これで安心！ONTAPのランサムウェア対策機能でセキュリティを強化しよう！パート②｜技術ブログ

NetApp

2022.03.25

みなさん、こんにちは。

SB C&S　技術担当の河村です。

今回は、ONTAPのランサムウェア対策機能を紹介していく記事の第2弾になります。前回はランサムウェアという不正プログラムのおさらいとともに、ONTAP 9.10.1で新たに追加されたランサムウェア対策機能についての概要をお話させていただきました。

前回の記事が気になる方は以下をご参照ください。
これで安心！ONTAPのランサムウェア対策機能でストレージからもセキュリティを強化しよう！パート①

今回は、ランサムウェア対策機能の設定方法から攻撃を検出した際の対処方法まで、ONTAPの管理ツールであるSystem Managerの画面と合わせて紹介していきたいと思います。

※本記事では、ランサムウェア対策機能の設定のみを記載しています。
　事前準備として、NAS(NFS/SMB)環境をONTAPに構築する必要がありますが、そちらの手順を確認した
　い方は、別途弊社が提供している「ONTAP NAS構築手順書」をご参照ください。

　ランサムウェア対策機能の設定方法　　　　　　　　　　　　　

ランサムウェア対策機能の設定は非常に簡単です。
設定手順とは別に注意事項もあるので、そちらについても押さえておきましょう。

左メニューから[ストレージ] - [ボリューム]を選択し、ランサムウェア対策機能を設定するFlexVolを選択します。
[セキュリティ]タブを選択し、[ランサムウェア対策]の[ステータス]をクリックします。
[ステータス]が「学習モードでイネーブルになります」に切り替わったことを確認します。

※ランサムウェア対策機能を有効にすると「学習モード」が開始されます。
　これは、対象FlexVolを利用している環境での普段のアクセスパターンや、
　書き込まれるファイル拡張子などをONTAPによって学習する期間です。
　学習モードの推奨期間は7日～30日となっており、これより短い期間にする場合、
　誤検知の原因になる可能性があります。
学習モードで推奨される期間を経過後、[アクティブモードに切り替えます]をクリックします。
[ステータス]が「アクティブモードで有効になります」に切り替わったことを確認します。

以上で、ランサムウェア対策機能の設定は完了です。

ちなみにONTAPによって学習されたファイル拡張子は以下のコマンドで確認することができます。

security anti-ransomware volume workload-behavior show -vserver [SVM名] -volume [FlexVol名]

Vserver：ランサムウェア対策機能を有効化したFlexVolが所属するSVM
Volume：ランサムウェア対策機能を有効化したFlexVol
File Extensions Included：ONTAPによって学習されたファイル拡張子

学習モードが終了し、アクティブモードに移行した後もFile Extensions Includedに表示されるファイル拡張子は増えていきます。
また、コマンドによって確認できるのはファイル拡張子のみですが、それと合わせて対象FlexVolに対するアクセスパターンについても内部での学習が続けられます。

　ランサムウェア攻撃検出の確認方法　　　　　　　　　　　　　

続いてランサムウェア攻撃を検出した際の確認方法について説明します。
攻撃を検出したタイミングでSnapshotの取得とアラートが出力されるので、そちらについても確認していきましょう。

設定の際と同様に対象FlexVolの[セキュリティ]タブをクリックします。
ランサムウェア攻撃を検出した場合、「異常なボリュームアクティビティが検出されました」と表示され、攻撃の日付と時間も確認することができます。
さらに詳細について確認したい場合、[疑わしいファイルの種類を表示します]をクリックします。
ここでは、ランサムウェアと思われる攻撃を受けたファイルの場所、ファイル名や拡張子まで確認することができます。
[クローズ]をクリックすれば、このウィンドウを閉じることができます。
次にSnapshotを確認します。
対象FlexVolの[Snapshotコピー]タブへ移動すると「Anti_ransomware_backup.YYYY-MM-DD_hhmm」という名前でSnapshotが作成されていることが分かります。

ランサムウェア対策機能により取得されたSnapshotはロックがかかるため、Snapshotのローテーションや手動操作によって削除されることはありません。
※削除すると以下のようなエラーが出力されます。
続いてアラートを確認します。
左メニューの[イベントとジョブ] - [イベント]を選択し、[概要]に表示されている警告内容をクリックします。
「This message occurs when ransomware activity is detected....」といったアラートを確認することができます。

本アラートはEMSの通知機能により、メールやSNMPを使用した通知が可能です。

ランサムウェア攻撃検出の確認方法は以上になります。

　ランサムウェア攻撃検出後の対処方法　　　　　　　　　　　　　

最後にランサムウェア攻撃を検出した後の対処方法について説明します。
対処方法は主に2つあり、①誤検出として処理するパターンと②ランサムウェア攻撃と判断し、対象FlexVolをリストアするパターンの対処方法について説明します。

①誤検出として処理するパターン

対象FlexVolの[セキュリティ]タブへ移動し、[疑わしいファイルの種類を表示します]をクリックします。
[疑わしいファイルタイプをマークします]から[誤検出]を選択し、[疑わしいファイルの種類を更新してクリア]をクリックします。

誤検出したファイル拡張子などの情報をONTAPが学習し、ランサムウェアの監視が再開されます。
このとき、誤検出の際に取得したSnapshotについても自動で削除されます。

②ランサムウェア攻撃と判断し、対象ボリュームをリストアするパターン

　※対象FlexVolのリストアをする場合、ランサムウェアによる脅威が完全に
　　排除されたことを確認してから実行してください。

対象FlexVolの[Snapshotコピー]タブへ移動し、「Anti_ransomware_backup.YYYY-MM-DD_hhmm」という名前のSnapshotの右にある[︙]から[リストア]を選択します。
[このSnapshotコピーからボリュームをリストア]にチェックを入れ、[リストア]をクリックします。
リストアが正常に完了したことを確認します。

※ONTAPのランサムウェア対策機能は、攻撃後のSnapshot取得になるため、少数のファイルは暗号化された状態になっています。
暗号化された少数ファイルについては、定期的なSnapshotからファイル単位で復旧することができます。
ファイル単位での復旧方法については、弊社が提供している「ONTAP NAS構築手順書」に記載していますので、こちらをご参照ください。

自動で取得されたSnapshotについては、7日後に自動で削除されます。
ボリュームのリストアが完了した時点でランサムウェアの監視が再開されます。

ランサムウェア攻撃検出後の対処方法は以上になります。

　まとめ　　　　　　　　　　　　　

今回の記事で紹介させていただいた通り、ONTAPのランサムウェア対策機能の設定は非常に簡単で、管理者の技術習得に関する負担を抑えることにもつながります。

セキュリティへの投資は敬遠されがちではありますが、何かあってからでは遅いというのもご理解いただけると思います。ランサムウェアの被害が増大している昨今の状況からも、ネットワークやエンドポイントだけでなく、万が一それが突破されてしまった場合の対策も考慮する必要があります。

前回の記事と合わせて、ONTAPのランサムウェア対策にご興味がありましたら、弊社までお問い合わせいただければと思います。

【SB C&S NetAppプロモーションTwitterアカウント】

NetAppに関するさまざまな情報を公開しています。
皆様フォロー宜しくお願いいたします。

@sbcas_netapp_pr

TwitterアプリからはこちらのQRコードもどうぞ。