NetApp Tech Blog에 갔다가 흥미로운 주제의 글이 보여서 AI 번역(+약간 수정)의 힘을 빌려 읽어보았습니다.
출처: https://community.netapp.com/t5/Tech-ONTAP-Blogs/Introducing-Autonomous-Ransomware-Protection-Powered-by-AI-in-NetApp-ONTAP-9-17/ba-p/464190
ARP/AI 기능 이해하기
ARP/AI는 실제 파일 내용에 접근하지 않고 파일 특성을 분석하여 작동하므로 데이터 개인정보를 보호하는 동시에 확률 모델링을 통해 의심스러운 암호화 파일을 식별합니다 .
- 이 도구는 저장된 데이터에서 데이터 엔트로피, 암호화된 파일 내용 및 헤더 와 같은 신호를 모니터링하여 파일을 열지 않고도 랜섬웨어 감염 가능성을 탐지합니다.
- ARP/AI는 탐지 시 NetApp 콘솔의 랜섬웨어 보호 서비스를 사용하여 변경 불가능한 스냅샷 생성 , 증거 생성, 경고 생성과 같은 대응을 자동화할 수 있으며, 추가 서비스로는 사용자 차단 등이 있습니다 .
데이터 안전 및 AI 모델 설계
이 AI 모델은 랜섬웨어 탐지만을 위해 특별히 개발되었으며, 명령줄 접근 권한이나 다른 용도로는 사용되지 않습니다. 수정된 파일에 악성 암호화 가능성을 나타내는 확률을 부여하여, 파일 내용이 학습이나 의사 결정에 사용되지 않도록 합니다.
ARP/AI의 진화
ONTAP 9.10.1에서 기본적인 탐지 기능을 제공하며 처음 도입된 이후, ARP/AI는 상당한 발전을 거듭해 왔습니다. ONTAP 9.10.1 의 학습 모드 도입 , 그리고 ONTAP 9.16.1의 사전 학습 모델 및 자동 모델 업데이트 기능 도입을 통해 기능이 지속적으로 향상되었습니다.
모델 학습 과정
ARP/AI 모델은 공개 데이터 세트의 깨끗한 파일을 사용하여 랩 샌드박스에서 학습되며 , 알려진 악성코드에 노출되어 손상된 파일을 생성합니다 . 자세한 내용은 그림 1을 참조하십시오.
그림 1 – ONTAP용 AI 모델 패키지 생성.
데이터 안전을 보장하기 위해 ARP/AI는 4시간마다 스냅샷을 생성하고 랜섬웨어가 감지되면 추가 스냅샷을 생성합니다. 이러한 스냅샷을 통해 감염 이전 상태로 롤백할 수 있으며, 사용자가 조정 가능한 지정된 기간이 지나면 삭제됩니다. 작동 방식에 대한 설명은 그림 2를 참조하십시오.
그림 2 – ONTAP 9.17.1에서 ARP/AI가 스냅샷을 사용하여 데이터를 보호하는 방법
SAN 환경을 위한 ARP/AI
ONTAP 9.17.1 에 도입된 ARP/AI for SAN은 데이터 엔트로피를 사용하여 볼륨 수준에서 랜섬웨어를 탐지합니다. VMDK와 같은 복잡한 스토리지 내의 특정 파일을 특정하지 않고도 랜섬웨어에 감염된 볼륨을 보고하여 전체 볼륨을 롤백할 수 있도록 합니다. 이 기능은 이제 NetApp의 새로운 ASA r2 스토리지 시스템 에서도 사용할 수 있습니다 .
아래 그림 3에서 NFS/CIFS 볼륨이 파일 수준에서 랜섬웨어를 탐지하는 것을 보여줍니다. 예시에서는 일반 파일(.docx, .jpg 등)과 VMware VMDK 가상 디스크 파일을 보여줍니다. 가상 디스크 내에 랜섬웨어가 있는 경우, ARP/AI는 VMDK 파일을 가리키지만, VMDK 내부를 직접 확인하여 랜섬웨어에 감염된 파일 자체를 탐지할 수는 없습니다.
