Protegendo dados usando a proteção autônoma contra ransomware no Amazon FSx para NetApp ONTAP

Por Sean Phuphanich, Principal Tecnólogo da AWS; Ivo Janssen, Arquiteto de Soluções Sênior (SA) na AWS e Sujata Abichandani, gerente técnico sênior de contas (TAM) para clientes estratégicos na AWS.

Introdução

Numa estratégia de segurança em camadas como uma defesa em profundidade, quando a prevenção falha, a mitigação torna-se crítica. A maioria dos serviços de armazenamento da AWS utiliza armazenamento imutável e recuperação de backup para mitigar o impacto do ransomware. A Proteção Autônoma contra Ransomware (ARP) é um novo recurso de segurança do Amazon FSx for NetApp ONTAP (FSx for ONTAP), Um serviço totalmente gerenciado que fornece armazenamento compartilhado confiável, escalável e de alto desempenho, construído no sistema de arquivos ONTAP da NetApp. O ARP vai além com sua capacidade de detecção e recuperação rápida de ataques de ransomware. Embora a AWS ofereça aos clientes diversas maneiras de proteção de dados e executar cargas de trabalho resilientes, neste artigo explicamos o que é a NetApp Autonomous Ransomware Protection (ARP), como ela funciona e como usá-la para melhorar a proteção de dados no FSx para sistemas de arquivos ONTAP.

Como o ARP ajuda a proteger contra ransomware

Figura 1: ONTAP funcionalidades de segurança

ARP é um recurso ONTAP da NetApp que monitora proativamente seu sistema de arquivos em busca de atividades incomuns e cria automaticamente “ONTAP Snapshots” quando um possível ataque é detectado, ajudando você a proteger seus dados críticos de negócios contra um conjunto mais amplo de eventos de ransomware. ONTAP Snapshots usa redirect-on-write (ROW) para o sistema de arquivos e pode realizar backup e recuperação de terabytes de dados em segundos. Isso é muito mais rápido do que qualquer método de backup e restauração que dependa de transferência de rede para o sistema de arquivos.

O ARP analisa os padrões de acesso à sua carga de trabalho para detectar proativamente atividades suspeitas. As análises do ARP detectam alterações na entropia (ou seja, a aleatoriedade dos dados em um arquivo), alterações nos tipos de extensão de arquivo (ou seja, uma extensão que não está em conformidade com os tipos de extensão comuns) e alterações no IOPS do arquivo (ou seja, um aumento repentino na atividade anormal do volume com dados criptografados) para identificar potenciais eventos de ransomware. Qualquer um ou todos esses padrões podem indicar um possível evento de ransomware. Se atividade suspeita for detectada, o ARP criará automaticamente um snapshot do volume afetado e, dependendo da gravidade do ataque suspeito, gerará alertas que você pode ler via Event Management System (EMS) messages, ONTAP CLI, ou REST API.

Para visualizar informações detalhadas sobre um evento suspeito, você pode gerar um relatório sobre o(s) volume(s) afetado(s) que mostra a probabilidade de ataque e o cronograma do ataque. Após analisar o relatório, você pode registrar que o alerta foi gerado por um falso positivo ou uma suspeita de ataque. Para um ataque suspeito, primeiro entenda e corrija o escopo do ataque e, em seguida, recupere os dados do snapshot criado pelo ARP. Se você determinar que o alerta foi causado por um alarme falso, o snapshot criado pelo ARP será excluído automaticamente.

O ARP reduz o tempo de inatividade causado por ataques aos seus compartilhamentos de arquivos SMB ou NFS em execução no FSx para ONTAP. Por exemplo, uma instância de computação comprometida pode obter acesso autorizado ao compartilhamento de arquivos e criptografar todos os dados aos quais tem acesso. O ARP detecta o ataque, cria um Snapshot e registra um alerta (os alertas podem ser encaminhados como syslogs para outros sistemas). Um administrador pode então responder ao alerta de ataque, revisar um relatório dos arquivos afetados e executar o processo de restauração.

Existem cargas de trabalho onde o ARP pode ser menos eficaz para detecção devido a padrões normais de uso que não são distinguíveis de atividades suspeitas. Por exemplo, se você cria ou exclui centenas de milhares de arquivos com frequência, como em um ambiente de teste ou desenvolvimento, tal comportamento não pode ser efetivamente distinguido de atividades de ransomware.

Passo a Passo Técnico

Para configurar o ARP, demonstraremos as seguintes etapas:

1. Instalação e ativação do recurso
2. Detecção e relatórios
3. Recuperação após um ataque de ransomware

As instruções pressupõem que você tenha credenciais fsxadmin e estejam conectadas no ONTAP CLI via o endpoint de gerenciamento em um ambiente de teste. Os comandos neste guia são para a CLI do ONTAP, salvo indicação em contrário.

Instalação e habilitação do ARP

O ARP possui dois modos: um “modo de aprendizagem” (também conhecido como “modo de simulação”) e um “modo ativo”. O ARP é gerenciado pela CLI do ONTAP ou pela API REST do ONTAP.

