NetApp Anti-Ransomware Protection

Új, Anti-Ransomware szoftvercsomag jelent meg az NetApp ONTAP operációs rendszereket használó tárolók legújabb kiadásában.

Azzal nagyjából mindenki tisztában van, hogy a zsarolóvírus-támadás az egyik legnagyobb kiberbiztonsági fenyegetés, amellyel egy szervezet manapság szembesülhet. A potenciális kár nem csak a helyreállítási költségekkel függ össze, hanem a vállalat hírnevére és márkájára is hatással lehet.

A világon minden 11. másodpercben történik egy ransomware támadás. A vállalkozások 54%-a szerint a ransomware-támadások túl fejlettek ahhoz, hogy az informatikai csapatuk egyedül kezelni tudja őket. Az informatikai szakemberek 50%-a úgy véli, hogy szervezetük nincs felkészülve a ransomware-támadások elleni védekezésre. Az áldozatok mindössze 8%-a képes helyreállítani az összes adatot hiánytalanul, 35%-a pedig teljes adatvesztéssel jár.

De mi is az a zsarolóvírus?

A zsarolóvírust alkalmazó támadó célja az, hogy pénzt szerezzen. Az évek során a támadók által alkalmazott stratégiák fejlődtek. Korábban a támadók jellemzően szolgáltatásmegtagadási támadást alkalmaztak, amelynek során elérhetetlenné tették egy vállalat weboldalát. Ebben a zsarolóvírus-stratégiában a támadó ráveszi Önt, hogy véletlenül letöltsön egy titkosító programot (malware). A telepítés után ez a rosszindulatú program titkosítja az összes helyi kliensfájlt és minden egyes fájlt, amelyet a vállalati hálózaton lévő NFS- vagy SMB-megosztásokon talál. Miután a fájlok titkosítása megtörtént, az eredeti fájlok törlődnek, és többé nincs mód arra, hogy hozzáférjen a fájlokban lévő adatokhoz. A fájlokat továbbra is láthatja, mert még mindig a hálózaton vannak, de nem férhet hozzájuk, mert a támadó titkosította őket.  A korábbi módszerekkel ellentétben a szolgáltatásmegtagadásnak nagyon alacsony az overheadje a támadók számára, mivel nem kell botok seregét összehívniuk ahhoz, hogy offline állapotba hozzák a vállalati webhelyet, és nem kell az Ön adatait máshová másolniuk. A szolgáltatásmegtagadás mindaddig fennállt, amíg a díjat ki nem fizették érte. 

Egy másik módszer az adatszivárogtatás. Ennél a stratégiánál a támadó hozzáférést szerez a vállalat informatikai rendszereihez, az érzékeny adatokat a vállalaton kívülre, ismeretlen helyre helyezi át, majd azzal fenyegetőzik, hogy nyilvánosan kiadja az adatokat, hacsak nem fizetnek váltságdíjat. 
Ezek alapján azt gondolhatnánk, hogy egy támadás során a legnagyobb költséget a váltságdíj kifizetése jelenti, azonban ez nem így van! A Coveware 2020. januári elemzése szerint a zsarolóvírusok okozta átlagos leállási idő több mint 16 nap, és a leállási költségek általában a tényleges váltságdíj összegének tízszeresést teszik ki.

Szerencsére a NetApp évek óta segíti ügyfeleit a zsarolóvírusok elleni védelemben, mind az észlelés, mind a helyreállítás terén. Az ONTAP operációs rendszerbe beépített, már eddig is erős védelmi képességek újabb lépést tesznek előre azzal, hogy a NetApp® ONTAP® operációs rendszer legújabb verziójában bejelentették a zsarolóvírus-támadások automatikus észlelésére szolgáló új szoftvercsomagot.

Mit tartalmaz a csomag?

  • Cloud Insights és Cloud Secure
  • SnapLock® compliance szoftver
  • SnapMirror® replication szoftver
  • Multi-Key Management/Advanced Data Encryption
  • Active IQ® and Active IQ Unified Manager
  • SnapCenter® software
  • FPolicy
  • 24/7/365 riasztásfigyelés, javítás és szoftverfelügyelet biztosítása

Fontos, hogy a zsarolóvírus felismerése minél korábban megtörténjen, így megelőzheti a terjedését és elkerülheti a költséges leállásokat. A hatékony zsarolóvírus felderítési stratégiának azonban nem csupán egyetlen védelmi réteget kell tartalmaznia. Egy jó hasonlat erre a jármű biztonsági funkciói a balesetmegelőzéshez. Senki sem szeretne egyetlen funkcióra, például csak a biztonsági övre hagyatkozni, hogy megvédje magát. A légzsákok, a blokkolásgátló fékek, sőt az ütközésre figyelmeztető rendszer is olyan kiegészítő biztonsági funkciók, amelyek sokkal eredményesebbé teszik a megelőzést. A Ransomware-védelemre ugyanígy kell tekinteni.

