假设一个 Windows 8/10 家庭/小型办公室系统,有 3-4 个用户和几 TB 的文件共享(在合适的 RAID 中为 6TB)。大多数文件都是静态的,但有时文件会被移动或修改。但如果覆盖/删除开始以太快的速率发生(文件数量/持续速率),则可能是恶意活动的迹象,应触发事件以提醒用户或对其做出响应。
如果这是由于勒索软件式的攻击,并且文件修改可以在前 5/30 分钟内被检测并停止,则任何损坏都将被本地化或可能存在相同/相似数据的其他备份的可能性相当大,因此可以忍受。(我之所以持这种观点,是因为仅传输 4TB 驱动器以进行本地复制就需要 10-20 小时;由于源驱动器的不断读写,加密 6TB RAID 的速度会慢得多)
问题是文件 ACL 不适用于二进制“无限权限”/“零权限”。这对其他恶意软件问题(不良附件/下载等)不起作用,在这里也无济于事。我希望对使用该访问权限进行多少活动以及进行何种活动进行某种持续的“健全性检查”。但我也不想在合法的情况下减慢文件处理速度,除非检测到实际的可疑访问。
可以使用哪些技术,以便如果恶意进程以某种方式设法在设备或 LAN 上执行,并开始在设备上进行高速“读取-修改-覆盖”或“读取-保存新文件-删除原始文件”的循环,则该设备可以将由此产生的文件活动警告为可疑?
因此,检测的目标是勒索软件攻击引发的疯狂文件活动。这种攻击很难隐藏、持续且非常独特/异常。这应该使勒索软件式攻击最容易预防。但人们该如何观察它呢?
更新:
抱歉,如有错误,请原谅。我删除了导致此问题的措辞,因为它会分散注意力 - 我认为它会有所帮助。但 ACL 的技术细节在这里确实与主题无关。问题不是“您是否可以锁定文件系统结构以避免勒索软件问题”,即使你绝对可以这么做。
问题更接近于这样:“您有一个大型的基于 Windows 的文件系统,但权限无法或不会被锁定(无论出于什么原因,无论有人同意还是不同意)。理论上,勒索软件攻击会持续数小时,并产生无法隐藏且非常独特的文件系统活动,如果被注意到,肯定有可能在损害变得极端之前采取有效行动。勒索软件活动是完全不会出错的,因此即使没有检测到恶意软件,也可以通过检测和警告这种异常的文件系统行为来防止大规模损害。问题:如果这种检测是可取的,那么可以使用哪些方法/工具/技术来检测所涉及的活动类型?