Buongiorno a tutti e benvenuti a questo che è ormai il nono episodio di questa serie di Techub che stiamo portando avanti da diversi mesi. L'argomento di oggi è sicuramente molto interessante perché andremo a parlare di protezione da Tacker Run, di come Netap va a aiutare i clienti proprio a cercare di proteggere le informazioni, ma soprattutto di metterli in sicurezza in modo da fare una recovery ancora più veloce. Eh, ci sono delle funzionalità molto interessanti che risiedono addirittura all'interno del nostro sistema operativo che facilitano eh questo tipo di proiezione di protezione. Chiaramente siamo in un periodo in cui attacchi ne sentiamo e sono molto meno di quelli che in realtà eh sono presenti sul mercato, quindi perché normalmente le aziende tendono a non far sapere di essere state attaccate per ovvi motivi. E con me oggi ci sarà Luciano Mastro Totaro. e la composizione del dell'episodio, come al solito, facciamo una breve presentazione di una quindicina ventinadi minuti, dopodiché andiamo a far vedere effettivamente con una demo live. Vi ricordo che potete fare domande e vi invito a utilizzare l'apposita finestra di domande e risposte per fare le vostre domande e noi risponderemo a tutti alla fine del della presentazione. Bene, io mi taccio e lascio immediatamente la parola a Luciano. >> Grazie Roberto. Buongiorno a tutti, benvenuti a questo nuovo episodio dei nostri tech club. Sì, oggi parliamo di Ransonware, come ha detto giustamente Roberto, e parliamo di Ransonware perchéio credo che questa sia la piaga informatica del degli ultimi tempi. è una, diciamo, situazione abbastanza critica che sta continuamente evolvendo e sempre di più durante, diciamo, gli ultimi tempi stanno aumentando gli attacchi Ransonware e quindi dobbiamo fare di tutto per cercare di proteggerci al meglio da questa piaga, come la chiamo io. Perché dovrei quindi diciamo prendermi cura di del e dovrei stare attento ai ransori perché, come vedete da questi dati forniti dai DC, gli attacchi sono ransomware sono incrementati del 65% nel 2020 e nel 2021 ormai passato, si forecasta che ci sia un attacco ransware ogni 11 secondi. Esattamente come diceva prima Roberto, voi capite bene che molte aziende non sono, diciamo, propense a far sapere che essere state sotto attacco, ma di fatto il concetto è che in realtà ci sono, ce ne sono tanti e staranno e stanno solo che salendo come incremento, tanto vero che eh si ipotizza che nel 2031 ci sarà una tanco ransomware ogni 2 secondi, quindi voi potete capire bene come questo sia un problema assolutamente molto grave dacui difendersi. È evidente che anche i costi di un attacco sono pesanti. Ovviamente qua dipende dal tipo di business, da quali sono la tipologia di dato che viene attaccato, ma in generale il fatto di essere attaccati eh comporta sicuramente un sborso economico in una qualche forma. Eh, vediamo quali sono i potenziali attacchi, da dove possono arrivare questi attacchi. Allora, di fatto il problema principale nelle grandi aziende, in tutte le aziende, è che tendenzialmente a livello di security, i modelli di security che sono implementati dalle aziende sono quelli convenzionali, ovvero che tutto ciò che opera all'interno della mia azienda tendenzialmente è sicuro. questa cosa qui, cioè questo modo di approcciare alla sicurezza, evidentemente non ha più non è più abbastanza sicuro nel nostro tempo e si tende ad utilizzare un nuovo approccio che è quello dello zero trust, l'avrete sentito dire più volte, cioè nonostante abbia anche io un accesso nella mia rete internamente, devo comunque eh diciamo essere convinto del fatto che non posso assolutamente ehm diciamo fidarmi di nessuno all'interno della mia azienda. E questo perché?in realtà eh come si vede ci sono di fatto due tipi di attacchi insider trading, come vengono definiti, eh sono quelli proprio utenti che sono di fatto utenti che eh in maniera legittimata, lasciatemi dire, dal loro fare, eh fanno un sabotaggio nei confronti dell'azienda, quindi sanno di poter entrare con le loro credenziali e quindi per non so magari problemi con l'azienda piuttosto che per voler creare un danno Quindi attaccano dall'interno, oppure ci sono quegli utenti che sono stati compromessi in una qualche forma senza che lo sappiano. Per cui non è detto che per forza un utente che sia stato che entra all'interno dell'azienda voglia attaccarla didiciamo di principio. Il problema è che probabilmente non sa di essere già stato attaccato e quindi di diffondere tendenzialmente il problema all'interno dell'azienda senza saperlo. Come vedete da questi dati, il 62,70% di attacchi è causato da un da insider trading, quindi da persone che sono già o comunque da PC che sono già all'interno della mia rete, quindi sono già entrati dal primo livello di sicurezza che sono i firewall piuttosto che tutto quello che posso mettere. Questo è per farvi vedere più o meno quali sono eh i tipi di attacchi che sono stati riconosciuti e le percentuali. Il 29% sono link all'interno di email, quindi email sospette o comunque che vengono mascherate con finti domini all'interno della quale ci sono degli dei link a siti eh che poi eh diciamo fanno avanzare ilransomware all'interno della mia azienda. Eh nel 21% sono remote server attack, quindi aziende barrasoftware che dall'esterno attaccano la mia azienda. Dopodiché via ci sono gli attachment nelle email, quindi di fatto sempre un email che però non ha un link ma solo un attachment che può sembarrare tendenzialmente in no fa sviluppare ilproblema e poi via tutti gli altre, diciamo, tipologie diattacco, tra cui all'ultimo sono e le chiavette USB piuttosto che quindi un utente che in maniera totalmente eh innocua mette una chiavetta USB all'interno del suo PC e all viene attaccato e di fatto questacosa qua poi viene portata all'interno di un'azienda.Quando vediamo remote server attacca al 21% eh non dobbiamo pensare per forza che ci sia dietro eh la classica eh diciamo il classico attacco fatto da hacker che hanno preso di punta la mia