Primeiro, habilitamos o ARP no modo de aprendizagem, seja em um volume existente:

security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>

ou um novo volume:

volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>

Observe que, em volumes existentes, os modos de aprendizagem e ativo se aplicam apenas a dados recém-gravados, não a dados já existentes no volume. Os dados existentes não são verificados nem analisados, pois as características do tráfego de dados normal anterior são assumidas com base nos novos dados após a habilitação do volume para ARP.

A NetApp recomenda até 30 dias no modo de aprendizagem (descrito acima) antes de converter um volume para o modo ativo. O ARP determina automaticamente o intervalo ideal do período de aprendizagem e automatiza a alternância do modo de aprendizagem para o modo ativo, o que pode ocorrer em menos de 30 dias.

Para habilitar o ARP diretamente no modo ativo, use os seguintes comandos para um volume existente:

security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>

Você pode habilitar o ARP por padrão no nível do SVM, o que se aplica a todos os volumes recém-criados:

vserver modify -vserver <svm_name> -anti-ransomware-default-volume-state dry-run

E finalmente, você pode verificar o status do ARP:

security anti-ransomware volume show

Para verificar o status de um volume específico:

security anti-ransomware show -vserver <svm_name> -volume <vol_name>

Para obter mais informações sobre as opções de configuração do ARP, incluindo valores padrão, consulte o ONTAP command reference.

Detecção e relatórios

O ARP gera alertas ao encontrar dados aleatórios, IOPS altos de arquivos criptografados ou extensões de arquivo anormais. Os alertas podem ser visualizados em mensagens EMS, na CLI do ONTAP ou na API REST e podem ser de dois tipos: falso positivo ou suspeita de possível ataque de ransomware. Um arquivo de relatório contendo uma lista dos arquivos suspeitos afetados por ransomware pode ser gerado usando a CLI do ONTAP. Após a avaliação da ameaça, dependendo da resposta do administrador, as atividades futuras dos arquivos são monitoradas.

Alertas podem ser configurados quando o ARP observa uma nova extensão de arquivo e quando cria um snapshot. Para mais informações, consulte Configure ARP alerts. Os parâmetros de detecção de ataques podem ser modificados para se adequarem melhor a cargas de trabalho específicas. Alguns exemplos de saídas foram fornecidos para os comandos abaixo para ajudar você a entender o que esperar em caso de ataque.

Para verificar se o ARP gerou algum snapshot:

snapshot show -vserver <svm_name> -volume <vol_name> -snapshot Anti_ransomware_backup

[resultado de exemplo]

                                               ---Blocks---

Snapshot                                           Size Total% Used%

----------------                               -------- ------ -----

Anti_ransomware_backup.2025-04-07_1503  3.40MB     0%   10%

hourly.2025-04-07_1505                  1.45GB     0%   98%

hourly.2025-04-07_1605                   140KB     0%    0%

Primeiro, verifique a hora e a gravidade do ataque:

security anti-ransomware volume show -vserver <svm_name> -volume <vol_name

[resultado de exemplo]

      Vserver Name: fsx

       Volume Name: Vol1

             State: enabled

Dry Run Start Time: -

Attack Probability: low

   Attack Timeline: 04/07/2025 15:08:57

Number of Attacks: 1

Você também pode verificar mensagens no log do EMS:

event log show -message-name callhome.arw.activity.seen

[resultado de exemplo]

Time                Node             Severity      Event

------------------- ---------------- ------------- ------------------------

04/07/2025 11:27:55 cluster2-01      ALERT        callhome.arw.activity.seen: Call-home message for Vol1 (UUID: c437827d-8062-11ed-9f93-005056a0123) svm1 (UUID: 4574c5fe-8916-11ec-b931-005056a0123)

Em seguida, gere um relatório de ataque:

security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name:]vol_name/[sub-dir-name]>

Você pode então visualizar o arquivo de relatório no sistema de arquivos:

[arquivo de exemplo]

1       "4/07/2025 03:08:57"     /folder/file1.jpg.cf242b 1

2       "4/07/2025 03:08:57"     /folder/file2.jpg.2b591a 1

3       "4/07/2025 03:08:57"     /folder/file3.jpg.4812e1 1

 [file continues…]

Com base na avaliação do ataque, marque o evento como um Falso Positivo ou um Potencial ataque de ransomware.

Para marcar o ataque como um Falso Positivo: (esta ação excluirá o snapshot)

anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive true

Para lidar com um possível ataque, primeiro responda ao ataque e, em seguida, recupere os dados do snapshot criado pelo ARP. Somente após a recuperação dos dados, registre a decisão e retome o monitoramento:

anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

Recuperação (Recovery)

Antes da recuperação dos dados, é importante responder a qualquer atividade anormal detectada pelo ARP. Quando o evento de ransomware for confirmado, o volume poderá ser restaurado usando o snapshot gerado pelo ARP, denominado Anti_ransomware_backup. Um snapshot ARP é bloqueado quando há suspeita de ataque de ransomware. Snapshots bloqueados não podem ser excluídos, a menos que o ataque seja identificado como um falso positivo. Os administradores também podem restaurar seletivamente um arquivo do volume e não restaurar um snapshot completo.