SAN용 ARP/AI는 랜섬웨어가 포함된 볼륨을 보여줍니다 . 예시에서는 SAN 볼륨의 LUN이 있으며, 이 LUN은 VMware의 VMFS 파일 시스템으로 포맷되어 있습니다.
해당 파일 시스템에는 두 개의 가상 머신과 그 파일들이 있습니다. 만약 랜섬웨어가 가상 머신 중 하나에 침투했다면, ARP/AI는 전체 볼륨을 의심스러운 것으로 감지할 것입니다. 이는 SAN용 ARP/AI가 블록 수준에서 랜섬웨어를 감지하기 때문입니다. ONTAP은 VMFS 파일 시스템과 그 안에 있는 VMDK 파일 모두를 동시에 볼 수 있는 가시성을 가지고 있지 않습니다.
VMFS 파일 시스템은 단지 예시로 사용된 것임을 유의하십시오. SAN용 ARP/AI는 볼륨/블록 수준에서 랜섬웨어를 탐지하므로 SAN 볼륨의 내용과 무관합니다. LUN이나 파일 시스템 수준에서 탐지하는 것이 아닙니다. 즉, 가상 머신이 다른 하이퍼바이저와 다른 파일 시스템에서 실행 중일 수도 있습니다.
파일 또는 SAN 방식 모두 랜섬웨어가 존재한다는 알림을 받게 되며, 스냅샷 및/또는 환경에 따라 다를 수 있는 추가적인 방법을 통해 자동으로 대응할 수 있습니다.
그림 3 – Block과 NFS/CIFS에 대한 ARP/AI
ONTAP 9.17.1 버전부터 ARP(액세스 복구 프로그램)는 SAN 볼륨 워크로드의 엔트로피 수준이 랜섬웨어 보호에 적합한지 판단하기 위해 평가 기간을 필요로 합니다. SAN 볼륨에서 ARP를 활성화하면 평가 기간 동안 데이터를 지속적으로 모니터링하여 최적의 암호화 임계값을 결정합니다. ARP는 평가 대상 SAN 볼륨에서 적합한 워크로드와 부적합한 워크로드를 구분하고, 워크로드가 보호에 적합하다고 판단되면 평가 기간 통계를 기반으로 암호화 임계값을 자동으로 설정합니다.
사용자 인터페이스 및 임계값
ARP/AI 활성화는 간단합니다. AI는 여러 신호를 기반으로 작동하며, 비정상적인 엔트로피 급증 및 랜섬웨어 의심 징후를 감지하고, 임계값은 자동으로 조정됩니다.
이 내용은 문서 에서 가장 잘 설명되어 있습니다 .
마무리
요약하자면, ONTAP 9.17.1용 ARP/AI는 보안 수준을 크게 향상시켜 줍니다. 이제 파일 공유뿐만 아니라 SAN 워크로드에도 적용됩니다! 랜섬웨어가 발견되면 ONTAP 또는 SIEM의 SYSLOG를 통해 즉시 알림을 받게 되며, 랜섬웨어 탐지 스냅샷도 생성됩니다.
개인적으로 저는 오랫동안 데이터에 가장 가까운 수준, 즉 인프라 깊숙이 보안을 강화할수록 최고의 보안이 구축된다고 믿어왔습니다. ONTAP용 ARP/AI는 이러한 보안 기능을 스토리지에 제공하는 또 하나의 훌륭한 기능 입니다.
아, 그리고 무료라는 사실도 말씀드렸나요? 맞습니다, ONTAP에 기본적으로 내장되어 있습니다(다른 솔루션처럼 따로 추가된 게 아니에요!). 한번 사용해 보시고 의견을 알려주세요. 활성화(또는 필요하다면 비활성화)도 간편하며, 악의적인 공격자들이 당신을 다음 목표로 삼더라도 안심할 수 있을 겁니다.
