Almacenamiento de archivos para la defensa contra ransomware

Una buena opción es hacer una copia de seguridad en un sistema remoto que regularmente crea instantáneas no modificables del sistema de archivos, que no se pueden cambiar / eliminar con las mismas credenciales utilizadas para acceder a los archivos.

Utilizo FreeNAS para almacenar mis archivos personales, y cada 15 minutos se crea una instantánea del volumen ZFS en el servidor.

La cuenta utilizada para acceder a los archivos también se puede usar para explorar y restaurar versiones anteriores, pero para eliminar una instantánea se necesitan diferentes credenciales que no están almacenadas en mis PC.

La parte importante es: al usar las credenciales almacenadas en la PC (que se usan para acceder a la versión actual de los archivos y cambiarlos), no es posible eliminar las instantáneas.

Pero recuerde: ¡Incluso un sistema RAID con instantáneas automatizadas programadas no puede reemplazar las copias de seguridad!

No estoy muy seguro de Windows, pero para la caja de Linux para uso doméstico / de un solo uso, hay "borgbackup" que hace un gran trabajo.

Todas las copias de seguridad pueden estar encriptadas (aunque, a diferencia de "duplicidad", borg no usa una clave GPG; es una clave simétrica que debe proporcionar en un aviso o por medio de una variable).

La mejor parte es que si tiene un servidor, puede enviar sus copias de seguridad allí y puede configurar el servidor para que se ejecute en modo "solo de adición" (utilizando las técnicas estándar ~ / .ssh / authorized_keys). Absolutamente nada en el lado del cliente podrá manipular los datos ya creados.

Utilizo esto y vigilo la cantidad de "nuevos" datos enviados todos los días. Combinado con lo que sé sobre "cuánto trabajo hice", esto me da una manera muy burda de captar cualquier cambio a gran escala, como podría ocurrir con un ataque de ransomware.

(Eso es mucho más que todas las otras locuras que hago para mantener diferentes piezas de software separadas, como mi correo, mi navegación casual y mi navegación "autenticada". Sinceramente, creo que nunca lo haré. recibir un golpe, pero no hay daño al agregar una capa de "advertencia" adicional!)

En primer lugar, todos los programas de copia de seguridad que no sean de mierda admitirán copias de seguridad incrementales o diferenciales con historial. Por lo tanto, el problema "los archivos rescatados reemplazarán a los archivos valiosos" no aparece, ni el ransomware puede realizar copias de seguridad si la computadora no tiene las credenciales para acceder a la red compartida fuera del programa de copia de seguridad.
El software de copia de seguridad comercial que uso ahora (Paragon) permite guardar en un recurso compartido SMB dado su propio nombre de usuario y contraseña, y el software FOSS que usé antes (rehacer) también lo hizo, y asumo que todos los programas de copia de seguridad que no son de mierda lo hacen. No hay acceso para compartir, no hay suerte para el malware.

En segundo lugar, existen medios (especialmente DVD / BluRay) que son, por diseño, una sola escritura. Eso significa que ninguno más y nada menos de lo que apesta para el uso general porque no puede reutilizar el medio después de haberlo escrito una vez (a excepción de la adición de sesiones múltiples). Pero también significa que no importa cómo avance el malware avanzado en el futuro, el malware no puede sobrescribirlo. Eso simplemente no es compatible con el medio.
Uno puede inclinarse a creer que los 25GiB que cabrán en un BluRay no son suficientes para almacenar toda la información valiosa. Se sorprenderá de lo poco valioso e irreemplazable que sea su información valiosa. Copia de seguridad en BluRay es completamente factible.

¿Es el ransomware realmente un problema? No lo sé, a juzgar por la cantidad de personas interesadas, parece ser así, pero honestamente no lo sé. He estado trabajando con computadoras casi todos los días desde mediados de la década de 1980, y he estado usando Internet antes de que la mayoría de la gente hubiera escuchado que esto existía. Hasta ahora, he tenido cero incidentes relacionados con malware en cualquier computadora que posea.
Ciertamente no es un error tener una copia de seguridad por si acaso (y sí tengo una), pero ante todo debes asegurarte de que no sea necesario que sea necesario para tener una.

  

buscando cualquier tipo de daño (no solo ransomware)

Detectar si el archivo completo está cifrado es trivial (incluso hay un MSWindows versión ). Sin embargo, algo que encripta todo el sistema de archivos sería difícil de detectar automáticamente (pero el impacto es muy obvio).

Algo que encripta o daña el contenido parcial dentro de un archivo sería muy difícil de diferenciar de una edición de usuario normal (muchos formatos de archivos son en realidad contenedores con múltiples archivos individuales dentro, por ejemplo, Adobe PDF, Microsoft Office). El análisis de la distribución de frecuencia de los caracteres (o tokens si tiene un analizador) puede proporcionar una detección más heurística si el archivo no está comprimido.

Hay una gran cantidad de actividades destinadas a detectar ransomware por su patrón de acceso a archivos (frecuencia de cambio de nombre de archivos, cambios de archivos, acceso a rastreo de directorios).

Una solución bastante simple es monitorear una pequeña colección de archivos en la raíz y en la parte inferior del árbol de directorios (es decir, los lugares donde el malware atacará primero) en una parte dedicada como canarios. Si estos archivos se actualizan (sin la acción de un usuario), entonces sabrá que probablemente haya malware en el trabajo. Cualquier IDS basado en host debería ser capaz de esto.

  

Las copias de seguridad normales no son realmente seguras, porque el ransomware podría dirigirse a sus copias de seguridad con la misma facilidad

Si sus "copias de seguridad ordinarias" están disponibles en línea, entonces sí, pero es por eso que usamos cintas, unidades ópticas y cintas virtuales.

  

¿Hay algún producto existente?

"Las preguntas que buscan recomendaciones de productos están fuera de tema y se vuelven obsoletas rápidamente"

  

(a) realiza copias automáticamente de las carpetas de archivos designadas

Sí, hay muchos programas de copia y copia de seguridad de archivos.

  

audita los archivos en vivo contra el archivo

Ver más arriba.