了解ONTAP中的自动防软件保护
建议更改
PDF
从ONTAP 9.10.1开始、自动勒索软件保护(ARP)功能使用NAS (NFS和SMB)环境中的工作负载分析功能主动检测并警告可能指示勒索软件攻击的异常活动。在怀疑发生攻击时、除了计划快照提供的现有保护之外、ARP还会创建新快照。
利用人工智能(ARP/AI)实现自主防兰功能
从ARP.16.1开始、ONTAP 9采用机器学习模型进行反勒索软件分析、以99%的准确性检测不断演变的勒索软件形式、从而提高网络故障恢复能力。在模拟勒索软件攻击前后、ARP的机器学习模型都是针对大型文件数据集进行预先训练的。此资源密集型培训在ONTAP外部完成、但从该培训中学到的知识用于ONTAP内部的模型。
对于ARP/AI和FlexVol卷,没有学习期。ARP/AI在安装或升级到9.16后立即开始处于活动模式。将集群升级到ARP.16.1后、如果已为现有和新的FlexVol卷启用了ONTAP 9、则这些卷将自动启用ARP/AI。
为了保持对最新勒索软件威胁的最新保护、ARP/AI可在常规ONTAP升级和发布周期之外频繁自动更新。如果您选择了自动更新安全文件、则"已启用自动更新"还可以开始接收ARP/AI的自动安全更新。您还可以选择手动进行这些更新、并控制更新发生的时间。
从System Manager.16.1开始、除了系统和固件更新之外、还可以使用ONTAP 9提供ARP/AI的安全更新。
|
ARP/AI功能目前仅支持NAS。尽管自动更新功能会显示可在System Manager中部署的新安全文件的可用性、但这些更新仅适用于NAS工作负载保护。 |
许可证和支持
ARP支持包含在中"ONTAP One许可证"。如果您没有ONTAP One许可证、则可以使用其他许可证、具体取决于您的ONTAP版本。
| ONTAP 版本 | 许可证 |
|---|---|
ONTAP 9.11.1及更高版本 |
反勒索软件 |
ONTAP 9.10.1 |
MT_EK_Mgmt (多租户密钥管理) |
-
如果您要从ONTAP 9 ARP.10.1升级到.11.1或更高版本、并且系统上已配置了ONTAP 9、则无需安装新的防勒索软件许可证。对于新的ARP配置、需要新的许可证。
-
如果您要从ONTAP 9.11.1或更高版本还原到ONTAP 9.10.1、并且已使用防勒索软件许可证启用ARP、则会看到一条警告消息、可能需要重新配置ARP。
"了解还原ARP的相关信息"(英文)
ONTAP 勒索软件保护策略
有效的勒索软件检测策略应包括多个保护层。
一个比喻是车辆的安全特性。您不需要依靠安全带等单一功能来在发生事故时为您提供全面保护。安全袋,防抱死制动器和前向碰撞警告都是额外的安全功能,可以带来更好的结果。应以相同方式查看勒索软件保护。
虽然ONTAP包括FPolicy、Snapshot、SnapLock和Active IQ数字顾问(也称为数字顾问)等功能来帮助防止勒索软件、但以下信息侧重于具有机器学习功能的ARP机载功能。
要了解有关ONTAP的其他反勒索软件功能的更多信息,请参见"勒索软件和NetApp的保护产品组合"。
ARP检测到的内容
ARP旨在防止攻击者在支付赎金之前扣留数据的拒绝服务攻击。ARP提供基于以下各项的实时勒索软件检测:
-
将传入数据标识为加密或纯文本。
-
可检测以下内容的分析:
-
平均值:对文件中数据的随机性的评估
-
文件扩展名类型:不符合正常扩展名类型的扩展名
-
文件IOP:使用数据加密时卷活动异常激增(从ONTAP 9.11.1开始)
-
在对少量文件进行加密后、ARP可以检测到大多数勒索软件攻击的蔓延、并自动采取措施保护数据、并提醒您可疑攻击正在发生。
|
任何勒索软件检测或预防系统都无法完全保证免遭勒索软件攻击的安全。虽然攻击可能无法检测到、但如果防病毒软件未能检测到入侵、ARP则会作为一个重要的额外防御层。 |
学习和主动模式
ARP有两种模式:
-
学习模式(或"演练"模式)
-
活动模式(或"启用"模式)
对于使用ARP.10.1 9.15.1运行的所有ONTAP 9以及使用ARP.161的卷使用的FlexGroup、启用ONTAP 9后、它将在_leARP.16模式下运行。在学习模式下、ONTAP系统会根据分析区域(熵、文件扩展名类型和文件IOPS)开发警报配置文件。在学习模式下运行ARP并有足够的时间来评估工作负载特征后、您可以切换到活动模式并开始保护数据。
