Cyber Security ist unbestritten ein sehr wichtiges und aktuelles Thema. Angreifer entwickeln immer bessere Methoden, um an das Wertvollste heranzukommen, was ein Unternehmen besitzt: die Daten. Um Angriffe sicher abwehren zu können, gilt es, diese Daten so gut wie möglich zu schützen – durch eine mehrschichtige Sicherung – angefangen bei der Netzwerksecurity, Logging & Monitoring, Antivirus-Mechanismen über User & Client Security und einer guten Vorbereitung inklusive Notfallhandbuch.
Wenn Angreifer es trotz aller Vorsichtsmaßnahmen aber doch bis zu den Daten geschafft haben, dann ist Hopfen und Malz noch nicht verloren. Zumindest dann, wenn man resiliente Enterprise Fileservices hat – wie das bei NetApp Kunden eben der Fall ist. Für NetApp Fileservices gibt es nämlich mehrere Erkennungsmöglichkeiten für Cyber Angriffe – und sehr wirkungsvolle und schnelle Möglichkeiten, im Ernstfall die wertvollen Daten wiederherzustellen.
Eine dieser wirkungsvollen Technologien ist die (relativ neue) Funktion “Autonomous Ransomware Protection” – auch ARP abgekürzt. Diese Funktion ist in ONTAP integriert und kann sehr einfach aktiviert werden. ONTAP analysiert dabei nicht (wie einige andere Tools) das Benutzerverhalten – sondern beurteilt die Dateieigenschaften auf Anomalien. Oft ändert sich bei einem Cyberangriff durch die Datenverschlüsselung die sogenannte “Entropie” der Dateien – und eine ungewöhnliche Änderung dieser und weiterer Eigenschaften der Dateien kann ONTAP sehr einfach ermitteln – und dann Alarm schlagen. Nach dem Aktivieren von ARP braucht ONTAP ein paar Wochen, bis ein “Normalverhalten” angelernt wird. Danach kann ONTAP Abweichungen von diesem Verhalten erkennen und gegebenenfalls alarmieren. Beim reinen Alarm bleibt es dann nicht – automatisch wird nach einem vermuteten Angriff auch noch eine Vollsicherung (Snapshot) des Filesystems gemacht – mit deren Hilfe man nach überstandenem Angriff eine Untersuchung/Forensik des Angriffs durchführen kann.
Wir zeigen in einer einfachen praktischen Demo, wie einfach “ARP” funktioniert – und wie man nach einem erkannten Angriff automatisiert wieder auf einen alten, “gesunden” Datenstand zurück kommt. Wir nutzen für dieses Beispiel eine exzellent vorbereitete Umgebung in https://labondemand.netapp.com/, die man als NetApp Kunde kostenlos selbst verwenden kann, um sich mit dieser Technik vertraut zu machen. Wir haben dabei das Lab “Protection and Recovery From Ransomware v3.4” genutzt. Für Nicht-Kunden kann das Lab Schutz und Recovery bei Ransomware-Angriffen hilfreich sein.
Ein einfaches Ansible Script erstellt dabei einen Clone der beschädigten Daten für eine spätere Analyse und setzt das beschädigte Filesystem mit “Snaprestore” in wenigen Sekunden auf einen gesunden Stand zurück.
Im Video gehen wir folgendes durch:
Wir sind keine Filmstars und gehen das Thema ganz bewusst ohne Glamour und Hochglanzfolien an – sondern ganz nüchtern – so wie eben in der Realität. Wir möchten dabei helfen, das Thema verständlicher zu machen. Über Rückmeldungen und konstruktives Feedback freuen wir uns natürlich: Gerne direkt an martin.kalmbach@netapp.com.
P.S.: Die Funktion “ARP” muss separat lizensiert werden. Diese Lizenz ist im Paket “ONTAP One” enthalten. Wer noch ein NetApp System ohne diese ONTAP One Lizenz hat, der kann in den meisten Fällen kostenlos auf diese ONTAP One Lizenz upgraden. Wir empfehlen folgende Mindestversionen für den Einsatz von ARP: 9.10.1P16 / 9.11.1P13 / 9.12.1P10 / 9.13.1P6 / 9.14.1
Detaillierte Infos zu ARP finden sie hier: kb.netapp.com/onprem/ontap/da/NAS/Understanding_ARP_snapshot_
protection_and_attack_detection und docs.netapp.com/us-en/ontap/anti-ransomware/use-cases-restrictions-concept.html#arp-performance-and-frequency-considerations
Martin startete seine Karriere bei HP, wo er viele Jahre als Projektleiter, technischer Berater und VMware Trainer arbeitete. Seit 2012 ist er für NetApp unterwegs – und ist inzwischen als Account Technology Specialist bei NetApp in Stuttgart für mehrere namhafte Enterprise Kunden in Baden-Württemberg zuständig. In seiner Freizeit geht Martin meistens in die Luft (Cloud...) – mit seinem Gleitschirm oder auch im Segelflugzeug – am liebsten aber gemeinsam mit unerschrockenen Passagieren. Kein Wunder, dass ihm das Thema “Hybrid Cloud” liegt – denn egal ob beruflich oder in der Freizeit – am spannendsten ist es einfach zwischen Himmel und Erde!