-
可检测以下内容的分析:
-
熵:(用于 NAS 和 SAN)对文件中数据随机性的评估
-
文件扩展名类型:(仅在 NAS 中使用)不符合预期扩展名类型的文件扩展名
-
文件 IOPS:(仅在ONTAP 9.11.1 开始的 NAS 中使用)数据加密时异常卷活动激增
-
ARP 只需少量文件被加密即可检测到大多数勒索软件攻击的传播,自动响应以保护数据,并提醒您疑似攻击正在发生。
|
没有任何勒索软件检测系统可以保证完全的安全。如果防病毒软件无法检测到入侵,ARP 可提供额外的防御层。 |
了解 ARP 模式
在为卷启用 ARP 后,它将进入学习期以建立基线。 ARP 在转换到主动检测模式之前会分析系统指标以制定警报配置文件。在主动模式下,ARP 监控异常活动,如果检测到异常行为,则采取保护措施并生成警报。
对于 ARP,学习模式和主动模式行为因ONTAP版本、卷类型和协议(NAS 或 SAN)而异。
NAS 环境和模式类型
NAS 环境使用学习和主动模式。对于ARP/AI从ONTAP 9.16.1 开始在 NAS 环境中运行时,当 ARP 与FlexVol卷一起使用时没有学习期。
下表总结了ONTAP 9.10.1 与 NAS 环境的更高版本之间的差异。
| 模式 | Description | 卷类型和版本 | ||
|---|---|---|---|---|
学习 |
对于ONTAP 9.15.1 到 9.10.1 版本,启用 ARP 后,ARP 会自动设置为学习模式。在学习模式下, ONTAP系统会根据以下分析领域(熵、文件扩展名类型和文件 IOPS)制定警报配置文件。建议您将 ARP 保持在学习模式 30 天。从ONTAP 9.13.1 开始,ARP 会自动确定最佳学习间隔并自动切换,切换可能在 30 天之前完成。对于ONTAP 9.13.1 之前的版本,您可以手动进行切换。
|
|
||
活动 |
在学习模式下运行 ARP 足够长的时间以评估工作负载特征后,您可以切换到主动模式并开始保护数据。从ONTAP 9.13.1 开始,ARP 会自动确定最佳学习间隔并自动切换,切换可能在 30 天之前完成。 在ONTAP 9.15.1 到 9.10.1 版本中,ARP 会在最佳学习期结束后切换到主动模式。ARP切换到主动模式后,如果检测到威胁, ONTAP会创建 ARP 快照来保护数据。 在主动模式下,如果文件扩展名被标记为异常,您应该评估该警报。您可以根据警报采取行动来保护数据,也可以将警报标记为误报。将警报标记为误报会更新警报配置文件。例如,如果警报是由新的文件扩展名触发的,并且您将警报标记为误报,则下次观察到该文件扩展名时,您将不会收到警报。 |
所有受支持的ONTAP版本以及FlexVol和FlexGroup卷 |
SAN 环境和模式类型
SAN 环境会使用评估期(类似于 NAS 环境中的学习模式),然后自动过渡到主动检测。下表总结了评估模式和主动模式。
| 模式 | Description | 卷类型和版本 |
|---|---|---|
评估 |
会进行为期两到四周的评估期,以确定基线加密行为。您可以通过运行 |
|
活动 |
评估期结束后,您可以通过运行 |
|
威胁评估和ARP快照
ARP 根据学习分析测量的传入数据来评估威胁概率。当 ARP 检测到异常时,会分配一个测量值。快照可能会在检测时或定期分配。
ARP 阈值
-
Low:检测到卷中存在异常的最早时间(例如、在卷中观察到新的文件扩展名)。此检测级别仅适用于ONTAP 9不具有ARP/AI的ARP.16.1之前的版本。
-
从ONTAP 9.11.1 开始,您可以"自定义ARP检测参数" 。
-
在ONTAP 9.10.1中、升级到"中等"的阈值为100个或更多文件。
-
-
中等:检测到高熵,或观察到多个具有相同前所未见文件扩展名的文件。这是ONTAP 9.16.1 及更高版本中带有 ARP/AI 的基准检测级别。
当ONTAP运行分析报告确定异常是否与勒索软件配置文件匹配时,威胁会升级为中等。当攻击概率为中等时, ONTAP会生成 EMS 通知,提示您评估威胁。ONTAPONTAP不会发送有关低威胁的警报;但是,从ONTAP9.14.1 开始,您可以 "修改默认警报设置"。"应对异常活动。" 。