建议您将ARP保留在学习模式30天。从ARP.13.1.开始、ONTAP 9会自动确定最佳学习间隔并自动执行交换机操作、这可能会在30天之前发生。
|
命令可 `security anti-ransomware volume workload-behavior show`显示在卷中检测到的文件扩展名。如果您在学习模式早期运行此命令、并且此命令显示了文件类型的准确表示、则不应将此数据用作迁移到活动模式的基础、因为ONTAP仍在收集其他指标。 |
对于使用ARP.10.1到9.151运行的ONTAP 9、在达到最佳学习间隔后、ARP.10.1将切换到_active mode_。从ARP/AI的ARP.16.1开始ONTAP 9、FlexVol卷不会使用ARP/AI。安装或升级到9.161后、FlexVol卷上的ARP/AI将立即开始处于活动模式。如果对FlexGroup卷使用ARP.161和ONTAP 9、则在过渡到活动模式之前、仍需要一个学习阶段。
在ARP切换到活动模式后、ONTAP会创建ARP快照、以便在检测到威胁时保护数据。
在活动模式下、如果文件扩展名被标记为异常、则应评估警报。您可以对警报采取措施来保护您的数据、也可以将警报标记为误报。将警报标记为误报可更新警报配置文件。例如、如果警报由新文件扩展名触发、而您将警报标记为误报、则下次观察到该文件扩展名时、您不会收到警报。
|
|
从ONTAP 9.11.1开始、您可以自定义ARP的检测参数。有关详细信息,请参见 管理ARP攻击检测参数。 |
威胁评估和ARP快照
在主动模式下、ARP根据根据所学分析测量的传入数据评估威胁概率。当ARP检测到威胁时、将分配一个度量值:
-
Low:检测到卷中存在异常的最早时间(例如、在卷中观察到新的文件扩展名)。此检测级别仅适用于ONTAP 9不具有ARP/AI的ARP.16.1之前的版本。
-
Moder:观察到多个文件具有相同的"从未见过"文件扩展名。
-
在ONTAP 9.10.1中、升级到"中等"的阈值为100个或更多文件。
-
从ONTAP 9.11.1开始、文件数量可进行编辑;其默认值为20。
-
在威胁较低的情况下、ONTAP会检测到一个错误并创建卷的快照、以创建最佳恢复点。ONTAP会在ARP快照的名称前面加上 Anti-ransomware-backup,以便于识别;例如 Anti_ransomware_backup.2022-12-20_1248。
在ONTAP运行分析报告以确定此非正常情况是否与勒索软件配置文件匹配后、此威胁会升级为中等。系统会在System Manager的事件部分中记录并显示处于较低级别的威胁。当攻击概率为中等时、ONTAP 会生成EMS通知、提示您评估威胁。ONTAP不会发送有关低威胁的警报、但是、从ONTAP 9.14.1开始、您可以发送警报 修改警报设置。有关详细信息,请参见 应对异常活动。。
您可以在System Manager的*事件*部分或使用命令查看有关威胁的信息、而不受威胁级别的 `security anti-ransomware volume show`限制。
单个ARP快照会保留两天。如果存在多个ARP快照、则默认情况下、这些快照会保留五天。从ONTAP 9.11.1开始、您可以修改保留设置。有关详细信息,请参见 修改快照选项。
如何在勒索软件攻击后在 ONTAP 中恢复数据
如果怀疑受到攻击、系统会在该时间点创建卷快照并锁定该副本。如果稍后确认攻击、则可以使用ARP快照还原卷。
锁定的快照无法正常删除。但是,如果您稍后决定将此攻击标记为误报,则锁定的副本将被删除。
了解受影响的文件和攻击时间后、可以有选择地从各种快照中恢复受影响的文件、而不是简单地将整个卷还原到其中一个快照。
因此、ARP建立在经验证的ONTAP 数据保护和灾难恢复技术之上、可应对勒索软件攻击。有关恢复数据的详细信息,请参见以下主题。
为ARP提供多管理员验证保护
从ONTAP 9.13.1开始、建议您启用多管理员验证(MAV)、以便需要两个或更多经过身份验证的用户管理员才能进行自动防病毒(ARP)配置。有关详细信息,请参见 "启用多管理员验证"。