Protección de los datos con la protección autónoma contra el ransomware - FSx para ONTAP
Cómo funciona ARPQué busca ARPCómo responder ante un presunto ataque con ARP

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de los datos con la protección autónoma contra el ransomware

La protección autónoma contra el ransomware (ARP) es una característica de NetApp ONTAP impulsada por la IA que monitorear y protege sus datos contra los ataques de ransomware y malware en caso de que sus clientes de Windows o Linux se vean comprometidos. Mediante machine learning, ARP se familiariza con los sistemas de archivos de FSx para ONTAP para que detecten proactivamente actividades anormales. El ARP está disponible para todos los sistemas de archivos de FSx para ONTAP nuevos y existentes en todos los lugares donde Amazon FSx para NetApp ONTAP de Regiones de AWS esté disponible.

Cómo funciona ARP

Puede habilitar el ARP por volumen o de forma predeterminada en todos los volúmenes nuevos de una SVM mediante la CLI de ONTAP o la API de REST. Para obtener más información acerca de la habilitación de ARP, consulte Habilitar la protección autónoma contra el ransomware.

Como la IA de ARP se entrena en un conjunto de datos completo, no necesita un período de aprendizaje para que ARP se ejecute en los Volúmenes de FlexVol y, por lo tanto, comienza en modo activo de inmediato. La IA de ARP también incluye una característica de actualización automática para garantizar una protección y resiliencia constantes contra las amenazas más recientes. En el modo activo, ARP monitorea los datos entrantes y la actividad del volumen para identificar posibles ataques de ransomware y malware. Para obtener más información, consulte Qué busca ARP. Si ARP detecta alguna actividad anómala, se crea automáticamente una instantánea de ONTAP para ayudarle a recuperar los datos lo más cerca posible del momento del posible ataque. La instantánea tendrá el prefijo de Anti_ransomware_backup, por lo que es fácil de identificar. Si se determina que la probabilidad de ataque es moderada, ONTAP generará un mensaje del Sistema de administración de Eventos (EMS) para que lo revise. Para obtener más información, consulte Cómo responder ante un presunto ataque con ARP y Comprenda las alertas de EMS para la protección autónoma contra el ransomware.

La sobrecarga de rendimiento del ARP es mínima para la mayoría de las cargas de trabajo. Si sus volúmenes tienen cargas de trabajo de lectura intensiva, NetApp recomienda proteger no más de 150 volúmenes de este tipo por sistema de archivos. Si supera este número, las IOPS para esa carga de trabajo podrían reducirse hasta un 4 %. Si sus volúmenes tienen cargas de trabajo de escritura intensiva, NetApp recomienda proteger no más de 60 volúmenes de este tipo por sistema de archivos. De lo contrario, las IOPS de esa carga de trabajo podrían reducirse hasta un 10 %. Para obtener más información acerca del desempeño, consulte Desempeño de Amazon FSx para NetApp ONTAP.

La activación de ARP en su sistema de archivos de FSx para ONTAP no conlleva ningún coste adicional.

Qué busca ARP

ARP busca señales de que sus clientes de Windows o Linux están en peligro. En particular, ARP busca los siguientes tipos de actividad en el volumen:

  • Cambios en la entropía, es decir, diferencias en la asignación al azar de los datos de un archivo.

  • Cambios en los tipos de extensión de archivo, lo que significa que la nueva extensión no es coherente con el tipo de extensión que se utiliza normalmente. El valor predeterminado es de 20 archivos con extensiones de archivo que no se habían observado anteriormente en el volumen.

  • Cambios en las IOPS de los archivos, lo que se traduce en un aumento de la actividad anormal del volumen de datos cifrados.

Si es necesario, puede modificar los parámetros de detección de ransomware de su volumen. Por ejemplo, si su volumen aloja muchos tipos de extensiones de archivo. Para obtener más información, consulte administrar los parámetros de detección de la protección autónoma contra ransomware para FSx para ONTAP en el Centro de documentación de NetApp.

nota

El ARP no impide que administradores deshonestos con credenciales accedan a su sistema de archivos de FSx para ONTAP. AWS recomienda un enfoque de seguridad por capas que incluya AWS Backup, instantáneas de ONTAP y SnapLock.

Cómo responder ante un presunto ataque con ARP

Si el ARP detecta un ataque, generará una instantánea que se puede utilizar como punto de recuperación. La instantánea está bloqueada y no se puede eliminar por los medios convencionales. Según la gravedad del ataque, también generará una alerta EMS que muestra el volumen afectado, la probabilidad de ataque y la cronología del ataque. Si desea recibir alertas sobre la creación de una nueva instantánea o la observación de una nueva extensión de archivo en su volumen, puede configurar el ARP para que envíe estas alertas. Para obtener más información, consulte Configurar alertas ARP en el Centro de documentación de NetApp ONTAP.

Puede generar un informe para ver información detallada sobre un presunto ataque. Tras revisar el informe, ONTAP podrá saber si la alerta se generó por un falso positivo o por un presunto ataque. Si etiqueta la alerta como un presunto ataque, debe determinar el alcance del ataque y, a continuación, recuperar los datos de la instantánea creada por el ARP. Si etiqueta el ataque como un falso positivo, la instantánea creada por el ARP se elimina automáticamente. Para obtener más información, consulte Responder a las alertas de protección autónoma contra el ransomware.

Le recomendamos que monitores los mensajes EMS del sistema de archivos y el estado de los volúmenes en la CLI de ONTAP y la API de REST. Para más información acerca de los mensajes EMS para ARP, consulte Comprenda las alertas de EMS para la protección autónoma contra el ransomware.

Temas