azienda e per cui sono lì un gruppo di persone che magari stanno cercando di trovare come arrivare, come abbattere le potenzialità, lediciamo le mie difese, perché di fatto molto banalmente esistono dei sistemi ESA service nel cloud che di fatto io posso sottoscrivere per portare un attacco a un'azienda e questa è una cosa incredibile se ci pensate, cioè qualche anno fa sarebbe stato impensabile. In realtà oggi ci sono dei eh dei siti come adesso non li ho citati ovviamente, però ci sono questi due siti nello specifico dove io posso comprare un ransomware e posso dire a chi voler fare effettuare l'attacco, il che vuol dire che non c'è bisogno che io sia un hacker o sia un una conoscente del della programmazione comunque e tendenzialmente posso attaccare un'azienda per qualsiasi motivo. vuoi perché ce l'ho con quell'azienda, vuoi perché per puro divertimento, perché anche questo abbiamo visto ultimamente. Evidentemente questa cosa qui è eh un problema che eh a questo punto può sorgere in qualsiasi momento perché chiunque potrebbe prendere e sottoscrivere questo servizio per attaccare la mia azienda. Quindi, fatto la giusta, diciamo, eh il giusto inizio, vediamo come possiamo noi come Netupp aiutare nel proteggere le nostre informazioni all'interno dellanostra azienda, quindi all'interno dei nostri storage, come possiamo proteggerci da un attacco ransware. Evidentemente ci sono di fatto due macrolivelli diprotezione. la prima che è la detection prevention, quindi il concetto di come facciamo identificare che all'interno della mia del mio storage ci sia una movimentazione anomala che può essere sospetta di ransomware e una seconda parte che è come rimedio ed eventualmente come faccio un restore delle mie informazioni una volta che ho scoperto che effettivamente sono stato attaccato da un ransomware e quindi i miei dati sono stati in una qualche forma modificati. Ovviamente nella parte di detection and prevention esistono diverse funzionalità all'interno dello storage che ci e non solo all'interno dello storage che ci permettono di identificare in una qualche forma quali sono i diciamo gli atteggiamenti anomali dello storage. In primis, ovviamente, come abbiamo detto all'inizio, esiste unmotore di F policy che è un motore che in realtà esiste da tempo all'interno di Ontap, che quindi è in grado di parlare anche con, diciamo, con, diciamo, con, diciamo, con sistemi di monitoraggio che sono anche esterni allo storage, quindi andare in concomitanza, quindi in simbiosi, con sistemi che possono essere varonis, prolion piuttosto chedi fatto implementano un meccanismo di zero Trust. Cosa vuol dire zero trust? Vuol dire che qualsiasi attività venga fatta all'interno dello storage, a prescindere che prevenga da utente conosciuto, piuttosto che da un utente sconosciuto, venga tracciata, venga analizzata e venga in una qualche forma eh diciamo analizzata nel profondo per cercare di capire se questa attività può considerarsi un'attività normale o un'attività, tra virgolette straordinaria.Questo motore di F policy, come abbiamo detto, è all'interno di HTP già da tempo, è solo stato migliorato perché col tempo, chiaramente, eh tuttoquello che riguarda motore di artificial intelligence e quant'altro all'interno di HTAP sia evoluto e questo ci permette di essere molto più raffinati nel trovare quali sono i movimenti anomali all'interno dello storage. Una seconda, diciamo, proposizione è quindi un secondo modo di intercettare eventuali accessi anomali è dato da Cloud Secure. Cloud Secure che è un modulo aggiuntivo di Cloud Insight che è il nostro sistema di monitoraggio che di fatto che cosa ci permette? tramite appunto un external f policy server ci permette di identificare a livello di utente e quindi a livello di accesso sia utente che file all'interno dello di una share quali sono i movimenti e quindi tracciati a livello di accesso, a livello di read, a livello di scrittura ed eventualmente movimenti anomali che possono essere una volta che sono stati identificati intercettati e quindi di fatto bloccati sul nascere o quantomeno E nell'immediato, dopo aver scoperto che di fatto questa è un'attività che non è da considerarsi un'attività normale all'interno dello storage,ovviamente un altro aspetto importante e questo è dato dal internamente da Ontap, è il cambiamento come key indicator dello spazio disco occupato da un determinato volume spesso identificato all'interno delle snapshot. Questo è una nuova funzionalità che è stata introdotta nella 9.10.1 di HTAP e questa modalità di fatto che cosa permette?allo storage di imparare come un determinato volume si movimenta durante il giorno e durante la notte per avere un tracciato di, tra virgolette normale operatività.E nel caso in cui questo tracciato sia in una qualche forma discostante dalla mia baseline, lo storage in autonomia si accorge che c'è qualcosa che non va e quindi viene immediatamente effettuata una snapshot all'interno del sistema che mi permette quindi di bloccare sul nascere il di fatto la potenziale distruzione di tutto il resto del mio file system e quindi di avere un'indicazione precisa del momento in cui un attacco Rware è stato di fatto effettuato. Lo vedremo dopo nella demo. Molto bene. E questa è una cosa che ci salva perchécome tutti sappiamo, una snapshot è di fatto una fotografia immutabile all'interno dello storage che una volta che io l'ho effettuata mi protegge da qualsiasi cambiamento, a qualsiasi change rate che io ho sui file che ho protetto da questa snapshot, il che vuol dire che potrò, è vero che non fermo solo con questo meccanismo un attacco ransw, ora l'attacco ranswer tendenzialmente prosegue fino che non stoppo la causa, ma di fatto quello che io faccio è loggare fisicamente il concetto di avere troppo change rate e quindi salvare tutto quello che riesco a salvare nel momento in cui io riesco ad intercettare questo eh appunto questo attacco.Quindi di fatto tutto si basa di fatto sulle snapshot come concetto principale. Strò qua a raccontarvi come funzionano