您可以在System Manager的*事件*部分或使用命令查看有关中等威胁的信息 security anti-ransomware volume show。在不包含ARP/AI的9.16.1 9.161之前的版本中、也可以使用命令查看低威胁事件 security anti-ransomware volume show。有关的详细信息 security anti-ransomware volume show,请参见"ONTAP 命令参考"。
ARP Snapshot
当检测到攻击的早期迹象时,ARP 会创建快照。然后进行详细分析,以确认或排除潜在攻击。由于 ARP 快照是在攻击得到完全确认之前主动创建的,因此它们也可能会定期为某些合法应用程序生成。这些快照的存在不应被视为异常。如果确认发生攻击,则攻击概率将升级为 `Moderate`并生成攻击通知。
从ONTAP 9.17.1 开始,会定期为 NAS 和 SAN 卷生成 ARP 快照,并响应检测到的异常。ONTAP在 ARP 快照前添加一个名称,以便于识别。
从ONTAP 9.11.1 开始,您可以修改保留设置。有关更多信息,请参阅"修改快照选项" 。
下表总结了不同版本的 ARP 快照差异。
| 功能 | ONTAP 9.17.1 及更高版本 | ONTAP 9.16.1 及更早版本 |
|---|---|---|
创建触发器 |
根据触发类型创建“定期”或“攻击”快照。 |
快照创建间隔基于触发器类型。 |
前缀名称约定 |
“反勒索软件定期备份” “反勒索软件攻击备份” |
“反勒索软件备份” |
删除行为 |
ARP快照被锁定,管理员无法删除 |
ARP快照被锁定,管理员无法删除 |
最大快照数 |
||
保留期 |
快照通常保留 12 小时。
|
|
明确嫌疑行动 |
管理员可以执行清除嫌疑的操作,该操作根据确认设置保留:
|
管理员可以执行清除嫌疑的操作,该操作根据确认设置保留:
此预防性保留行为在ONTAP 9.16.1 之前不存在 |
到期时间 |
所有快照均设置了到期时间 |
无 |
如何在勒索软件攻击后在 ONTAP 中恢复数据
ARP 基于成熟的ONTAP数据保护和灾难恢复技术,可有效应对勒索软件攻击。当检测到攻击的早期迹象时,ARP 会创建锁定快照。您需要首先确认攻击是真实攻击还是误报。如果您确认存在攻击,则可以使用 ARP 快照恢复卷。
锁定的快照无法通过正常方式删除。但是,如果您稍后决定将攻击标记为误报, ONTAP会删除锁定的副本。
您可以从选定的快照中恢复受影响的文件,而不必恢复整个卷。
有关应对攻击和恢复数据的更多信息,请参阅以下主题:
为ARP提供多管理员验证保护
从ONTAP 9.13.1开始、建议启用多管理员验证(MAV)、以便需要两个或更多经过身份验证的用户管理员才能进行自动防病毒(ARP)配置。有关详细信息,请参见 "启用多管理员验证"。
利用人工智能(ARP/AI)实现自主防兰功能
从ONTAP 9.16.1 开始,ARP 采用机器学习模型进行反勒索软件分析,从而提升了网络弹性。该模型能够在 NAS 环境中以 99% 的准确率检测不断演变的勒索软件形式。的机器学习模型在模拟勒索软件攻击前后都基于大量文件数据集进行了预训练。这种资源密集型的训练是在ONTAP之外进行的,使用开源取证研究数据集来训练模型。整个建模流程不会使用客户数据,因此不存在隐私问题。此训练生成的预训练模型随ONTAP一起提供。但无法通过ONTAP CLI 或ONTAP API 访问或修改此模型。
有了 ARP/AI 和FlexVol卷,就没有 .NET 卷了学习期。安装或升级到 9.16 后,ARP/AI 将立即启用并处于活动状态。集群升级到ONTAP 9.16.1 后,如果现有和新的FlexVol卷已启用 ARP,则 ARP/AI 将自动启用。
为了持续提供针对最新勒索软件威胁的最新保护,ARP/AI 提供频繁的自动更新,这些更新在ONTAP常规升级和发布周期之外进行。如果您"已启用自动更新"在您选择安全文件自动更新后,您也将能够开始接收 ARP/AI 的自动安全更新。您还可以选择"手动进行这些更新"并控制更新发生的时间。
从System Manager.16.1开始、除了系统和固件更新之外、还可以使用ONTAP 9提供ARP/AI的安全更新。