瞭解 ONTAP 自主勒索軟體保護
建議變更
PDF
從ONTAP 9.10.1 開始, ONTAP管理員可以啟用自主勒索軟體防護 (ARP) 功能,在 NAS(NFS 和 SMB)環境中執行工作負載分析,從而主動偵測並警告可能預示勒索軟體攻擊的異常活動。從ONTAP 9.17.1 開始,ARP 也支援區塊設備卷,包括包含 LUN 的 SAN 卷,或包含來自 VMware、Hyper-V 和 KVM 等虛擬機器管理程式的虛擬磁碟的 NAS 卷。
ARP 直接內建於 ONTAP 中,確保與 ONTAP 的其他功能實現整合控制和協調。 ARP即時運行,在檔案系統中寫入或讀取資料時進行處理,並快速偵測和回應潛在的勒索軟體攻擊。
ARP 會定期建立鎖定快照,並根據計畫建立快照,以增強保護。它會智慧地管理快照的保留時長。如果未偵測到異常活動,則會快速回收快照。但是,如果偵測到攻擊,則會將攻擊開始前建立的快照保留更長時間。
授權與能力
ARP 支援包含在"ONTAP One 授權" 。如果您沒有ONTAP One 許可證,則可以使用其他許可證來用於 ARP,具體取決於您的ONTAP版本。
| 發行版ONTAP | 授權 |
|---|---|
更新版本ONTAP |
|
零點9.10.1 ONTAP |
|
-
如果您要從ONTAP 9.10.1 升級到ONTAP 9.11.1 或更高版本,且系統上已設定 ARP,則無需安裝新的 `Anti-ransomware`許可證。對於新的 ARP 配置,需要新的許可證。
-
如果您從ONTAP 9.11.1 或更高版本還原到ONTAP 9.10.1,並且已使用 Anti_ransomware 授權啟用 ARP,您將看到警告訊息,可能需要重新設定 ARP。"瞭解如何還原Arp" 。
勒索軟體保護策略ONTAP
有效的勒索軟體偵測策略應包含多個單一保護層。
類似的例子是車輛的安全功能。您不需要仰賴單一功能、例如安全帶、即可在意外中完全保護您的安全。安全袋、防鎖定煞車和前方撞擊警示都是額外的安全功能、可帶來更好的結果。勒索軟體保護應以相同方式檢視。
雖然ONTAP包含 FPolicy、快照、 SnapLock和Active IQ Digital Advisor (也稱為Digital Advisor)等功能來幫助防禦勒索軟體,但以下資訊重點介紹具有機器學習功能的 ARP 功能。
若要詳細了解NetApp產品組合中防範勒索軟體的其他功能,請參閱"勒索軟體和 NetApp 的保護產品組合" 。
ARP 偵測到什麼
ONTAP ARP 旨在防禦拒絕服務攻擊,即攻擊者扣留資料直至支付贖金。 ARP基於以下方式提供即時勒索軟體偵測:
-
將傳入資料識別為加密或純文字。
-
可偵測下列項目的分析:
-
熵:(用於 NAS 和 SAN)對文件中資料隨機性的評估
-
檔案副檔名類型:(僅在 NAS 中使用)不符合預期副檔名類型的檔案副檔名
-
檔案 IOPS:(僅在ONTAP 9.11.1 開始的 NAS 中使用)資料加密時異常卷活動激增
-
ARP 只需少量檔案被加密即可偵測到大多數勒索軟體攻擊的傳播,自動回應以保護數據,並提醒您疑似攻擊正在發生。
|
任何勒索軟體偵測或預防系統都無法完全保證勒索軟體攻擊的安全性。雖然攻擊可能無法被偵測到、但如果防毒軟體無法偵測到入侵、 ARP 就會成為重要的額外防禦層。 |
了解 ARP 模式
為磁碟區啟用 ARP 後,它會經歷兩種不同的模式。 ARP使用學習或評估期來建立正常工作負載行為的基準。在此期間,ARP 會分析系統指標以產生警報配置文件,然後再啟用主動保護。 ARP轉換為主動偵測模式後,它會開始即時監控異常活動,並在偵測到異常行為時自動採取保護措施並產生警報。
對於 ARP,學習模式和主動模式行為因ONTAP版本、磁碟區類型和協定(NAS 或 SAN)而異。
NAS 環境和模式類型
