瞭解 ONTAP 中的自主勒索軟體保護
建議變更
PDF
從功能性的S廳9.10.1開始ONTAP 、自發勒索軟體保護(Arp)功能會在NAS(NFS和SMB)環境中使用工作負載分析功能、主動偵測可能表示勒索軟體攻擊的異常活動、並提出警示。當懷疑有攻擊時,除了排程快照所提供的現有保護之外, ARP 也會建立新的快照。
人工智慧的自主勒索軟體保護( ARP/AI )
從 ONTAP 9 0.16.1 開始, ARP 採用機器學習模式來進行反勒索軟體分析,以偵測持續演變的勒索軟體形式,準確度達 99% ,藉此改善網路恢復能力。在模擬勒索軟體攻擊之前和之後, ARP 的機器學習模式都會預先訓練大型檔案資料集。這項資源密集的訓練是在 ONTAP 以外進行,但本訓練的學習內容是用於 ONTAP 內部的模型。
如果使用 ARP/AI 和 FlexVol 磁碟區,則沒有學習週期。ARP/AI 會在安裝後立即以作用中模式開始,或升級至 9.16 。將叢集升級至 ONTAP 9 。 16.1 之後,如果已經為現有和新的 FlexVol 磁碟區啟用了 ARP ,就會自動啟用 ARP/AI 。
為了持續提供最新的勒索軟體威脅防護, ARP/AI 經常會在定期 ONTAP 升級與發行時程之外進行自動更新。如果您有"已啟用自動更新",則在您選取安全性檔案的自動更新之後,也可以開始接收 ARP/AI 的自動安全性更新。您也可以選擇手動進行這些更新,並在更新發生時加以控制。
從 ONTAP 9 。 16.1 開始,除了系統和韌體更新之外,還可使用系統管理員來提供 ARP/AI 的安全性更新。
|
ARP/AI 功能目前僅支援 NAS 。雖然自動更新功能會顯示系統管理員中部署的新安全檔案可用度,但這些更新僅適用於 NAS 工作負載保護。 |
授權與能力
中包含 ARP 支援"ONTAP One 授權"。如果您沒有 ONTAP One 授權,則其他授權可用於不同版本的 ONTAP 。
| 發行版ONTAP | 授權 |
|---|---|
更新版本ONTAP |
anti-勒索 軟體 |
零點9.10.1 ONTAP |
Mt_E_Mgmt(多租戶金鑰管理) |
-
如果您要從 ONTAP 9 . 10.1 升級至 ONTAP 9 . 11.1 或更新版本,且系統上已設定 ARP ,則不需要安裝新的防勒索軟體授權。對於新的ARP組態、需要新的授權。
-
如果您要從ONTAP VMware版本9.11.1或更新版本還原ONTAP 至VMware版本9.10.1、且已啟用具有反勒索軟體授權的Arp、您將會看到一則警告訊息、可能需要重新設定Arp。
勒索軟體保護策略ONTAP
有效的勒索軟體偵測策略應包含多個單一保護層。
類似的例子是車輛的安全功能。您不需要仰賴單一功能、例如安全帶、即可在意外中完全保護您的安全。安全袋、防鎖定煞車和前方撞擊警示都是額外的安全功能、可帶來更好的結果。勒索軟體保護應以相同方式檢視。
雖然 ONTAP 包含 FPolicy , Snapshot , SnapLock 和 Active IQ 數位顧問(也稱為數位顧問)等功能,可協助防範勒索軟體,但下列資訊著重於具備機器學習能力的 ARP 隨裝功能。
若要深入瞭解 ONTAP 的其他反勒索軟體功能、請參閱"勒索軟體和 NetApp 的保護產品組合"。
ARP 偵測到什麼
ARP 旨在防範阻斷服務攻擊、攻擊者會在支付贖金之前、先竊取資料。ARP 會根據下列項目提供即時勒索軟體偵測:
-
將傳入資料識別為加密或純文字。
-
可偵測下列項目的分析:
-
Entropy :評估檔案中資料的隨機性
-
檔案副檔名類型 :不符合一般副檔名類型的副檔名
-
檔案 IOPS :資料加密的異常 Volume 活動激增(從 ONTAP 9.11.1 開始)
-
在僅加密少數檔案、自動採取行動保護資料、並在發生可疑攻擊時發出警示、因此、ARP可以偵測大多數勒索軟體攻擊的擴散。
|
任何勒索軟體偵測或預防系統都無法完全保證勒索軟體攻擊的安全性。雖然攻擊可能無法被偵測到、但如果防毒軟體無法偵測到入侵、 ARP 就會成為重要的額外防禦層。 |
學習和作用中模式
ARP 有兩種模式:
-
* 學習模式 * (或「幹跑」模式)
-
* 作用中模式 * (或「啟用」模式)
對於所有與 ONTAP 9 . 10.1 至 9 . 15.1 一起運行的 ARP 以及用於. 16.1 的 FlexGroup 卷的 ARP ,當您啓用 ONTAP 9 時,它將以 _ 學習模式 _ 運行。在學習模式中、 ONTAP 系統會根據分析領域來開發警示設定檔: Entropy 、檔案副檔名類型和檔案 IOPS 。在學習模式下執行Arp並有足夠時間評估工作負載特性之後、您可以切換至作用中模式、開始保護資料。
