Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

自主勒索軟體保護總覽

貢獻者
PDF

從功能性的S廳9.10.1開始ONTAP 、自發勒索軟體保護(Arp)功能會在NAS(NFS和SMB)環境中使用工作負載分析功能、主動偵測可能表示勒索軟體攻擊的異常活動、並提出警示。

當懷疑有攻擊時、除了現有的Snapshot複本保護措施之外、Arp也會建立新的Snapshot複本。

授權與能力

ARP 需要授權。ARP 可與搭配使用 "ONTAP One 授權"。如果您沒有 ONTAP One 授權、則可使用其他授權來使用 ARP 、視您的 ONTAP 版本而定。

發行版ONTAP 授權

更新版本ONTAP

anti-勒索 軟體

零點9.10.1 ONTAP

Mt_E_Mgmt(多租戶金鑰管理)

  • 如果您要升級ONTAP 至VMware 9.11.1或更新版本、且系統上已設定了Arp、則不需要購買新的勒索軟體授權。對於新的ARP組態、需要新的授權。

  • 如果您要從ONTAP VMware版本9.11.1或更新版本還原ONTAP 至VMware版本9.10.1、且已啟用具有反勒索軟體授權的Arp、您將會看到一則警告訊息、可能需要重新設定Arp。 "瞭解如何還原Arp"

您可以使用系統管理員或 ONTAP CLI 、以每個磁碟區為基礎來設定 ARP 。

勒索軟體保護策略ONTAP

有效的勒索軟體偵測策略應包含多個單一保護層。

類似的例子是車輛的安全功能。您不需要仰賴單一功能、例如安全帶、即可在意外中完全保護您的安全。安全袋、防鎖定煞車和前方撞擊警示都是額外的安全功能、可帶來更好的結果。勒索軟體保護應以相同方式檢視。

雖然 ONTAP 包含 FPolicy 、 Snapshot 複本、 SnapLock 和 Active IQ Digital Advisor 等功能、可協助防範勒索軟體、但下列資訊著重於具備機器學習能力的 ARP 隨裝即用功能。

若要深入瞭解 ONTAP 的其他反勒索軟體功能、請參閱 "TR-4572:NetApp勒索軟體解決方案。"

ARP 偵測到什麼

ARP 旨在防範阻斷服務攻擊、攻擊者會在支付贖金之前、先竊取資料。ARP 會根據下列條件提供反勒索軟體偵測:

  • 將傳入資料識別為加密或純文字。

  • 偵測到的分析

    • Entropy :評估檔案中資料的隨機性

    • 檔案副檔名類型 :不符合一般副檔名類型的副檔名

    • 檔案 IOPS :資料加密的異常 Volume 活動激增(從 ONTAP 9.11.1 開始)

在僅加密少數檔案、自動採取行動保護資料、並在發生可疑攻擊時發出警示、因此、ARP可以偵測大多數勒索軟體攻擊的擴散。

註 任何勒索軟體偵測或預防系統都無法完全保證勒索軟體攻擊的安全性。雖然攻擊可能無法被偵測到、但如果防毒軟體無法偵測到入侵、 ARP 就會成為重要的額外防禦層。

學習和作用中模式

ARP 有兩種模式:

  • * 學習 * (或「乾跑」模式)

  • * Active * (或「啟用」模式)

當您啟用 ARP 時、它會以 _ 學習模式 _ 執行。在學習模式中、 ONTAP 系統會根據分析領域來開發警示設定檔: Entropy 、檔案副檔名類型和檔案 IOPS 。在學習模式下執行Arp並有足夠時間評估工作負載特性之後、您可以切換至作用中模式、開始保護資料。一旦 ARP 切換至作用中模式、 ONTAP 就會建立 ARP Snapshot 複本、以便在偵測到威脅時保護資料。

建議您將 ARP 留在學習模式 30 天。從 ONTAP 9.13.1 開始、 ARP 會自動判斷最佳學習期間間隔、並將交換器自動化、這可能會在 30 天前發生。

在作用中模式中、如果檔案副檔名標示為異常、您應該評估警示。您可以對警示採取行動以保護資料、也可以將警示標記為誤報。將警示標記為誤報會更新警示設定檔。例如、如果警示是由新的副檔名觸發、而您將警示標記為誤判、則下次觀察到該副檔名時、您將不會收到警示。命令 security anti-ransomware volume workload-behavior show 顯示在磁碟區中偵測到的副檔名。(如果您在學習模式早期執行此命令、並顯示正確的檔案類型表示、則不應將該資料當作移至作用中模式的基礎、因為 ONTAP 仍在收集其他計量。)

從 ONTAP 9.11.1 開始、您可以自訂 ARP 的偵測參數。如需詳細資訊、請參閱 管理 ARP 攻擊偵測參數

威脅評估與 ARP Snapshot 複本

在作用中模式中、 ARP 會根據從學習到的分析中測得的傳入資料來評估威脅可能性。當 ARP 偵測到威脅時、就會指派測量值:

  • :磁碟區最早偵測到異常狀況(例如、磁碟區中觀察到新的副檔名)。

  • 中度 :觀察到多個檔案副檔名之前從未見過的檔案。

    • 在 ONTAP 9.10.1 中、向上提報至中度的臨界值為 100 個以上的檔案。從 ONTAP 9.11.1 開始、檔案數量可修改、預設值為 20 。

在威脅較低的情況下、 ONTAP 會偵測異常狀況、並建立磁碟區的 Snapshot 複本、以建立最佳的還原點。ONTAP 會使用預先填入 ARP Snapshot 複本的名稱 Anti-ransomware-backup 例如、讓它易於識別 Anti_ransomware_backup.2022-12-20_1248

ONTAP 執行分析報告、判斷異常狀況是否與勒索軟體設定檔相符、威脅就會升級至中度。低層級的威脅會記錄下來、並顯示在 System Manager 的 EventS 區段中。當攻擊可能性中等時、 ONTAP 會產生 EMS 通知、提示您評估威脅。ONTAP 不會傳送低威脅的警示、但您可以從 ONTAP 9.14.1 開始 修改警示設定。如需詳細資訊、請參閱 回應異常活動

您可以在 System Manager 的「 事件」 區段或與一起檢視威脅的相關資訊、無論其層級為何 security anti-ransomware volume show 命令。

ARP Snapshot 複本會保留至少兩天。從 ONTAP 9.11.1 開始、您可以修改保留設定。如需詳細資訊、請參閱 修改 Snapshot 複本選項

如何在ONTAP 勒索軟體攻擊後恢復資料

如果懷疑有攻擊、系統會在該時間點製作Volume Snapshot複本、並鎖定該複本。如果稍後確認攻擊、則可使用 ARP Snapshot 複本還原磁碟區。

鎖定的Snapshot複本無法以正常方式刪除。不過、如果您稍後決定將攻擊標示為誤判、則鎖定的複本將會刪除。

在瞭解受影響的檔案和攻擊時間之後、您可以選擇性地從各種 Snapshot 複本恢復受影響的檔案、而不只是將整個 Volume 還原為 Snapshot 複本之一。

因此、Arp建置在獲證實ONTAP 的資料保護和災難恢復技術之上、以因應勒索軟體攻擊。如需恢復資料的詳細資訊、請參閱下列主題。