le snapshot di NETup, lo sappiamo benissimo, però questa slide l'ho messa proprio perché come riferimento vi consiglio di scaricare il Tecchical Report dal sito di Netupp che è il Tecchical Report numero 4572 che descrive molto eh dettagliatamente quali sono i passi da effettuare per proteggersi in caso di ransomware in maniera, diciamo, preventiva, appunto. Questo dopo lo vedremo ovviamente anche nel Tech Club, vedremo poi nella parte dei demo come si sviluppa. Ovviamente un'altra delle funzionalità che impedisce quindi le che quindi facciamo come remediation rispetto al fatto di un attacco ransomware è la funzionalità di Snaplock. Anche questa è una funzionalità che già è presente all'interno dello storage di HTAP da tanto tempo. È una funzionalità che mi permette di mettere in warm il mio volume. Cosa vuol dire avere warm il volume? Vuol dire che all'interno di quel volume tutti i file che vengono scritti vengono locati in maniera ridolly. Quindi io posso accedere al file, lo posso leggere, ma non posso modificarlo. Il che vuol dire che un attacco ransware che cerca di aprire quel file e di, tra virgolette, faccio per dire, criptarlo, sarà sicuramente bloccato dalla parte dalla funzionalità di snaplock perché quel file è stato immutabile ed è snaplockcato. Anche questo lo vedremo nella demo più avanti. Vedremo com'è eh lanciare un attacco ransware, quindi un attacco difatto un eseguibile che cerca di criptare i miei dati, venga bloccato sul nascere dal fatto che quel volume lì è un volume snaplock. Ora, di tutte queste funzionalità eh è stata creata una suite mh una suite nella 9.10 10 che si chiama appunto antiransonware suite che comprende al suo interno tutto quello che vedete qui, quindi l'autonomous ransomware protection che è la funzionalità nativa dello storage nella 910, un anno di sottosiscrizione al cloud secure, quindi a quella funzionalità esterna dallo storage che mi intercetta direttamente a livello più alto, quindi a livello di utente e a livello di attività file all'interno dello storage, comprende lo snap e comprende anche tutta una serie di altreeh diciamo eh funzionalità tutte in un unico pacchetto, così da non aver di fatto ehm da non dover creare ad hoc la suite di software, ma di fatto con un unico bundle posso avere di fatto una protezione ransomware completa a 360 sia sulla parte, diciamo, direttamente storage, sia sulla parte eh esterna, quindi a livello di accesso file utente. Questa ransware antiransware suite è available su tutte le suite di Ontap, quindi se che io abbia base bundle o che abbia un premium bundle posso aggiungere l'antiransonware suite e quindi avere all'interno di questa della mia infrastruttura una protezione completa come quella che adesso andremo a vedere nella parte demo. Adesso è inutile che continuiamo così. Vi faccio vedere direttamente tutto quello di cui abbiamo parlato dalvero.>> Quindi datemiun secondo vi faccio partire direttamente lab. >> Intanto vi ricordo che potete far le vostre domande nell'apposita finestra, domande e risposte, poi con Luciano risponderemo alla fine, così diamo anche il tempo a Luciano di far partire tutta la dimostrazione. >> Ok.dovremmo essere in grado di dovreste essere in grado di vedere il desktop. >> Ok, partiamo quindi direttamente dalla login,quindi ci colleghiamo direttamente al nostro storage. Questa è una schermata di cui dovrebbe essere familiare abbastanza a tutti. Ok, qui abbiamo di fatto un cluster che è ovviamente installato con la 9. 10, quindi quell'ultima release che presenta al suo interno la possibilità di dell'antiransonware, della nuova funzionalità di antirower. La prima cosa che dobbiamo fare nel momento in cui abbiamo detto che ci dobbiamo proteggere da una da un attacco ransware è sicuramente quello di implementare una politica di snapshot molto aggressiva. Chiaramente qua adesso laporteremo all'estremo, però per far capire che più snapshot ho più veloci le faccio e più retention ho e più sicuramente ho un punto di ripartenza molto vicino al punto zero dell'attacco, il che vuol dire che potrò di fatto restorare in maniera molto veloce eh il mio file system nel giorno e nel momento in cui l'attacco ransomware è partito. quindi azzerare tutto quello che da lì in poi l'attacco RSWare vera fatto nei confronti dei miei file. Quindi la prima cosa che faremo è quella di creare una snapshot policy molto aggressiva dove di fatto facciamo molte più snapshot per proteggere i nostri volumi. Quindi cosa facciamo? Andiamo sotto la parte protection in overview. Qua sotto noi troveremo le local policy. Sotto le local policy ci sono le snapshot policies. Ci sono le snapshot policies. E queste sono le snapshot policies, lasciatemi dire, di default. Quando io già ho creato la macchina, cosa faccio? Non faccio altro che aggiungere una nuova policy. Questa policy la chiamiamo ransomwareprotection. E di fatto che cosa facciamo a questo punto? Creiamo una schedulazione molto aggressiva. Quindi facciamo una schedulazione per dire ogni 10 minuti e facciamo 300 snapshot. In più ne facciamo un'altra ogni diciamo 8 ore e di queste ne teniamo 500. Facendo così, che cosa ho ottenuto? Di fatto ho ottenuto una schedulazione veramente moltopesante, cioè molto eh diciamo importante che mi permette di avere di fatto 800 snapshot a disposizione, una appunto ogni 10 minuti e una ogni 8 ore per avere la certezza di poter di fatto ripristinare il mio file system nel punto più vicino al momento dell'attacco. Quindi cosa faccio adesso? Salvo questa nuova policy, vedete? Viene messa all'interno di eh delle policy delpolicy protection. Torno a questo punto su local policy e come vedete qua adesso abbiamo creato questa ransonware protection qua. Adesso quello che dobbiamo fare ovviamente è in applicare questa policy al nostro volume o ai nostri volumi. Nel nostro esempio prendiamo sotto storage o andiamo sotto volume. Prendiamo ad esempio questo file share 1 e vedete che in questo momento nella snapshot policy local questo volume non è protetto, è