Zabráňte šíreniu ransomvéru pomocou ochrany cez operačný systém ONTAP

Igor Juran

Pre-sales Systems Engineer - NetApp, EC

igor.juran@alef.com

Nová funkcionalita automatickej detekcie ransomvér útoku je súčasťou najnovšieho vydania operačného systému diskových polí NetApp ONTAP.

Každý vie, že ransomvérový útok je jednou z najväčších hrozieb kybernetickej bezpečnosti, ktorej môže organizácia v súčasnosti čeliť. Potenciálne škody nie sú len priamo súvisiace náklady na obnovu (ktoré podľa konzultačnej spoločnosti Sophos medzi rokmi 2019 a 2020 vzrástli o 241 %), je to tiež dopad na povesť a značku spoločnosti. Našťastie, NetApp už roky pomáha svojim zákazníkom chrániť sa pred ransomvérom pri detekcii aj náprave škôd. Súčasné už aj tak silné možnosti ochrany zabudované v operačnom systéme ONTAP robia ďalší krok vpred s ohlásením novej funkcionality automatickej detekcie ransomvér útokov v najnovšej verzii operačného systému NetApp® ONTAP®.

Ochrana proti ransomvéru si vyžaduje viac než len detekciu útoku a preto ONTAP zahŕňa okamžité vytvorenie snapshotu, prerušenie prístupu útočníka k dátam ako aj komplexné možnosti pre obnovu dát a mnoho ďalších. Tento článok je zameraný na detekciu a najnovšie inovácie v operačnom systéme ONTAP.

Viacúrovňová ochrana, správny prístup k detekcii ransomvéru

Je dôležité, aby bol útok ransomvéru rozpoznaný čo najskôr, aby sa zabránilo jeho šíreniu a predišlo sa nákladným výpadkom. Účinná stratégia detekcie ransomvér útoku by však mala zahŕňať viac ako jednu úroveň ochrany. Dobrou analógiou sú bezpečnostné prvky vozidla na ochranu pri kolízii. Nechceli by sme sa spoliehať na jediný prvok, ako je napríklad bezpečnostný pás, že nás úplne ochráni pri nehode. Airbagy, antiblokovací systém (ABS) a dokonca aj varovanie pred prednou zrážkou sú ďalšie bezpečnostné prvky, ktoré môžu viesť k oveľa lepším výsledkom. Na ochranu proti ransomvéru by sa malo pozerať rovnakým spôsobom.

Napríklad NetApp FPolicy (File Policy) v kombinácii s NetApp Cloud Insights alebo podobné funkcie od našich partnerov odvádzajú vynikajúcu prácu pri zisťovaní ransomvér útoku prostredníctvom analýzy správania používateľov. Hľadajú potenciálne ransomvérové ​​útoky z hľadiska práce s dátami z pohľadu  jednotlivých používateľov. Zmocnenie sa jedného používateľského účtu je len jednou z ciest, ktorou sa hacker môže vydať pri spustení ransomvérového útoku ale útočníci neustále zdokonaľujú svoje techniky útokov.

NetApp Active IQ® a Active IQ Unified Manager poskytujú ďalšie úrovne detekcie ransomvéru. Active IQ kontroluje systémy ONTAP z hľadiska dodržiavania osvedčených postupov konfigurácie NetApp, ako je aktivácia FPolicy. Active IQ Unified Manager generuje upozornenia na abnormálny rast kópií Snapshot dát alebo pokles efektivity deduplikácie a komprimácie dát, čo môže naznačovať potenciálne ransomvérové ​​útoky. Tu vstupuje do hry nová funkcia proti ransomvéru v najnovšej verzii ONTAP. Využíva strojové učenie (machine-learning ML), ktoré sleduje aktivitu vyťaženia diskového poľa plus entropiu údajov, na automatickú detekciu ransomvéru. Sleduje anomálie v aktivitách, ktoré sa líšia od bežných činností používateľa, takže môže odhaliť útoky, ktoré využívajú zatiaľ neznáme techniky.

Strojové učenie a automatická detekcia

Anti-ransomvérová ochrana operačného systému ONTAP je poskytovaná ako súčasť softvérového balíka Security and Compliance. Zákazníci, ktorí už balík majú, potrebujú iba inovovať na najnovšiu verziu ONTAP (9.10.1), aby mohli využívať túto funkcionalitu. Funkcionalita je konfigurovateľná prostredníctvom grafického používateľského rozhrania ONTAP - System Manager a je ju možné nastaviť na úrovni jednotlivých volumov. Funkcia anti-ransomware sa spúšťa v režime učenia. NetApp odporúča obdobie aspoň 30 dní, aby mal ML šancu pochopiť typické pracovné zaťaženie na NAS volumoch. Keď sa anti-ransomvér prepne do aktívneho režimu, začne hľadať abnormálnu aktivitu, ktorá by mohla byť ransomvér útokom.

Ak sa zistí abnormálna aktivita, okamžite sa vytvorí snapshot volumu, ktorý poskytuje bod obnovy, ktorý je čo najbližšie k bodu kedy boli súbory napadnuté. Súčasne sa generuje automatické upozornenie, ktoré umožňuje administrátorom vidieť abnormálnu aktivitu na volumoch, aby mohli určiť, či je aktivita skutočne škodlivá a mohli podniknúť príslušné kroky. Ak bola aktivita očakávanou záťažou, môžu ju ľahko označiť ako falošne pozitívnu a anti-ransomware ML si zaznamená zmenu v pracovnom zaťažení a už ju neoznačuje ako potenciálny útok. Funkcia navyše nijako nenarušuje I/O operácie. Namiesto toho poskytuje správcom natívne analýzy, prehľady a možnosti obnovy dát pre bezprecedentnú detekciu ransomvéru priamo na mieste. Funkcia anti-ransomware umožňuje ľahšie ako kedykoľvek predtým automatickú detekciu ransomvér útoku pre pracovné zaťaženie NAS volumov v ONTAP.

Ransomvér sa vyvíja a jeho detekcia tiež

Dve veci sú jasné, ransomware je nepretržitá hrozba, ktorá nevykazuje žiadne známky spomalenia a je potrebné s ňou zaobchádzať holistickým spôsobom. Metódy, ktoré hackeri používajú, sa budú v budúcnosti len vyvíjať. To je dôvod, prečo NetApp neustále zlepšuje možnosti ochrany proti ransomvéru. Pridaním ďalších úrovní detekcie a ochrany sa môžete lepšie pripraviť na ransomvérový útok.

NetApp ONTAP poskytuje špičkovú škálu detekčných schopností, ako:

  • integrované strojové učenie proti ransomvér útokom s automatickým varovaním
  • vytváranie automatických snapshotov
  • NetApp FPolicy
  • Cloud Insights
  • Active IQ a Active IQ Unified Manager.

Tiež je dobré si zapamätať, že detekcia ransomvér útoku je len jednou časťou celkovej stratégie ochrany proti ransomvéru, ktorá následne potrebuje aj obnovu zasiahnutých dát. Funkcionality ONTAP Snapshot spolu s ONTAP SnapLock® sú kľúčom k tomu, aby sa zákazníci vyhli nákladným výpadkom, predišli poškodeniu reputácie značky a vyhli sa plateniu výkupného útočníkom.


V prípade záujmu nás neváhajte kontaktovať

kontaktujte nás