A NetApp FPolicy, NetApp Cloud Insights-szal kombinálva kiváló munkát végez a zsarolóvírusok felderítésében, a felhasználói viselkedéselemzés (UBA) segítségével. Ezek a potenciális zsarolóvírus-támadásokat az egyes felhasználók viselkedése szempontjából keresik.  A NetApp Active IQ® és a NetApp Active IQ Unified Manager a zsarolóvírusok észlelésének további rétegeit is biztosítja. Az Active IQ ellenőrzi a NetApp ONTAP® rendszereket a NetApp legjobb konfigurációs gyakorlatainak betartására, például az FPolicy engedélyezésére. Az Active IQ Unified Manager riasztásokat generál a NetApp Snapshot™ másolatok rendellenes növekedése vagy a tárolási hatékonyság csökkenése esetén, ami potenciális zsarolóvírus-támadásokra utalhat.
A NetApp több mint 10 évvel ezelőtt adta ki a SnapLock funkciót, hogy megfeleljen az adatmegfelelőség követelményeinek. Az elsődleges Snapshot-másolatokat SnapLock kötetekre is elrejtheti, így a másolatok WORM-ba rögzíthetők, megakadályozva a törlést. Két SnapLock licencváltozat létezik: SnapLock Compliance és SnapLock Enterprise. A NetApp a zsarolóvírus elleni védelemhez a SnapLock Compliance változatot ajánlja, mivel beállítható rajta egy meghatározott megőrzési időszak, amely alatt a Snapshot másolatok zárolva vannak, és nem törölhetők, még az ONTAP rendszergazdák vagy a NetApp Support által sem.

 

Használati feltételek és működés

Az Anti-Ransomware védelem ONTAP 9.10.1 verziótól engedélyezett, amennyiben a Multi-tenant Encryption Key Management (MT_EK_MGMT) licenc telepítve van. Amennyiben nincs ilyen licenc, úgy új, Anti-Ransomware Suite licenc vásárlása szükséges. A védelem a System Manageren keresztül konfigurálható, és kötetenként engedélyezhető. A program tanulási üzemmódban indul: a NetApp legalább 30 napos időszakot javasol, hogy az ML-nek legyen esélye megérteni a NAS-kötetek tipikus munkaterheléseit. Amikor az Anti-Ransomware aktív üzemmódba kerül, elkezdi keresni a kötetek abnormális tevékenységét, amely potenciális zsarolóprogram lehet.

Ha rendellenes tevékenységet észlel, azonnal automatikus Snapshot-másolat készül, amely a lehető legközelebbi helyreállítási pontot biztosítja a fájlfertőzéshez. Ezzel egyidejűleg automatikus riasztás készül, amely lehetővé teszi a rendszergazdák számára, hogy lássák a rendellenes fájltevékenységet, így megállapíthatják, hogy a tevékenység valóban rosszindulatú-e, és megfelelő intézkedéseket hozhatnak. Ha a tevékenység egy várható munkaterhelés volt, könnyen megjelölhetik hamis pozitívként; az Anti-Ransomware ML megjegyzi a munkaterhelés változását, és többé nem jelöli meg potenciális támadásként. A funkció semmilyen módon nem zavarja az I/O-t, miközben a rendszergazdák számára natív elemzési, betekintési és adatvisszaállítási képességeket biztosít in-box. 

Támadás utáni helyreállítás

A zsarolóvírus-támadás után az első gondolata az lehet, hogy azonnal vissza kell állítania az adatait. Ez természetesen lehetséges, de ha nem tesz más lépéseket annak érdekében, hogy a zsarolóvírus ne térjen vissza, akkor valószínűleg újra megfertőződik, és ezáltal értékes időt veszít. Három kulcsfontosságú lépés van a környezet megfelelő helyreállításához a zsarolóvírus-fertőzés után. Ezeket a lépéseket a következő ábra mutatja be:
A zsarolóvírus-támadás utáni helyreállítás leggyorsabb módja a biztonsági mentésből történő visszaállítás. Ez elég egyszerűen hangzik, de a tényleges visszaállítási folyamat összetett lehet, nem beszélve a lassúságról. Az ONTAP Snapshot technológia a kulcs ahhoz, hogy gyors helyreállítást (terabájtokat másodpercek alatt) biztosítson, megvédje a biztonsági mentéseket a zsarolóvírusok titkosításától, és megakadályozza az értékes biztonsági mentési adatok törlését. A Snapshot-másolatok funkcióját kihasználhatja például katasztrófa utáni helyreállítás, adatarchiválás és adatszintű tárolás céljából is.

Egyértelmű, hogy a zsarolóvírusok, mint oly sok más rosszindulatú fenyegetés, folyamatosan fejlődnek változnak. Bár egyetlen megoldás sem képes minden támadást meghiúsítani, nagyon fontos, hogy megpróbáljuk lekövetni és megelőzni ezeket a változásokat.

A NetApp különböző, hatékony eszközöket biztosít a láthatóság, az észlelés és a helyreállítás érdekében, amelyek segítenek a zsarolóvírus korai felismerésében, a terjedés megakadályozásában, és szükség esetén a gyors helyreállításban is, a költséges leállások elkerülése érdekében. A hagyományos, többszintű védelmi megoldások továbbra is elterjedtek, a hatékony helyreállítás pedig kulcsfontosságú része bármilyen fenyegetésre adott válasznak. A NetApp Anti-Ransomware szoftvercsomag egyedülálló iparági megoldást kínál a zsarolóvírus elleni védelem és helyreállítás terén.