unotected. Cosa facciamo in questo? Cosa facciamo allora per applicare questa policy? Andiamo qua, facciamo un edit del volume e sotto file share c'è questo snapshot copies local setting. Abilito la schedulazione delle snapshot copies e a questo punto lui mi chiede qual è la policy che voglio associare a questo volume e qui troverò la mia ransomware protection policy. Clicco su Ransomware Protection Policy e mi farà vedere esattamente la mia schedulazione, quindi le mie 300 snapshot ogni 10 minuti, le mie 500 ogni 8 ore. Salvo. E a questo punto possiamo vedere che se prima F share non era protetto, adesso è protetto da una snapshot che è quella della ransonware protection. Quindi abbiamo messo in sicurezza questo volume, essendo sicuro che qualsiasi cosa possa succedere da adesso in poi, io avrò sicuramente la possibilità di tornare indietro più velocemente possibile perché ho un sacco di punti di consistenza.Ora andiamo a vedere sempre su questo volume la nuova funzionalità di antiansonware. Se io clicco all'interno del volume sotto security ho una nuova tab che è quella di Anti Ransonware, appunto, che questa è la funzionalità del motore interno di HTAP per analizzare come si muove questo volume. Allora, quello che faremo adesso è abilitarlo e come vedete per abilitarlo è un semplice click. Faccio così e automaticamente la funzionalità viene abilitata. A che cosa dobbiamo stare attenti in questo momento? In questo momento, come vedete, ehm l'antiransomware è partito ed è in learning mode. Che cosa vuol dire learning mode? Questo è di fatto il motore interno di HTAP che da adesso fino a quando non gli dirò di switchare in modalità attiva analizzerà il workload di quel volume lì e quindi mi farà vedere concettualmente eh, cioè continuerà a analizzare e a ricordare, memorizzare come questo volume si muove. Perché è stata fatta così? Perché è evidente che abilitarlo immediatamente eh sarebbe sospetto qualsiasi attività, cioè inizio a scrivere un po' di più, inizio a scrivere un po' di meno, sarebbe sospetto, inizierebbe a fare snapshot in continuazione. Quindi, invece, dandogli un lasso di tempo, che potrebbe essere quei 20-30 giorni di tempo, per analizzare l'andamento corretto di questo volume, io ho la certezza che nel momento in cui lo smetto in active Mode, ho la sicurezza che questa cosa possa, cioè, diciamo che la funzionalità abbia sicuramente molto più effetto. Ovvio che se nel momento del learning mode io avessi la necessità di, non lo so, fare un'attività straordinaria, per cui non lo so migrare degli altri file all'interno di questo volume, piuttosto che qualsiasi altra operazione che potrebbe comportare un discostamento dal suo dalla sua normale attività, quello che io posso fare è mettere in pausa l'antiransonware. Quindi anche learning mode posso può essere messo in pausa. Se io clicco qui, come vedete, la funzionalità è sempre attiva, ma non ho più di fatto la possibilità di switchare in active Mode perché, appunto, sono in pausa nell'analisi del contenuto della del dellaaio del volume. Quando ho finito la mia attività, tra virgolette straordinaria, posso fare resume e quindi ritornare ad avere il motore di HTAP che analizza il workload di questo volume. Molto semplice, come vedete, ovviamente quando sono arrivato di fatto alla fine e quindi quando sono arrivato alla fine del mio eh del mio periodo dilearning, quello che posso fare arrivo qui e posso switchare direttamente in eh active mode. Nel momento in cui io switcho sull'active Mode, la funzionalità è diventata a tutti gli effetti attiva, appunto. Per cui da adesso in poi ogni attività anomala su questo volume verrà identificata come potenziale ransomware e quindi di fatto scaturirà una snapshot immediata dello storage che verrà tenuta lì come protezione. È chiaro che potrebbe non essere un ransomware, ma il fatto di avere una snapshot preventiva ci aiutano e qualorafosse davvero un ransomware nel tornare indietro in un lasso di tempo molto breve e avere un punto di consistenza molto preciso nel momento in cui ho scoperto di avere di fatto unproblema. Ora andiamo a vedere che cosa succederebbe appunto e come funziona questa funzionalità a livello di cligo direttamente sulla cli del cluster. Ok,allargo un attimo così si vedrà più meglio. Ok, a questo punto vi faccio vedere quali sono i nuovi comandi. Esiste un security antiansonware volumeworkloaddi behavior show. meno di server SVM1 meno volume. Quindi qua identifico i volumi che abbiamo, file share 2. Allora, come vedete, quello che vi sto facendo vedere qui è ehm di fatto sono le estensioni che il motore di eh di learning ha identificato all'interno di questo volume e che sono quelle che abbiamo qua, quindi Doc, GIF, HTML, JPEG, MPEG. Questi sono gli estensioni di file che vengono memorizzati all'interno del motore e per cui vengono tenuti, tra virgolette sotto controllo e da cui eventualmente scaturisce la snapshot qualora ci siano attività anomale all'interno di questo volume. Allora, come facciamo a vedere se effettivamente eh switchamo adesso tendenzialmente anche questo file share in Active Mode, quindi è un altro volume dove ho fatto esattamente la stessa cosa che aveva già avuto il, diciamo, il learning mode attivo per un po'. E a questo punto facciamo che cosa? simuliamo ehm un cioè vediamo come applicare. Allora, quello che abbiamo fatto prima è abilitare l'antiransonware a livello di volume, quindi per singolo volume noi abbiamo abilitato su filha 1 e filhare 2 l'antiransonware. Quello che possiamo fare, possiamo anche applicarlo all'interno di tutta l'SVM affinché nel momento in cui io creo nuovi volumi al suo interno venga propagato in automatico il concetto di antiransoareware a tutti i volumi nuovi. Quindi che cosa faccio? Se vado a vedere la mia SVM cluster 1 sotto settings. sotto security, cioè antiansonware, editoe qui c'è un flag che è auto enable antiransomware for nas volume. Questo permetterà allo storage per qualsiasi volume creato da adesso in poi all'interno di questa SVM applicare