Test: NetApp Ontap 9.10.1

NetApp mit Ransomware-Schutz

22. November 2022, 7:00 Uhr | Christoph Lange/am

Fortsetzung des Artikels von Teil 1

Ungewöhnliche Verschlüsselung erkennen

Für den LANline-Test installierten wir auf dem Administrationsrechner das Programm Winzip, um zu prüfen, ob Ontap eine ungewöhnliche Verschlüsselung von vielen Dateien erkennt. Über den System-Manager legten wir ein neues Volume an, richteten eine Freigabe ein und kopierten eine umfangreiche Verzeichnisstruktur mit 160.000 Dateien in das Verzeichnis. Die oben beschriebene Snapshot-Policy mit Zehn-Minuten-Intervall hatten wir dem neuen Volume zuvor bereits zugewiesen. Anschließend aktivierten wir die Anti-Ransomware-Funktion und schalteten sie nach einer kurzen Lernphase in den scharfen Modus.

Im letzten Schritt öffneten wir Winzip, markierten alle Dateien dieses Volumes und starteten die Winzip-Verschlüsselung. Bereits wenige Sekunden später erstellte Ontap automatisch einen Anti-Ransom-ware-Snapshot. Wie sich zeigte, waren in diesem Snapshot erst 29 der insgesamt 160.000 Dateien verschlüsselt. Diese 29 Dateien konnten wir aus dem wenige Minuten vor Beginn der Attacke erstellten regulären Zehn-Minunten-Snapshot wiederherstellen. Der Systemverwalter kann im System-Manager unter dem Punkt View Suspected File Type prüfen, ob der ausgelöste Alarm berechtigt ist oder ob es sich um eine False-Positive-Meldung handelt.

Um die von einem Ransomware-Angriff verschlüsselten Daten möglichst schnell wiederherzustellen, unterstützt NetApp den Einsatz von Ansible-Playbooks mit eigenen Ansible-Modulen und einer Rest-API. Der Systemverwalter kann zum Beispiel ein Playbook bauen, das automatisch das von der Verschlüsselung betroffene Volume per Unmount-Befehl deaktiviert und es durch ein neues Volume ersetzt, das aus dem Backup-Snapshot kommt.

Noch einen Schritt weiter gehen die in Ontap integrierten FPolicy-Funktionen. Damit lassen sich alle Ransomware-Angriffe abwehren, die bekannte Dateiendungen verwenden. Die Verwaltung der FPolicy-Features ist bislang nur über die Ontap-Kommandozeile, das NetApp Powershell Toolkit, Ansible oder die Rest-API möglich. In der grafischen Konsole des System-Managers ist FPolicy bisher nicht enthalten. Eine neue FPolicy lässt sich zum Beispiel über mehrere Rest-API-Befehle erzeugen. In der Ontap-Testumgebung stand hierfür ein Skript zur Verfügung, das für ein Volume eine Anti-Ransomware-Policy erzeugte, mit der sich rund 40 bekannte Ransomware-Extensions blockieren lassen.

Tested by LANline_NetApp
© NetApp

Im Test fügten wir zur Liste der schädlichen Dateiendungen .zip hinzu, um zu prüfen, ob die FPolicy-Funktion anschließend eine Verschlüsselung von Dateien mit Winzip unterbinden kann. Um die FPolicy anzupassen, verbanden wir uns per Putty mit der Kommandozeile des Ontap-Clusters. Die Online-Dokumentation von NetApp enthält eine umfangreiche Beschreibung aller verfügbaren FPolicy-Befehle. Nachdem wir
.zip hinzugefügt hatten, starteten wir Winzip, markierten alle Dateien des Volumes und klickten auf den Verschlüsselungs-Button. Die FPolicy reagierte sofort, indem sie Winzip blockierte. Somit war keine einzige Datei verschlüsselt.

Die in Version 9.1.10 integrierten Anti-Ransomware-Funktionen bieten einen guten Basisschutz vor Ransomware-Angriffen. Die von der Anomalie-Erkennung bei einem potenziellen Angriff automatisch erzeugten Snapshots stellen sicher, dass sich die meisten Dateien in einem unverschlüsselten Zustand wiederherstellen lassen. Zudem sorgt die lokale FPolicy-Funktion dafür, dass sich bekannte Ransomware-Extensions von vornherein auf Filesystemebene blocken lassen.       


  1. NetApp mit Ransomware-Schutz
  2. Ungewöhnliche Verschlüsselung erkennen

Verwandte Artikel

NetApp GmbH

Storage

Backup