建議您將 ARP 留在學習模式 30 天。從 ONTAP 9 。 13.1 開始, ARP 會自動判斷最佳學習時間間隔,並自動執行交換器,這可能會在 30 天之前發生。
|
命令 `security anti-ransomware volume workload-behavior show`會顯示已在磁碟區中偵測到的副檔名。如果您在學習模式早期執行此命令,並顯示正確的檔案類型呈現,則不應將該資料當作移至作用中模式的基礎,因為 ONTAP 仍在收集其他計量。 |
對於以 ONTAP 9 . 10.1 至 9.15.1 執行的 ARP ,在最佳學習時間間隔結束後, ARP 會切換至 active modes 。從 ONTAP 9 。 16.1 開始,就沒有 FlexVol 磁碟區使用 ARP 的學習週期。FlexVol 磁碟區上的 ARP/AI 會在安裝或升級至 9.16.1 之後立即以作用中模式開始。如果您使用的是 ONTAP 9 。 16.1 和 FlexGroup 磁碟區的 ARP ,則在轉換至作用中模式之前,仍需要一個學習期間。
在 ARP 切換至作用中模式之後, ONTAP 會建立 ARP 快照,以在偵測到威脅時保護資料。
在作用中模式中、如果檔案副檔名標示為異常、您應該評估警示。您可以對警示採取行動以保護資料、也可以將警示標記為誤報。將警示標記為誤報會更新警示設定檔。例如、如果警示是由新的副檔名觸發、而您將警示標記為誤判、則下次觀察到該副檔名時、您將不會收到警示。
|
|
從 ONTAP 9.11.1 開始、您可以自訂 ARP 的偵測參數。如需詳細資訊、請參閱 管理 ARP 攻擊偵測參數。 |
威脅評估和 ARP 快照
在作用中模式中、 ARP 會根據從學習到的分析中測得的傳入資料來評估威脅可能性。當 ARP 偵測到威脅時、就會指派測量值:
-
* 低 * :磁碟區最早偵測到異常(例如,在磁碟區中觀察到新的副檔名)。此偵測層級僅適用於 ONTAP 9 。 16.1 之前的版本,但沒有 ARP/AI 。
-
* 中度 * :觀察到多個檔案副檔名之前從未見過的檔案。
-
在 ONTAP 9.10.1 中、向上提報至中度的臨界值為 100 個以上的檔案。
-
從 ONTAP 9.11.1 開始、檔案數量可修改、預設值為 20 。
-
在威脅較低的情況下, ONTAP 會偵測到異常狀況,並建立磁碟區快照,以建立最佳的恢復點。ONTAP 會將 ARP 快照的名稱預先加上 Anti-ransomware-backup,以便於識別;例如 Anti_ransomware_backup.2022-12-20_1248。
ONTAP 執行分析報告、判斷異常狀況是否與勒索軟體設定檔相符、威脅就會升級至中度。低層級的威脅會記錄下來、並顯示在 System Manager 的 EventS 區段中。當攻擊可能性中等時、 ONTAP 會產生 EMS 通知、提示您評估威脅。ONTAP 不會傳送低威脅的警示、但您可以從 ONTAP 9.14.1 開始 修改警示設定。如需詳細資訊、請參閱 回應異常活動。
您可以在 System Manager 的「事件 * 」區段或命令中,檢視任何層級的威脅相關資訊 security anti-ransomware volume show。
個別的 ARP 快照會保留兩天。如果有多個 ARP 快照,預設會保留五天。從 ONTAP 9.11.1 開始、您可以修改保留設定。如需更多資訊、請參閱 修改快照選項。
如何在ONTAP 勒索軟體攻擊後恢復資料
當懷疑有攻擊時,系統會在該時間點擷取磁碟區快照,並鎖定該複本。如果稍後確認攻擊,則可使用 ARP 快照還原磁碟區。
無法正常刪除鎖定的快照。不過、如果您稍後決定將攻擊標示為誤判、則鎖定的複本將會刪除。
瞭解受影響的檔案和攻擊時間後,您可以選擇性地從各種快照中復原受影響的檔案,而不只是將整個磁碟區還原為其中一個快照。
因此、Arp建置在獲證實ONTAP 的資料保護和災難恢復技術之上、以因應勒索軟體攻擊。如需恢復資料的詳細資訊、請參閱下列主題。
ARP 的多管理驗證保護
從 ONTAP 9.13.1 開始、我們建議您啟用多重管理驗證( MAV )、以便在進行自主勒索軟體保護( ARP )組態時、需要兩個或更多已驗證的使用者管理員。如需更多資訊、請參閱 "啟用多重管理驗證"。