questa policy a tutti i volumi che verranno da adesso in poi, così cheé non mi devo ricordare tutte le volte di abilitarlo. Quindi questa è una funzionalità che mi permette di avere di fatto una cosa in meno da gestire perché questa cosa qua sarà totalmente automatica.Ora proviamo a simulare un attacco e vediamo come possiamo fare per tornare indietro, per fare un rollback veloce nel momento in cui io vengo attaccato. Allora, di fatto cosa facciamo? Andiamo sotto gli user 1 in questo momento. Faccio vedere sotto volume user 1. Vedete sotto security Tab, questo era un altro volume dove ovviamente abbiamo fatto girare un batch prima per simulare che mi fa vedere che cosa che all'interno di questo volume sotto il tab security mi dice che ci sono 20 file che sono sospetti. Il motore di Aptiransware ha calcolato e hadiciamo scoperto che ci sono state delle attività sospette e per cui mi ha identificato 20 file come 20 file che potrebbero essere sospetti. Cliccando direttamente su questo tab si apre un menù che mi identifica all'interno di questa directory di questo volume, quali sono i file che hanno un'estensione che non è più quella di prima, cioè questa estensione che in effetti da MP4 è diventato LckD. Questo chiaramente noi sappiamo essere potenzialmente un ransomware e quindi il storage si è tra virgolette automaticamente accorto del cambiamento, mi ha identificato quali sono i file che sono stati modificati e a questo punto mi chiede la mi dà la possibilità di intervenire in una qualche forma. Come faccio a intervenire? Per essere certo io posso identificare, quindi seleziono diciamo tutti i file sapendo che dal mio punto di vista questi sono potential runware attack. Li identifico come potential runware attack. Così posso fare un cleardella, diciamo, della parte di avviso all'interno della GUI. E adesso cosa faccio? Adesso vado a vedere esattamente quali sono i file e dove e come posso fare attività sul file system. Quindi, se clicco su File System posso guardare sotto Explorer. Questa è una nuova funzionalità che abbiamo nella nuova GUI di System Manager dove di fatto posso fare un browsing della Directory. Se io tiro giù la directory, io mi accorgerò che in effetti qui ho dei file che sono tutti LCKD. che quindi sono i file contaminati, lasciatemi dire, quelli che sono stati eh in una qualche forma attaccati dal ransomware. Cosa posso fare a questo punto? Quello che posso fare è identificare la mia snapshot che aveva fisicamenteeh che è stata effettuata nel momento in cui lo storage si è accorto che c'è stato un problema e restaurare in maniera molto veloce il mio file system a quel dato momento. Quindi cosa faccio? Vaccio sotto snapshot copies e mi accorgerò che c'è una snapshot che si chiama antiransonware backup. Questa è una snapshot che è stata fatta ad hoc nel momento in cui il motore si è accorto della del problema. Quello che posso fare è selezionare questa snapshot, fare un restore, digli di ristorare l'intero volume. La snapshot è stata restaurata, come vedete, quanto ci abbiamo messo a fare questo restore? C'è stato un attimo ci abbiamo messo perché di fatto, come sapete, il restore totale di un volume non comporta lo spostamento di nessun dato, ma solo il cambiamento dei puntatori del vol del file system attivo da quello attivo appunto al momento alla snapshot. A questo punto io cosa posso fare? Dopo aver fatto il restore, posso andare a vedere all'interno del mio file system, esattamente come prima sotto la parte explorer, che cosa è cambiato. E se io apro adesso DR 1, mi accorgerò che tutti i miei file sono tornati allo stato originale. Tutti ovviamente tranne uno, il primo. Questo perché?come dicevamo, il motore si è accorto nel momento in cui c'è stato il primo attacco che c'è stato un problema e ha effettuato lo snapshot in quel momento. Quindi è chiaro che nel momento in cui scaturisce l'attacco questa cosa vi deve essere prima identificata, ma una volta che è stata identificata ho salvato di fatto tutti gli altri file. Chiaramente adesso io lo so e questo file qui lo posso comunque recuperare in una snapshot precedente ancora facendo copia incolla come ho sempre fatto fino ad oggi. Avete visto come è assolutamente facile, veloce, intuitivo anche il fatto di poter ripristinare una situazione che potrebbe essere una situazione dannosa dall'inizio, ma che in realtà è corsa via molto velocemente con la funzionalità di Snap Restore. Evidentemente ci sono anche altri modi per effettuare un restore. Posso chiaramente mettere in piedi anche undiciamo un workflow tramite Ansible. Anche qui abbiamo un remediation playbook che posso farvi vedere, giusto per farvi vedere, non entro nei meriti, vi faccio solo vedere che questo è unplaybook già fatto che in caso di attacco ransware mi fa un restore del dei file, ma non sulla stessa share, quindi non impatto la produzione, ma di fatto che cosa succede? mi viene creata una SVM, diciamo, nuova tramite la funzionalità di Flex Clone, quindi clono di Faccio virtualmente l'intervm, ma la parcheggio in un SVM che chiamerò SVM quarantine, dove di fatto io posso identificare manualmente tutto quello che è successo e quali sono stati i cambiamenti e essere io a importare o a salvare fisicamente file per file. perché nel primo opzione uno quella che abbiamo fatto adesso è un restore massivo dell'intero volume, mentre invece con questo playbook io posso avere di fatto la replica esatta della mia SVM in un'altra SVM che non è quella in produzione dove però posso intervenire io manualmente per salvarmi e copiarmi esattamente tutto quello eh che posso salvarmi di fatto, quindi singolarmente le i singoli file barra le singole directory che mi sono accorto essere state in una qualche forma inficiate dalla dal problema. Eh è inutile che vi faccio vedere drittotutto quello che riguarda il playbook, però di fatto quello che possiamo vedere è che potremmo noi fare untab equindi vedere anche che a livello di user 2, che è un altro volume, abbiamo la stessa situazione di user 1. Quindi