Após a identificação de um ataque, você pode restaurar o volume a partir do snapshot. Primeiro, você precisará liberar o bloqueio no Anti_ransomware_backup snapshot. Se nenhum ataque ao sistema foi relatado, primeiro é necessário restaurar o Anti_ransomware_backup snapshot, somente então outros snapshots podem ser restaurados sobre ele.

Liste todos os snapshots:

volume snapshot show -vserver <svm_name> -volume <volume>

Restaure um snapshot:

volume snapshot restore -vserver <svm_name> -volume <volume> -snapshot <snapshot>

Para restaurar dados de snapshots anteriores, primeiro você precisa liberar o bloqueio do snapshot ARP. Marque o ataque como um possível ataque de ransomware e limpe os arquivos suspeitos:

anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [extension identifiers] -false-positive false

Use um dos seguintes parâmetros para identificar as extensões:

• [-seq-no integer]Número de sequência do arquivo na lista de suspeitos.
• [-extension ext, … ]Extensões de arquivo.
• [-start-time date_time -end-time date_time]Horários de início e término para o intervalo de arquivos a serem limpos, no formato “MM/DD/YYYY HH:MM:SS”.

Custos

Embora o ARP esteja disponível sem custo adicional, os custos padrão do FSx para ONTAP são aplicáveis. Lembre-se de limpar os recursos não utilizados quando o teste for concluído para não incorrer em custos adicionais.

Opções adicionais

Além do escopo deste artigo, o FSx para ONTAP pode ser integrado às suas práticas de segurança. Eventos de EMS podem ser inseridos em um sistema de gerenciamento de informações e eventos de segurança (SIEM) para visibilidade e gerenciamento centralizados de eventos de segurança. O NetApp Vscan, um recurso do ONTAP para executar software antivírus de terceiros compatível, pode integrar a detecção de malware à medida que os arquivos são gravados. De forma mais ampla, você pode aprender mais sobre maneiras adicionais de proteger todo o seu ambiente AWS aqui.

Conclusão

Ao ajudar a proteger seu sistema de arquivos contra ataques de ransomware, o ARP ajuda você a manter a continuidade dos negócios e a melhorar a proteção de dados críticos para os negócios armazenados no FSx para ONTAP. Nesta publicação do blog, descrevemos a Proteção Autônoma contra Ransomware (ARP) no Amazon FSx para NetApp ONTAP como parte integrante da sua postura geral de segurança para suas cargas de trabalho na nuvem. O ARP é fácil de configurar e oferece recursos de recuperação mais rápidos do que as soluções tradicionais de backup e recuperação. As ferramentas de gerenciamento baseadas em CLI permitem que você habilite o ARP em um volume. O ARP detectará eventos potenciais e criará snapshots automaticamente. Um administrador pode visualizar relatórios, marcar eventos como ransomware ou falsos positivos e restaurar volumes ou arquivos individuais a partir do snapshot. O ARP está disponível para todos os sistemas de arquivos FSx para ONTAP em todas as regiões da AWS onde o serviço está disponível.

TAGS: Amazon FSx for NetApp ONTAP, AWS Cloud Storage, Ransomware

 Autores

	Sean Phuphanich é Principal Tecnólogo da AWS com foco na solução de desafios complexos para a indústria. Ele é líder na comunidade AWS Storage, lidera a equipe do Public Sector Zero Trust Lab e é líder técnico em parcerias ISV.
	Ivo Janssen é Arquiteto de Soluções Sênior (SA) na AWS, na equipe de Organizações Sem Fins Lucrativos, onde gosta de solucionar missões sem fins lucrativos por meio da tecnologia em nuvem. Nos finais de semana, você pode encontrar Ivo no autódromo como fiscal de pista voluntário.
	Sujata Abichandani é gerente técnico sênior de contas (TAM) para clientes estratégicos na AWS. Ela auxilia os clientes na solução de problemas e na resolução de problemas técnicos complexos. Ela possui experiência em gerenciamento e migração de Network Attached Storage entre sistemas de armazenamento.

​Tradutores

Rubens Karklin é arquiteto de soluções (SA) da AWS que atua no Setor Público. Ele vem ajudando clientes a prosperarem seus negócios com expertise nas áreas de Redes, Segurança, Armazenamento de Dados, Computação e sempre ávido a aprender novas tecnologias. https://br.linkedin.com/in/rubenskarklin

Márcia Kawagoe é Arquiteta de Soluções (SA) da AWS no time de setor público com foco em Governo Federal. Márcia já atuou anteriormente emprojetos em segmentos diversos como: Telecomunicações, Instituições financeiras, Logística e Utilities. Formada em Ciências da Computação e com MBA em Gestão e Arquitetura em Infraestrutura pela FIAP, tem interesse por Storage, Analytics, Inteligência Artificial e viagens. https://br.linkedin.com/in/mkawagoe