自主勒索软件保护(ARP)是自9.10.1以来另一种内置的本机ONTAP解决方案、它关注NAS存储卷工作负载文件活动和数据熵、以自动检测潜在的勒索软件。ARP为管理员提供实时检测、洞察力和数据恢复点、实现前所未有的机载潜在勒索软件检测。

对于支持ONTAP 9的ARP.151及更早版本、ARP将从学习模式开始学习典型的工作负载数据活动。对于大多数环境、此操作可能需要七天时间。学习模式完成后、ARP将自动切换到活动模式、并开始查找可能是勒索软件的异常工作负载活动。

如果检测到异常活动、则会立即自动创建Snapshot副本、这将提供一个尽可能接近攻击时间的恢复点、并且受感染数据最少。同时、系统会生成一个自动警报(可配置)、允许管理员查看异常文件活动、以便确定该活动是否确实是恶意活动并采取适当措施。

如果活动是预期工作负载、管理员可以轻松地将其标记为误报。ARP将此变化视为正常工作负载活动、不再将其标记为未来的潜在攻击。

要启用ARP、"ONTAP One"需要许可证。

ARP/AI作为技术预览在ONTAP 9 15.1中推出、将NAS存储系统机载实时检测提升到一个新的水平。由AI提供支持的全新检测技术针对超过100万个文件和各种已知勒索软件攻击进行了训练。除了ARP中使用的信号之外、ARP/AI还会检测报头加密。AI的功率和附加信号使ARP/AI的检测精度超过99%。这已经过SE Labs的验证、SE Labs是一家独立的测试实验室、为ARP/AI提供了最高的AAA评级。

由于训练模型会在云中持续进行、因此ARP/AI不需要学习模式。它在打开时即处于活动状态。持续培训还意味着ARP/AI始终可以在新出现的勒索软件攻击类型中进行验证。ARP/AI还附带自动更新功能、可为所有客户提供新参数、以使勒索软件检测保持最新。ARP的所有其他检测、洞察和数据恢复点功能均为ARP/AI保留。

要启用ARP/AI、"ONTAP One"需要许可证。