NAS 環境使用學習和主動模式。對於ARP/AI從ONTAP 9.16.1 開始在 NAS 環境中運作時,當 ARP 與FlexVol磁碟區一起使用時沒有學習期。
下表總結了ONTAP 9.10.1 與 NAS 環境的更高版本之間的差異。
| 模式 | 說明 | 卷類型和版本 | ||
|---|---|---|---|---|
學習 |
對於ONTAP 9.15.1 到 9.10.1 版本,啟用 ARP 後,ARP 會自動設定為學習模式。在學習模式下, ONTAP系統會根據以下分析領域(熵、檔案副檔名類型和檔案 IOPS)制定警報設定檔。建議您將 ARP 保持在學習模式 30 天。從ONTAP 9.13.1 開始,ARP 會自動確定最佳學習間隔並自動切換,切換可能在 30 天之前完成。對於ONTAP 9.13.1 之前的版本,您可以手動進行切換。
|
|
||
積極的 |
在學習模式下執行 ARP 足夠長的時間以評估工作負載特徵後,您可以切換到主動模式並開始保護資料。從ONTAP 9.13.1 開始,ARP 會自動確定最佳學習間隔並自動切換,切換可能在 30 天之前完成。 在ONTAP 9.10.1 到 9.15.1 版本中,ARP 會在最佳學習期結束後切換到主動模式。 ARP切換到主動模式後,如果偵測到威脅, ONTAP會建立 ARP 快照來保護資料。 在主動模式下,如果檔案副檔名被標記為異常,您應該評估該警報。您可以根據警報採取行動來保護數據,也可以將警報標記為誤報。將警報標記為誤報會更新警報設定檔。例如,如果警報是由新的檔案副檔名觸發的,並且您將警報標記為誤報,則下次觀察到該檔案副檔名時,您將不會收到警報。 |
所有支援的ONTAP版本以及FlexVol和FlexGroup卷 |
SAN 環境和模式類型
SAN 環境會使用評估期(類似 NAS 環境中的學習模式),然後自動過渡到主動偵測。下表總結了評估模式和主動模式。
| 模式 | 說明 | 卷類型和版本 |
|---|---|---|
評估 |
會進行為期兩到四週的評估期,以確定基線加密行為。您可以透過運行 |
|
積極的 |
評估期結束後,您可以透過運行 |
|
威脅評估和 ARP 快照
ARP 根據學習分析測量的傳入資料來評估威脅機率。當 ARP 偵測到異常時,會分配一個測量值。快照可能會在檢測時或定期分配。
ARP 閾值
-
* 低 * :磁碟區最早偵測到異常(例如,在磁碟區中觀察到新的副檔名)。此偵測層級僅適用於 ONTAP 9 。 16.1 之前的版本,但沒有 ARP/AI 。
-
從ONTAP 9.11.1 開始,您可以"自訂ARP檢測參數" 。
-
在 ONTAP 9.10.1 中、向上提報至中度的臨界值為 100 個以上的檔案。
-
-
中:偵測到高熵,或觀察到多個具有相同前所未見檔案副檔名的檔案。這是ONTAP 9.16.1 及更高版本中帶有 ARP/AI 的基準檢測等級。
當ONTAP運行分析報告確定異常是否與勒索軟體設定檔匹配時,威脅會升級為中等。當攻擊機率為中等時, ONTAP會產生 EMS 通知,提示您評估威脅。 ONTAPONTAP 不會傳送關於低威脅的警示;但是,從 ONTAP 9.14.1 開始,您可以 "修改預設警報設定"。"回應異常活動" 。
您可以在 System Manager 的 * 事件 * 區段或命令中檢視中度威脅的相關資訊 security anti-ransomware volume show。在 ONTAP 9.16.1 之前的版本中,如果沒有 ARP/AI ,也可以使用命令來檢視低威脅事件 security anti-ransomware volume show。如"指令參考資料ONTAP"需詳細 `security anti-ransomware volume show`資訊,請參閱。
ARP快照
