Proteger seus dados com a Proteção Autônoma de Ransomware - FSx para ONTAP
Como a ARP funcionaO que a ARP buscaComo responder a um ataque suspeito com ARP

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteger seus dados com a Proteção Autônoma de Ransomware

A proteção autônoma contra ransomware (ARP) é um atributo do NetApp ONTAP baseado em IA que monitora e protege seus dados contra ataques de ransomware e malware se seus clientes do Windows ou Linux ficarem comprometidos. Usando machine learning, a ARP se familiariza com seus sistemas de arquivos do FSx para ONTAP para detectar proativamente atividades anormais. A ARP está disponível para todos os sistemas de arquivos novos e existentes do FSx para ONTAP em todas as Regiões da AWS em que o Amazon FSx para NetApp ONTAP está disponível.

Como a ARP funciona

Você pode habilitar a ARP por volume ou, por padrão, em todos os novos volumes em uma SVM usando a CLI do ONTAP ou a API REST. Para obter mais informações sobre como habilitar a ARP, consulte Habilitando a proteção autônoma contra ransomware.

Como a IA da ARP é treinada em um conjunto de dados abrangente, não é necessário realizar um período de aprendizado para que a ARP seja executada em volumes FlexVol e, portanto, ela inicia no modo ativo imediatamente. A IA da ARP também vem com um recurso de atualização automática para garantir proteção e resiliência constantes contra as ameaças mais recentes. No modo ativo, a ARP monitora os dados recebidos e a atividade no volume para identificar possíveis ataques de ransomware e malware. Para obter mais informações, consulte O que a ARP busca. Se a ARP detectar alguma atividade anormal, um snapshot do ONTAP será criado automaticamente para ajudar a recuperar seus dados o mais próximo possível do momento do potencial ataque. O snapshot terá um prefixo de Anti_ransomware_backup, por isso será fácil de identificar. Se for determinado que a probabilidade de ataque é moderada, o ONTAP gerará uma mensagem do Sistema de gerenciamento de eventos (EMS) para você revisar. Para obter mais informações, consulte Como responder a um ataque suspeito com ARP e Entendendo os alertas do EMS para proteção autônoma contra ransomware.

A sobrecarga de desempenho da ARP é mínima para a maioria das workloads. Se seus volumes tiverem workloads de leitura intensiva, o NetApp recomenda proteger no máximo 150 desses volumes por sistema de arquivos. Se você exceder esse número, as IOPS para essa workload poderão ter uma redução de até 4%. Se seus volumes tiverem workloads de gravação intensiva, o NetApp recomenda proteger no máximo 60 desses volumes por sistema de arquivos. Caso contrário, as IOPS dessa workload poderão ter uma redução de até 10%. Para obter mais informações sobre desempenho, consulte Performance do Amazon FSx para NetApp ONTAP.

Não há custo adicional para habilitar a ARP no sistema de arquivos do FSx para ONTAP.

O que a ARP busca

A ARP procura indícios de que seus clientes do Windows ou Linux estejam comprometidos. Especificamente, a ARP busca os tipos de atividade do volume a seguir:

  • Mudanças na entropia, o que significa diferenças na aleatoriedade dos dados em um arquivo.

  • Alterações nos tipos de extensão de arquivo, o que significa que a nova extensão não é consistente com o tipo de extensão normalmente usado. O padrão é 20 arquivos com extensões de arquivo não observadas anteriormente no volume.

  • Alterações nas IOPS de arquivos, o que resulta em um aumento na atividade anormal do volume com dados criptografados.

Você pode modificar os parâmetros de detecção de ransomware do seu volume, se necessário. Por exemplo, se seu volume hospeda vários tipos de extensões de arquivo. Para obter mais informações, consulte Gerenciar os parâmetros de detecção de ataques do ONTAP Autonomous Ransomware Protection no Centro de Documentação do NetApp.

nota

A ARP não impede que administradores desonestos com credenciais acessem seu sistema de arquivos do FSx para ONTAP. A AWS recomenda uma abordagem de segurança em camadas, que incluem AWS Backup, snapshots do ONTAP e SnapLock.

Como responder a um ataque suspeito com ARP

Se a ARP detectar um ataque, gerará um snapshot que pode ser usado como ponto de recuperação. O snapshot está bloqueado e não pode ser excluído de modo habitual. Dependendo da gravidade do ataque, ele também gerará um alerta EMS que mostra o volume afetado, a probabilidade do ataque e o cronograma do ataque. Se quiser receber alertas para a criação de um novo snapshot ou a observação de uma nova extensão de arquivo em seu volume, você pode configurar a ARP para enviar esses alertas. Para obter mais informações, consulte Configurar alertas da ARP na Central de documentação do NetApp.

Você pode gerar um relatório para visualizar informações detalhadas sobre uma suspeita de ataque. Depois de analisar o relatório, você pode indicar ao ONTAP se o alerta foi gerado por um falso positivo ou por um ataque suspeito. Se você rotular o alerta como um ataque suspeito, deverá determinar o escopo do ataque e depois recuperar os dados do snapshot criado pela ARP. Se você rotular o ataque como falso positivo, o snapshot criado pela ARP será automaticamente excluído. Para obter mais informações, consulte Respondendo aos alertas da Autonomous Ransomware Protection.

Recomendamos monitorar as mensagens EMS do seu sistema de arquivos e o status dos seus volumes na ONTAP CLI e na API REST. Para obter mais informações sobre mensagens do EMS para a ARP, consulte Entendendo os alertas do EMS para proteção autônoma contra ransomware.

Tópicos