vado sotto security, vedete che anche qua ci sono gli stessi 20 file che avevamo identificato prima, che nel volume user 1 sono andati via, adesso in user 2 sono ancora presenti e qui c'è sarebbe la possibilità di farvi vedere, guarda, guardate, vi faccio vedere direttamente nella share user 2 sotto dir 1. Questo è quello che vede l'utente. Vedete? Ci sono tutti i file LCKD anche qua, cosa che in realtà in user 1 sotto di Runo non abbiamo più. A parte questo unico LCKD, gli altri li abbiamo resfratti in maniera eh precisa e puntuale come abbiamo fatto lo snapore prima. Quindi adesso io potrei far partire un playbook di Ansible che di fatto che cosa fa? mi crea questa SVM quarantine dove io posso intervenire manualmente sui singoli ehm sui singoli file.Se volete ve lo faccio vedere. È un playbook. Questo qua è l'input dei file, quindi è un Jason file che richiama di fatto il nome del cluster, qual è il volume su cui devo intervenire, quali sono di fatto ladetection time. A questo punto posso aprire la mia eh il mio Create Policy. And avanti. È inutile che vi faccio vedere quali sono tutte le opzioni, però di fatto è un è un playbook già fatto che mi crea di fatto un remediation plan. A questo punto io potrei aprendo una nuova tab aprire il mio ansible. Gol! E da qui andare sotto inventories. Vedete dove abbiamo inventoriato già il nostro storage. Vado sotto template e qui c'ho l'antiransonware già fatto che è quel Jason che abbiamo fatto prima. Lo lancio e a questo punto parte un assible playbook che di fatto sta facendo esattamente quello che vi ho detto, quindi sta identificando quali sono, qual è il volume, quindi quello user 2 dove abbiamo quei file che sono LCKD. Alla fine di questo playbook mi verrà creato un SVM apposta quarantine, appunto come vi ho detto, quindi staccata dalla produzione dove io posso intervenire in una qualche forma per salvare esattamente i file che mi servono, quindi identificare quali sono i file che sono stati corrotti barra che sono stati modificati per poter fare un restore molto più granulare dell'intero snap restore fatto prima. Un'altra cosa che vi voglio far vedere prima di concludere. Scusa Lucio, solo mi un secondo solo perché hai parlato di Ansivol e per chi fosse interessato proprio a tutta questa parte di automazione che abbiamo visto nello specifico eh legato alla soluzione di Ransonware, il prossimo techub del 28 aprile è proprio dedicato a ad Ansible, quindi a tutta la parte di automazione. Andremo proprio a vedere eh la potenzialità di questo strumento nell'automatizzare diverse operazioni. R, insomma, può essere attività di disastro recuper o qualsiasi tipo di attivazione dove appunto l'automazione sta diventando sempre più importante all'interno delle nostre aziende. Scusa la luce. >> No, di che figurati. Andiamo a vedere, invece, proviamo a fare un attacco, eh, simulare un attacco e vediamo che cosa possiamo fare per impedire anche che determinati tipi di file vengano creati all'interno del mio storage. Questa è un'altra share in questo che è un altro volume di fatto che si chiama Teamshare 1. Quello che posso fare è attaccarlo, quindi eh lanciare questo job, questo batch che di fatto che cosa fa? prende i file e liripta.Una volta che sono criptati di fatto i file, adesso ne faccio criptare un po', tre o quattro, giusto per farvi vedere che cosa succede poi all'utente finale, nel senso, l'utente che ha connesso fisicamente la share che cosa vedrebbe? Ok, diciamo che sono quattro, sono sufficienti, stoppo, guardo all'interno di TeamShare 1 e mi renderò conto, vedete che ci sono dei file LCKD che sono stati criptati. Alla fine un'altra delle potenziali attività che io posso eseguire all'interno dello storage è semplicemente quello di creare una policy che mi impedisca che all'interno di questo volume vengano creati determinati file con determinati tipi di estensione. Quindi, se io creo una F policy, questo diciamo che è già anche qui è un playbook già fatto, lo lascio solo per farvi vedere che sono chiamate fatte all'interno dello storage. Adesso che cosa succede? Che se io lancio lo stesso identico job che vi faccio vedere in questo momento, vedete ci sono file normali, non c'è nessun LCKD. Se adesso provo dopo aver fatto aver creato l'F policy che ha che non ha fatto nient'altro che all'interno di HTAP e di quel volume dire che non possono essere create determinati file con determinati tipi di estensione, provo a lanciare lo stesso file di prima, quindi cerco di criptare il contenuto di questa share, esattamente come ho fatto prima. Il job, vedete che cosa mi dice? Encryption failed.perché? Failed perché? Failed perché?una volta che è stata provata il, cioè l'attacco cosa cerca di fare? Legge il file, cerca di modificarlo per cambiarlo di estensione, questa cosa viene direttamente bloccata dallo storage, quindi senza bisogno di avere nessun software esterno, questa cosa può essere già intercettata così e bloccata sul nascere. Last but not least, abbiamo tra queste share anche una share che si chiama compliance 1. All'interno di compliance 1, di fatto abbiamo gli stessi file, come vedete, ma compliance 1 è un volume che è stato snaplockcato e che quindi è protetto all'origine da snaplock. Se io provo ad attaccare questo volume e quindi provare un attacco direttamente su compliance 1, qua non ho creato un f poliliccy per dirgli che determinati tipi di file non possono essere creati. Di fatto èsolo che il volume è direttamente snaploccato. Se io cerco di attaccarlo, come vedete, in realtà l'attacco viene fermato sul nascere perché è impossibile modificare un file all'interno di un volume che è stato snebloccato. Ok?La nostra demo, il nostro tempo è finito. Credo di aver fatto vedere praticamente tutto. Eh, >> ottimo. Chiaramente se >> Prego. No,ci sarebbe la parte di cloud secure, che è, diciamo, la parte esterna, quindi lato cloud, quindi quel modulo aggiuntivo di cloud insight che identificherebbe non l'accesso, diciamo, a del disco, ma il singolo utente come attività