在ONTAP 9.16.1 及更早版本中,ARP 會在偵測到攻擊的早期跡象時建立快照。然後進行詳細分析,以確認或排除潛在攻擊。由於 ARP 快照是主動創建的,即使在攻擊得到完全確認之前,某些合法應用程式也可能定期產生快照。這些快照的存在不應被視為異常。如果確認了攻擊,則攻擊機率將升級為 Moderate ,並產生攻擊通知。
從ONTAP 9.17.1 開始,NAS 和 SAN 磁碟區都會定期產生 ARP 快照。 ONTAPONTAP在 ARP 快照前新增一個名稱,以便於識別。
從ONTAP 9.11.1 開始,您可以修改保留設定。有關更多信息,請參閱"修改快照選項" 。
下表總結了ONTAP 9.16.1 及更早版本與ONTAP 9.17.1 之間的 ARP 快照差異。
| 功能 | ONTAP 9.16.1 及更早版本 | ONTAP 9.17.1 及更高版本 |
|---|---|---|
建立觸發器 |
快照建立間隔基於觸發器類型。 |
快照每隔 4 小時固定創建一次,與任何特定觸發器無關,並不一定表示發生了攻擊。 |
前綴名稱約定 |
“反勒索軟體備份” |
“反勒索軟體定期備份” |
刪除行為 |
ARP快照被鎖定,管理員無法刪除 |
ARP快照被鎖定,管理員無法刪除 |
最大快照數 |
||
保留期 |
|
快照通常保留 12 小時。
|
明確嫌疑行動 |
管理員可以執行清除嫌疑的操作,該操作根據確認設定保留:
此預防性保留行為在ONTAP 9.16.1 之前不存在 |
管理員可以執行清除嫌疑的操作,該操作根據確認設定保留:
|
到期時間 |
無 |
所有快照均設定了到期時間 |
如何在ONTAP 勒索軟體攻擊後恢復資料
ARP 基於成熟的ONTAP資料保護和災難復原技術,可有效應對勒索軟體攻擊。在ONTAP 9.16.1 及更早版本中,ARP 會在偵測到攻擊的早期跡象時建立鎖定快照;在 ONTAP 9.17.1 及更高版本中,ARP 會定期建立鎖定快照。您需要先確認攻擊是真實攻擊還是誤報。如果您確認有攻擊,則可以使用 ARP 快照復原磁碟區。
無法正常刪除鎖定的快照。不過、如果您稍後決定將攻擊標示為誤判、則鎖定的複本將會刪除。
瞭解受影響的檔案和攻擊時間後,您可以選擇性地從各種快照中復原受影響的檔案,而不只是將整個磁碟區還原為其中一個快照。
有關應對攻擊和恢復資料的更多信息,請參閱以下主題:
ARP 的多管理驗證保護
從 ONTAP 9.13.1 開始,我們建議您啟用多重管理驗證( MAV ),以便在進行自主勒索軟體保護( ARP )組態時,需要兩個或更多已驗證的使用者管理員。如需更多資訊、請參閱 "啟用多重管理驗證"。
人工智慧的自主勒索軟體保護( ARP/AI )
從ONTAP 9.16.1 開始,ARP 採用機器學習模型進行反勒索軟體分析,從而提升了網路彈性。該模型能夠在 NAS 環境中以 99% 的準確率檢測不斷演變的勒索軟體形式。的機器學習模型在模擬勒索軟體攻擊前後都基於大量文件資料集進行了預訓練。這種資源密集的訓練是在ONTAP之外進行的,使用開源取證研究資料集來訓練模型。整個建模流程不會使用客戶數據,因此不存在隱私問題。此訓練產生的預訓練模型隨ONTAP一起提供。但無法透過ONTAP CLI 或ONTAP API 存取或修改此模型。
有了 ARP/AI 和 FlexVol 卷,就沒有學習週期。安裝或升級至 9.16 後,ARP/AI 將立即啟用並處於活動狀態。叢集升級到ONTAP 9.16.1 後,如果現有和新的FlexVol磁碟區已啟用 ARP,則 ARP/AI 將自動啟用。
為了持續提供對最新勒索軟體威脅的最新保護,ARP/AI 提供頻繁的自動更新,這些更新在ONTAP常規升級和發布週期之外進行。如果您"已啟用自動更新"在您選擇安全檔案自動更新後,您也將能夠開始接收 ARP/AI 的自動安全性更新。您也可以選擇"手動進行這些更新"並控制更新發生的時間。
從 ONTAP 9 。 16.1 開始,除了系統和韌體更新之外,還可使用系統管理員來提供 ARP/AI 的安全性更新。