クライアントランサムウェアによってファイルサーバーデータが人質に取られるのを防ぐ方法は？

Question

ネットワーク内にストレージがすべてのワークステーション間で共有されているファイルサーバーがあり、すべてのユーザーが協力ワークフローのためにこのストレージへの完全な読み取り/書き込みアクセスを必要としているとします。（samba、afd、nfs以上）

（少なくとも）1つのクライアントがランサムウェアに感染した場合、その感染をどのようにしてファイルサーバーデータ全体の暗号化/影響を防ぐことができますか？

私が考えることができる唯一の効果的な対策は、書き込みアクセスを禁止し、すべての書き込み/削除アクションの要求時にのみ明示的にそれを許可することですが、これは大きな組織的なオーバーヘッドをもたらすようです。

このような状況から回復する方法を尋ねているのではありません。そのような場合に被害を最小限に抑えるためのバックアップが用意されています。

私はこれらのバックアップを使用せずに、感染の影響をローカルに保ちます。サーバーから完全に離してください。

Noir · Accepted Answer

一般に、最小限の特権の原則をできる限り適用するようにしてください。ランサムウェアがすべてのファイルを暗号化した場合のビジネスへの影響を評価し、より多くの制限を適用することで生じるオーバーヘッドとバランスをとります。

すべてのユーザーの書き込みアクセスを監視する監視システムをデプロイすることもできます。定義された時間内に一部のユーザーが異常な量のファイルに書き込む場合、共有への接続を強制終了し、通知を送信するなどのアクションをトリガーできます。

もう1つの対策は、ステージングエリアの導入です。この領域では、すべてが書き込み可能です。定義されたポイントで（プロジェクトまたはタスクが完了してからしばらく経過した後）、この領域のファイルは読み取り専用パーツに移動され、要求によってのみ変更できます。