¿Cómo evitar que los datos del servidor de archivos sean retenidos como rehenes por el ransomware del cliente?

7

Supongamos que en una red hay un servidor de archivos cuyo almacenamiento se comparte entre todas las estaciones de trabajo y todos los usuarios requieren acceso completo de lectura / escritura a este almacenamiento para su flujo de trabajo de cooperación. (Sobre samba, afd y nfs)

Si (al menos) un cliente se infecta con un ransomware, ¿cómo se puede evitar que la infección encripte / afecte a todos los datos de los servidores de archivos?

El único contramedido efectivo que puedo pensar es prohibir el acceso de escritura y otorgarlo explícitamente a petición de todas las acciones de escritura / eliminación, pero esto parece introducir una gran sobrecarga organizativa.

No estoy preguntando cómo recuperarme de un szenario de este tipo: hay copias de seguridad en su lugar que deberían mantener el daño mínimo en tal caso.

Prefiero no usar estas copias de seguridad y mantener el efecto de la infección local, por ejemplo. manténgalo fuera del servidor por completo.

    
pregunta Tobi Nary 16.03.2016 - 17:51
fuente

1 respuesta

5

En general, asegúrate de aplicar el principio de privilegio mínimo tanto como puedas. Evalúe el daño que se haría al negocio si un ransomware cifra todos los archivos y compárelo con los gastos generales que se introducirían al aplicar más restricciones.

También puede implementar un sistema de monitoreo que supervise el acceso de escritura de cada usuario. Si algún usuario escribe en una cantidad inusual de archivos en un tiempo definido, podría activar una acción como matar la conexión al recurso compartido y enviarle una notificación.

Otra medida es introducir un área de preparación. En esta zona todo es escribible. En un punto definido (después de un período de tiempo después de que finaliza un proyecto o tarea) los archivos en esta área se mueven a una parte de solo lectura y solo se pueden modificar por solicitud.

    
respondido por el Noir 16.03.2016 - 18:43
fuente

Lea otras preguntas en las etiquetas