Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

自主勒索软件保护概述

贡献者

从ONTAP 9.10.1开始、自动勒索软件保护(ARP)功能使用NAS (NFS和SMB)环境中的工作负载分析功能主动检测并警告可能指示勒索软件攻击的异常活动。

如果怀疑发生攻击、ARP除了从计划的Snapshot副本中提供现有保护之外、还会创建新的Snapshot副本。

许可证和支持

ARP需要许可证。ARP可用于 "ONTAP One许可证"。如果您没有ONTAP One许可证、则可以使用其他许可证、具体取决于您的ONTAP版本。

ONTAP 版本 许可证

ONTAP 9.11.1及更高版本

反勒索软件

ONTAP 9.10.1

MT_EK_Mgmt (多租户密钥管理)

  • 如果您要升级到ONTAP 9.11.1或更高版本、并且您的系统上已配置ARP、则无需购买新的反勒索软件许可证。对于新的ARP配置、需要新的许可证。

  • 如果您要从ONTAP 9.11.1或更高版本还原到ONTAP 9.10.1、并且已使用防勒索软件许可证启用ARP、则会看到一条警告消息、可能需要重新配置ARP。 "了解还原ARP的相关信息"

您可以使用System Manager或ONTAP命令行界面按卷配置ARP。

ONTAP 勒索软件保护策略

有效的勒索软件检测策略应包括多个保护层。

一个比喻是车辆的安全特性。您不需要依靠安全带等单一功能来在发生事故时为您提供全面保护。安全袋,防抱死制动器和前向碰撞警告都是额外的安全功能,可以带来更好的结果。应以相同方式查看勒索软件保护。

虽然ONTAP 包括FPolicy、Snapshot副本、SnapLock 和Active IQ 数字顾问等功能来帮助防止勒索软件、但以下信息重点介绍了具有机器学习功能的ARP机载功能。

要了解有关ONTAP的其他反勒索软件功能的更多信息、请参见 "TR-4572 :《 NetApp 解决方案 for 勒索软件》。"

ARP检测到的内容

ARP旨在防止攻击者在支付赎金之前扣留数据的拒绝服务攻击。ARP提供基于以下方面的反勒索软件检测:

  • 将传入数据标识为加密或纯文本。

  • 分析,用于检测

    • 平均值:对文件中数据的随机性的评估

    • 文件扩展名类型:不符合正常扩展名类型的扩展名

    • 文件IOP:使用数据加密时卷活动异常激增(从ONTAP 9.11.1开始)

在对少量文件进行加密后、ARP可以检测到大多数勒索软件攻击的蔓延、并自动采取措施保护数据、并提醒您可疑攻击正在发生。

备注 任何勒索软件检测或预防系统都无法完全保证免遭勒索软件攻击的安全。虽然攻击可能无法检测到、但如果防病毒软件未能检测到入侵、ARP则会作为一个重要的额外防御层。

学习和主动模式

ARP有两种模式:

  1. 记忆(或"试运行"模式)

  2. 活动(或"已启用"模式)

启用ARP后、它将在学习模式下运行。在学习模式下、ONTAP系统会根据分析区域(熵、文件扩展名类型和文件IOPS)开发警报配置文件。在学习模式下运行ARP并有足够的时间来评估工作负载特征后、您可以切换到活动模式并开始保护数据。一旦ARP切换到活动模式、ONTAP 将创建ARP快照、以便在检测到威胁时保护数据。

建议您将ARP保留在学习模式30天。从ONTAP 9.13.1开始、ARP会自动确定最佳学习周期间隔并自动执行交换机操作、这可能会在30天之前发生。

在活动模式下、如果文件扩展名被标记为异常、则应评估警报。您可以对警报采取措施来保护您的数据、也可以将警报标记为误报。将警报标记为误报可更新警报配置文件。例如、如果警报由新文件扩展名触发、而您将警报标记为误报、则下次观察到该文件扩展名时、您不会收到警报。命令 security anti-ransomware volume workload-behavior show 显示在卷中检测到的文件扩展名。(如果您在学习模式早期运行此命令、并且此命令显示了文件类型的准确表示、则不应将此数据用作迁移到活动模式的基础、因为ONTAP仍在收集其他指标。)

从ONTAP 9.11.1开始、您可以自定义ARP的检测参数。有关详细信息,请参见 管理ARP攻击检测参数

威胁评估和ARP快照

在主动模式下、ARP根据根据所学分析测量的传入数据评估威胁概率。当ARP检测到威胁时、将分配一个度量值:

  • :检测到卷中存在异常的最早时间(例如,在卷中观察到新的文件扩展名)。

  • 中等:观察到多个文件具有相同的"从未见过"文件扩展名。

    • 在ONTAP 9.10.1中、升级到"中等"的阈值为100个或更多文件。从ONTAP 9.11.1开始、文件数量可进行编辑;其默认值为20。

在威胁较低的情况下、ONTAP会检测到一个非正常情况、并为卷创建一个Snapshot、以创建最佳恢复点。ARP Snapshot使用 anti-ransomware-backup 标记和可通过其名称进行标识、例如 Anti_ransomware_backup.2022-12-20_1248

在ONTAP运行分析报告以确定此非正常情况是否与勒索软件配置文件匹配后、此威胁会升级为中等。系统会在System Manager的事件部分中记录并显示处于较低级别的威胁。当攻击概率为中等时、ONTAP 会生成EMS通知、提示您评估威胁。ONTAP不会发送有关低威胁的警报、但是、从ONTAP 9.14.1开始、您可以发送警报 修改警报设置。有关详细信息,请参见 应对异常活动。

您可以在System Manager的事件部分中或使用查看有关威胁的信息,而不受威胁级别的限制 security anti-ransomware volume show 命令:

ARP快照至少保留两天。从ONTAP 9.11.1开始、您可以修改保留设置。有关详细信息,请参见 修改Snapshot副本的选项

如何在勒索软件攻击后在 ONTAP 中恢复数据

如果怀疑发生攻击,系统将在该时间点创建卷 Snapshot 副本并锁定该副本。如果稍后确认攻击、则可以将卷还原到此Snapshot、从而最大限度地减少数据丢失。

无法正常删除已锁定的 Snapshot 副本。但是,如果您稍后决定将此攻击标记为误报,则锁定的副本将被删除。

了解受影响的文件和攻击时间后,可以有选择地从各种 Snapshot 副本恢复受影响的文件,而不是简单地将整个卷还原到某个快照。

因此、ARP建立在经验证的ONTAP 数据保护和灾难恢复技术之上、可应对勒索软件攻击。有关恢复数据的详细信息,请参见以下主题。