anomala. E tra le azioni che si possono fare direttamente da cloud secure, una volta identificata che ci sono questi problemi, può essere di fatto bloccato direttamente l'utente, per cui quell'utente lì viene bloccato a livello di dominio, non può più effettuare né login e né ovviamente non può più effettuare operazioni anomale all'interno dello storage. >> Ottimo, ci sono un po' di domande, Luciano, quindi magari iniziamo a rispondere a quelle, poi se ce ne sono altre risponderemo. La prima è eh la funzionalità di learning richiede spazio, immagino. A quanto potrebbe ammontare? Eh no, non tanto spazio, nel senso che non occupa molto spazio perché di fatto sono solo contatori, per cui è come di fatto un tra virgolette eh un identificare ipuntatori come se fosse una snapshot, quindi nontanto spazio. È evidente che è la ransonware protection suite che potenzialmente in caso di attacco ha bisogno di spazio. Perché se io faccio una snapshot nel momento in cui c'ho un attacco ransomware e questo attacco ransomware cerca di modificare tanti blocchi, è chiaro che quella snapshot crescerà velocemente, quanto più velocemente sono sotto attacco. >> Direi meno male, perché vuol dire che sta proteggendo i miei dati. >> Certo. >> Certo. >> Certo. >> Seconda domanda, in parte hai già risposto, però la riprendiamo, eh. Quali potrebbero essere gli impatti sulle performance con la funzionalità attiva di antiansonw? >> Ma allora non ci sono impatti ad oggi non nel senso non sono stati dichiarati impatti in termini percentuali sul sull'ai io della macchina perché di fatto essendo comunque post process come cioè viene identificato il movimento successivamente alla IO, quindi tendenzialmente non è una funzionalità che dovrebbe impegnare molto di più le CPU. È chiaro che una macchina, questo però voglio dire è una regola principe un po' per tutto, se abbiamo uno storage che è già molto utilizzato, quindi abbiamo già CPU e dischi che sono molto sotto stress, prima di abilitare la funzionalità è meglio che ci contattate che facciamo un'analisi della macchina prima di dire ok, di abilitarla così a cuor leggero. >> Ottimo. >> Ottimo. >> Ottimo. Domanda. Il backup di un volume eh potrebbe essere scambiato per un attacco ransoare?Allora, eh potenzialmente sì, perché se sono delle letture strane che vengono effettuate in maniera randomica, può essere identificato come un attacco conware. Di fatto però il fatto di aver abilitato il learning mode per un determinato tipo di tempo mi di fatto para anche da questa funzionalità. Per cui nel momento in cui io ho abilitato il learning mode e nel giro di un mese il mio eh backup tutte le sere gira e fa questa operazione, per lo storage è un'attività normale, per cui in realtà non verrà identificata come ransonware attack. Se invece questa operazione io la faccio una volta al mese e in quel mese che io l'ho fatta di fatto non l'ho registrata nel learning mode evidente che verrà presa come un'attività sospetta. Però essendo un backup e quindi una lettura di file da lì al backup server, quindi al mio target di backup, di fatto non essendoci una movimentazione in scrittura dei dati, quella snapshot verrà fatta, ma non occuperà spazio perché di fatto sono solo le modifiche, per cui essendo una lettura non verrà non verrà non occuperà lo spazio in più. >> Ottimo, proseguiamo perché ce ne sono un po'. Eh, hai attivato l'antirunansware per tutta la storage virtual machine, anche se non era definita una policy di snapshot oltre a quella di default. Così facendo, hai una granità inferiore per il ripristino? >> No,Ho solo dato l'ok a ogni volta che io creo un volume nuovo e lo identifico come un NAS volume ad avere la funzionalità di antiransomware che parte immediatamente al learning mod da quando creo il volume. Ho fatto solo questo di fatto, cioè per evitare di se la metto a livello di SVM evito di dovermi ricordare ogni volta che faccio un volume di abilitare la parte. >> Altra domanda. È best practice avere una schedulazione snapshot in linea con gli SLA e non quella di default di Ontap. Sì, direi di sì, nel senso che se il mio SLA nei confronti del mio cliente o comunque all'interno della mia azienda è di avere un ripristino, che ne so, eh del mio file server di 2 ore prima, ok? E la schedulazione di default di HTTAP in realtà potrebbe avere, cioè ci sono tre snapshot di fatto nel volume, no? Quindi è uno ore, mi perderei lo sl delle 2 ore. Quindi di sicuro questa è una è una best practice assoluta a prescindere dall'antiransoare, cioè eh la schedulazione delle snapshot all'interno dei volumi deve seguire gli SLA che la mia azienda o il mio cliente mi hanno richiesto. Questo sempre comunque il fatto di aver avuto una schedulazione ulteriore per il ransoare è solo per avere una protezione molto più ravvicinata ed evitare di dover recuperare molto più spazio nel momento in cui mi identifico e quando cioè nel momento in cui becco che ho una che sono sotto attacco. >> Anche questa in parte hai già risposto, ma la ripuntuziamo. La ransomware protection comporta un aumento di spazio consumato all'interno del volume? >> No, non più di tanto. No,èsolo identificare i movimenti, per cui non c'è un database grosso come può essere, non so, quello della compressione, quello della due duplica, quindi in realtà è un delta spazio che è irrisorio all'interno del volume. La funzionalità antiransware è una licenza aggiuntiva? >> Yes, assolutamente sì. è una è una suite, di fatto non si può comprare solo l'antiransomware, cioè l'antiransomware suite che è quella che vi ho fatto vedere prima, dove di fatto al suo interno ho una serie di cose. Eh, casomai vi faccio rivedere la slide, eh, così rifissiamo quali sono i contenuti del pacchetto che è questa qua. Dovreste vederlo adesso. Quindi all'interno dell'antirunansonware suite ho l'autonomous rans protection che è la funzionalità della 910, ma in più ho anche un anno di sottoscrizione del cloud secure, ho lo Snaplock, ho lo Snap Mirror, ho il Multikey Management, ho l'integrazione con il