了解ONTAP自动防兰软件保护
建议更改
PDF
从 ONTAP 9.10.1 开始,ONTAP 管理员可以启用自主勒索软件保护 (ARP) 来在 NAS (NFS 和 SMB) 环境中执行工作负载分析,以主动检测并警告可能表明勒索软件攻击的异常活动。ARP 直接内置于 ONTAP 中,确保与 ONTAP 的其他功能进行集成控制和协调。ARP 实时运行,在数据写入或从文件系统读取时处理数据,并快速检测和响应潜在的勒索软件攻击。
除了计划的快照之外,ARP 还会定期创建锁定的快照。动态调整快照保留:当没有检测到异常活动时,快照会快速回收,并且在检测到攻击之前拍摄的快照会保留更长的时间以进行调查和恢复。
有关协议支持、工作负载适用性和特定于版本的要求,请参见 "ARP 用例和注意事项"。
有关 ARP 生成的快照的详细信息,包括 ONTAP 版本添加的更改,请参见 ARP Snapshot。
许可证和支持
您需要许可证才能使用 ARP。决定是在新卷上默认启用 ARP,还是在每个卷上手动启用 ARP。
ARP 的许可证选项
ARP 支持包含在内"ONTAP One 许可证"。如果您没有ONTAP One 许可证,则可以使用其他许可证来用于 ARP,具体取决于您的ONTAP版本。
| ONTAP 版本 | 许可证 |
|---|---|
ONTAP 9.11.1及更高版本 |
|
ONTAP 9.10.1 |
|
-
如果您要从ONTAP 9.10.1 升级到ONTAP 9.11.1 或更高版本,并且系统上已配置 ARP,则无需安装新的 `Anti-ransomware`许可证。对于新的 ARP 配置,需要新的许可证。
-
如果您从ONTAP 9.11.1 或更高版本恢复到ONTAP 9.10.1,并且已使用 Anti_ransomware 许可证启用 ARP,您将看到一条警告消息,可能需要重新配置 ARP。"了解还原ARP的相关信息" 。
ARP 的启用选项
ARP 在集群、SVM 和卷级别提供灵活的启用选项,允许您为新卷配置自动默认启用,或根据需要在现有卷上手动启用 ARP。
从 ONTAP 9.18.1 开始,默认情况下,AFF A 系列和 AFF C 系列、ASA 和 ASA r2 系统的所有新卷都自动启用 ARP。此自动默认 ARP 启用不适用于"不受支持的卷或配置"。
新卷上的 ARP 默认启用在升级后的 12 小时宽限期后生效,或对新的 ONTAP 9.18.1 安装立即生效,前提是在任何一种情况下都安装了 ARP 许可证。您必须在现有卷上手动启用 ARP。
在宽限期内,您可以"使用 System Manager 或 ONTAP CLI 在集群级别选择退出新卷的默认启用"。如果不选择退出,则会自动为宽限期结束后创建的所有新卷启用 ARP。如果在宽限期后需要更改,您还可以随时打开或关闭默认启用。
如果您在群集级别禁用了 ARP 的自动默认启用,您也可以选择在 SVM 级别"默认情况下,在所有新卷上手动启用 ARP"。对于 ONTAP 9.17.1 及更早版本,这是配置 ARP 在新卷上默认启用的唯一方法。
从 9.18.1 开始,您可以从集群级别手动在所有现有卷上启用 ARP(选择*集群 > 安全*和
在*反勒索软件*部分中,然后选择*在所有现有卷上启用*)。
如果您希望将 ARP 启用限制为特定卷,则可以"根据每个卷启用 ARP"。
ONTAP 勒索软件保护策略
有效的勒索软件防护需要多层防护协同工作。
虽然 ONTAP 包含 FPolicy、快照、SnapLock 和 Active IQ Digital Advisor(也称为 Digital Advisor)等功能,以帮助防范勒索软件,但 ARP 提供了额外的防御层。
要详细了解 NetApp 产品组合中防范勒索软件的其他功能,请参见:
ARP检测到的内容
ONTAP ARP 旨在防御拒绝服务攻击,即攻击者扣留数据直至支付赎金。ARP基于以下方式提供实时勒索软件检测:
-
将传入数据识别为加密或纯文本。
-
可检测以下内容的分析:
-
熵:(用于 NAS 和 SAN)对文件中数据随机性的评估
-
文件扩展名类型:(仅在 NAS 中使用)不符合预期扩展名类型的文件扩展名
-
文件 IOPS:(仅在ONTAP 9.11.1 开始的 NAS 中使用)数据加密时异常卷活动激增
-
ARP 只需少量文件被加密即可检测到大多数勒索软件攻击的传播,自动响应以保护数据,并提醒您疑似攻击正在发生。
|
没有任何勒索软件检测系统可以保证完全的安全。如果防病毒软件无法检测到入侵,ARP 可提供额外的防御层。 |
了解 ARP 模式
在为卷启用 ARP 后,它将进入学习期以建立基线。 ARP 在转换到主动检测模式之前会分析系统指标以制定警报配置文件。在主动模式下,ARP 监控异常活动,如果检测到异常行为,则采取保护措施并生成警报。
对于 ARP,学习模式和主动模式行为因ONTAP版本、卷类型和协议(NAS 或 SAN)而异。
NAS 环境和模式类型
下表总结了ONTAP 9.10.1 与 NAS 环境的更高版本之间的差异。
对于采用早期 ARP 模型的版本,建议在开始主动监控之前先进行一段时间的学习。对于支持 NAS 的环境ARP/AI没有学习期,立即开始主动监控。
| 模式 | Description | 卷类型和版本 | ||
|---|---|---|---|---|
学习 |
对于某些版本的ONTAP和某些卷类型,启用 ARP 时,ARP 会自动设置为学习模式。在学习模式下, ONTAP系统会根据以下分析领域(熵、文件扩展名类型和文件 IOPS)制定警报配置文件。 建议您将 ARP 保持在学习模式 30 天。从ONTAP 9.13.1 开始,ARP 会自动确定最佳学习间隔并自动切换,切换可能在 30 天之前完成。对于ONTAP 9.13.1 之前的版本,您可以手动进行切换。 从ONTAP 9.16.1 开始, FlexVol卷仅存在活动模式,任何升级到此版本或更高版本的FlexVol卷都会自动从学习模式过渡到活动模式。 对于ONTAP 9.16.1 到 9.17.1,ARP/AI 尚不支持FlexGroup卷,并继续运行较旧的 ARP 模型。因此,对于这些带有FlexGroup卷的版本,仍然建议留出一段学习期。 从ONTAP 9.18.1 开始, FlexVol和FlexGroup卷都只有活动模式。任何升级后的卷都会自动切换到活动模式。
|
|
||
评估 |
执行两到四周的评估期以确定基线加密行为。在建立基线阈值时,可能会发生检测和警报。您可以通过运行 |
包含使用 ONTAP 9.17.1P5 及更高版本检测到的虚拟机监控程序虚拟磁盘的 NAS 卷 |
||
活动 |
在主动模式下,如果文件扩展名被标记为异常,您应该评估该警报。您可以根据警报采取行动来保护数据,也可以将警报标记为误报。将警报标记为误报会更新警报配置文件。例如,如果警报是由新的文件扩展名触发的,并且您将警报标记为误报,则下次观察到该文件扩展名时,您将不会收到警报。 |
所有受支持的ONTAP版本以及FlexVol和FlexGroup卷 |
SAN 环境和模式类型
SAN 环境会使用评估期(类似于 NAS 环境中的学习模式),然后自动过渡到主动检测。下表总结了评估模式和主动模式。
| 模式 | Description | 卷类型和版本 |
|---|---|---|
评估 |
进行为期两到四周的评估期,以确定基线加密行为,同时 ARP/AI 在评估期内为 SAN 卷提供即时主动保护。在建立基线阈值期间,可以进行检测并发出警报。您可以通过运行以下命令来确定评估期是否结束: |
|
活动 |
评估期结束后,您可以通过运行 |
|
威胁评估和ARP快照
ARP 基于根据学习分析测量的传入数据评估威胁概率。当 ARP 检测到异常时,会分配一个测量值。ARP 可能会在检测时或定期分配快照。