monitoring dell'active EQ, ho lo Snapcenter, ho le F policy, cioè ho tutta una serie di funzionalità che di fatto vengono date in corredo in un unico pacchetto, così da non averle sparse. Si vede che è un argomento caldo perché ci sono tantissime domande. Ehm, la ransom protection funziona in modo indipendente dalle snapshot policy? Assolutamente sì, sono due politiche differenti, come avete visto anche prima, magari nonve ne siete accorti, io forse non l'ho fatto vedere in maniera puntuale, all'interno della schedulazione delle snapshot ci sono le snapshot, quelle hourly, ledaily, le monthly, cioè quelle che sono di schedulazione tra virgolette classica e poi ci sono le antiansonware policy, cioè antiansonware snapshot che sono proprio fatte dal motore dell'antiransware, quindi sono distinte >> distinte >> distinte >> distinte Eh, come posso gestire un file sharing non erogato direttamente da Netup, ma da una macchina virtuale con VMware? Eh, nel momento in cui questo, se questo significa avere una macchina Windows che ha un disco attaccato eh che alla fine è un aluno o un VMDK, dove io faccio una share e la esporto, ahimè questa cosa non può essere intercettata dall'antirunare all'interno di quella di quel volume lì, o meglio, è difficile che l'antirunare se ne accorga perché di fatto essendo un alun barra un file quel file avrà ha sempre un'attività che è particolare, per cui sarebbe quasi impossibile per l'antirunoare identificare un'attività anomala. È chiaro che se io avessi un Lun che alla fine per sapete che all'interno di HTAP per noi è un file che ha un comportamento molto simile in continuazione, quindi cioè tutti i giorni ha un comportamento molto simile e poi un giorno da di matto perché fa operazioni strane non è che l'antiransware non funziona, lui farebbe una snapshot all'interno di quel volume per proteggere quel file barra quella lun, no? Il problema qual è? che è stato che è prima di tutto preso in un momento che si dice eh crash consistency, nel senso che nessuno ha dato consistenza a quel contenuto, quindi né la macchina virtuale coi VMware Tool né eventualmente un host a livello di Face system, quindi non è detto che sia consistente e soprattutto non è detto che abbia identificato il movimento. Esattamente, cioè non si può esattamente sapere quali sono i file che sono stati modificati, quali no. Bisognerebbe ripristinare l'interalun a corredo di un'altra macchina o della stessa macchina come una copia e vedere fisicamente fare uno screening manuale del conuto. Funzionerebbe come ipotesi, però di sicuro non sarebbe ottimo.>> Diventa non è immediata, mettiamola così.>> Non è immediata. >> Vabbè. La snaplock è paragonabile a una snapshot immutabile? Assolutamente sì, è proprio quello. La Snaplock è una snapshot che non si può modificare di fatto e che quindi non può essere neanche cancellata da o accidentalmente o volontariamente da un amministratore di sistema. Perché il problema di avere la sn lo snap in confronto a una snapshot normale è che alla fine anche una snapshot normale è immodificabile. Non si può toccare il contenuto di una snapshot, cioè lo puoi solo leggere, non lo puoi modificare per quello che comunque alla base del principio c'è sempre una snapshot che mi protegge da tutto. Il concetto di fondo è che se però un utente manevolo riesce a ad entrare sulla macchina, potrebbe come amministratore cancellare la snapshot. non può entrare nei meriti, ma può cancellare a livello di volume la snapshot e quindi cancellare la mia protezione. Lo snap impedirebbe anche questa funzionalità, per cui anche se entrasse un utente malevolo, sapesse la password, lo username, arrivasse sul volume, provasse a cancellare con la snapshot Snaplock, se io ho impostato, faccio per dire, una settimana, un mese, un anno, 2 anni di 5 anni di retention, vuol dire che fino a che la retention non è scaduta quella snapshot non può essere più toccata. Questo è proprio un caso reale, è successo a un cliente nostro che aveva abilitato questo tipo di funzionalità e che ha potuto ripristinare tranquillamente i dati perché nonostante fossero riusciti a entrare e a cancellare anche le snapshot di backup, ma aveva la parte di snaplockcata e quindi ha potuto recuperare senza problemi. Le ultime due domande. >> Yes. >> Yes. >> Yes. >> Eh, che tipi di notifiche sono disponibili da parte della Ramsonware Protection e se è integrata con Active IQ?è integrata con Attiv. Sì, certo. Èuna delle, se vedi nella terzultima riga che abbiamo qua nel dell'antiransonware suite, c'è proprio l'antirunansonware monitoring, quindi assolutamente sì. E quindi io lo vedo o a livello di system manager, come abbiamo visto prima, che mi identifica il i file e mi fa vedere anche quali sono i file, ma questo qui è triggerato come video. Assolutamente sì. Assolutamente sì. Assolutamente sì. Ottimo. L'ultima è ancora sulle performance. C'è molta attenzione sul fatto che possa generare >> Lo posso capire lavoro in background. Assolutamente sì. Posso capire, però Esatto,>> non è una protezione eh diciamo in line, lasciatemi dire così, quindi è una protezione post, cioè prima viene analizzato l'andamento della IO e quindi solo quando viene, diciamo, identificato l'anomalia a quel punto interviene, ma facendo poi una snapshot di fatto, quindi non è che si mette ad appesantire la io della macchina, è tendenzialmente trasparente.Ottimo, direi che abbiamo esaurito tutte le domande. Grazie ancora Luciano per la presentazione della demo. Grazie a tutti per la partecipazione. >> Vi invito al prossimo Tech Club del 28 che è proprio sulla parte di automazione legata a Dansible. Eh, questo Techub, come tutti gli altri sono registrati, quindi fra qualche giorno sarà disponibile, c'è proprio una sessione in cui potete anche rivedere tutti gli otto precedenti e quelli futuri. Grazie ancora a tutti.
NetApp offre un ecosistema generale e una strategia di protezione dei dati contro il ransomware, proteggendo i dati indipendentemente da dove si trovano, on-premise e nel cloud.