ARP 阈值
-
Low:检测到卷中存在异常的最早时间(例如、在卷中观察到新的文件扩展名)。此检测级别仅适用于ONTAP 9不具有ARP/AI的ARP.16.1之前的版本。
-
从ONTAP 9.11.1 开始,您可以"自定义ARP检测参数" 。
-
在ONTAP 9.10.1中、升级到"中等"的阈值为100个或更多文件。
-
-
中等:检测到高熵,或观察到多个具有相同前所未见文件扩展名的文件。这是ONTAP 9.16.1 及更高版本中带有 ARP/AI 的基准检测级别。
当ONTAP运行分析报告确定异常是否与勒索软件配置文件匹配时,威胁会升级为中等。当攻击概率为中等时, ONTAP会生成 EMS 通知,提示您评估威胁。ONTAPONTAP不会发送有关低威胁的警报;但是,从ONTAP9.14.1 开始,您可以 "修改默认警报设置"。"应对异常活动。" 。
您可以在System Manager的*事件*部分或使用命令查看有关中等威胁的信息 security anti-ransomware volume show。在不包含ARP/AI的9.16.1 9.161之前的版本中、也可以使用命令查看低威胁事件 security anti-ransomware volume show。有关的详细信息 security anti-ransomware volume show,请参见"ONTAP 命令参考"。
ARP Snapshot
当检测到攻击的早期迹象时,ARP 会创建快照。然后进行详细分析,以确认或排除潜在攻击。由于 ARP 快照是在攻击得到完全确认之前主动创建的,因此它们也可能会定期为某些合法应用程序生成。这些快照的存在不应被视为异常。如果确认发生攻击,则攻击概率将升级为 `Moderate`并生成攻击通知。
-
修改保留设置:从 ONTAP 9.11.1 开始,您可以 "修改快照的保留设置"。
-
间隔和异常响应:从 ONTAP 9.17.1 开始,为 NAS 和 SAN 卷定期生成 ARP 快照,并响应检测到的异常,这始终是标准响应。ONTAP 为 ARP 快照添加名称前缀,使其易于识别。
-
SnapMirror 同步和活动同步:从 ONTAP 9.19.1 RC 开始,为参与 SnapMirror 同步或 SnapMirror 活动同步关系的卷创建的 ARP 快照遵循以下附加规则:
-
ARP 快照在主卷上创建并保留。
-
作为 SnapMirror 同步或 SnapMirror 活动同步的一部分,ARP 快照不会复制到辅助存储。故障转移后,您需要在恢复卷上"再次启用 ARP"。
-
|
|
在 SnapMirror 同步或 SnapMirror active sync SAN 卷上进行卷级恢复 (volume snapshot restore 时,可能需要临时静默或断开 SnapMirror 同步或 SnapMirror active sync 关系。在许多情况下,可以通过使用 FlexClone 或从主卷上的 ARP 或其他快照执行文件级恢复操作,避免断开 SnapMirror 同步或 SnapMirror active sync。
|
下表总结了不同版本的 ARP 快照差异。
| 功能 | ONTAP 9.17.1 及更高版本 | ONTAP 9.16.1 及更早版本 |
|---|---|---|
创建触发器 |
根据触发类型创建“定期”或“攻击”快照。 |
快照创建间隔基于触发器类型。 |
前缀名称约定 |
“反勒索软件定期备份” “反勒索软件攻击备份” |
“反勒索软件备份” |
删除行为 |
ARP快照被锁定,管理员无法删除 |
ARP快照被锁定,管理员无法删除 |
最大快照数 |
||
保留期 |
快照通常保留 12 小时。
|
|
明确嫌疑行动 |
管理员可以执行清除嫌疑的操作,该操作根据确认设置保留:
|
管理员可以执行清除嫌疑的操作,该操作根据确认设置保留:
此预防性保留行为在ONTAP 9.16.1 之前不存在 |
到期时间 |
所有快照均设置了到期时间 |
无 |
如何在勒索软件攻击后在 ONTAP 中恢复数据
ARP 基于成熟的ONTAP数据保护和灾难恢复技术,可有效应对勒索软件攻击。当检测到攻击的早期迹象时,ARP 会创建锁定快照。您需要首先确认攻击是真实攻击还是误报。如果您确认存在攻击,则可以使用 ARP 快照恢复卷。
锁定的快照无法通过正常方式删除。但是,如果您稍后决定将攻击标记为误报, ONTAP会删除锁定的副本。
您可以从选定的快照中恢复受影响的文件,而不必恢复整个卷。
有关应对攻击和恢复数据的更多信息,请参阅以下主题:
为ARP提供多管理员验证保护
从ONTAP 9.13.1开始、建议启用多管理员验证(MAV)、以便需要两个或更多经过身份验证的用户管理员才能进行自动防病毒(ARP)配置。有关详细信息,请参见 "启用多管理员验证"。
利用人工智能(ARP/AI)实现自主防兰功能
从ONTAP 9.16.1 开始,ARP 采用机器学习模型进行反勒索软件分析,从而提升了网络弹性。该模型能够在 NAS 环境中以 99% 的准确率检测不断演变的勒索软件形式。的机器学习模型在模拟勒索软件攻击前后都基于大量文件数据集进行了预训练。这种资源密集型的训练是在ONTAP之外进行的,使用开源取证研究数据集来训练模型。整个建模流程不会使用客户数据,因此不存在隐私问题。此训练生成的预训练模型随ONTAP一起提供。但无法通过ONTAP CLI 或ONTAP API 访问或修改此模型。
使用ARP/AI,就没有学习期。对于以下受支持的卷类型,ARP/AI 在安装或升级后立即激活:
-
NAS FlexVol卷,支持ONTAP 9.16.1 及更高版本
-
NAS FlexGroup卷, ONTAP9.18.1 及更高版本
-
使用ONTAP 9.17.1 及更高版本的 SAN 卷(立即激活,即使在期间)"评估期" )
对于已启用 ARP 功能的现有卷和新卷,将集群升级到支持 ARP/AI 的ONTAP版本后,ARP/AI 保护将自动激活。
为了持续提供针对最新勒索软件威胁的最新保护,ARP/AI 提供频繁的自动更新,这些更新在ONTAP常规升级和发布周期之外进行。如果您"已启用自动更新"在您选择安全文件自动更新后,您也将能够开始接收 ARP/AI 的自动安全更新。您还可以选择"手动进行这些更新"并控制更新发生的时间。
从System Manager.16.1开始、除了系统和固件更新之外、还可以使用ONTAP 9提供ARP/AI的安全更新。
ARP/AI 和 ARP 模型之间的差异一目了然
| 功能 | ARP | ARP/AI |
|---|---|---|
ONTAP 版本 |
ONTAP 9.10.1-9.15.1 |
ONTAP 9.16.1 和更高版本;9.15.1(技术预览) |
检测方法 |
分析文件活动、数据熵和文件扩展名类型 |
在大型取证数据集上训练的人工智能/机器学习模型;分析熵和文件行为 |
学习期 |
NAS FlexVol 卷需要 30 天学习模式(9.13.1 及更高版本中提供自动切换) |
无学习期;启用后立即激活 |
卷类型支持 |
|
|
Snapshot 创建 |
由高熵、新文件扩展名或文件操作浪涌触发 |
以固定的 4 小时间隔创建,并在攻击确认时创建 |
Snapshot 保留 |
保留至管理员清除可疑活动 |
12 小时默认值;根据攻击确认延长(误报 24 小时,确认为阳性 7 天) |
更新 |
静态检测逻辑(仅通过 ONTAP 升级更新) |
独立于 ONTAP 版本的自动安全更新 |
部署 |
每个卷的手动启用或 SVM 级别的默认设置 |
手动启用每个卷或 SVM 级别的默认设置;在 9.18.1 及更高版本中支持的系统上,在集群级别的所有新卷上默认启用 |
评估期间 |
不适用 |
SAN 卷(2-4 周)需要建立基准加密阈值 |