Ransomware versleutelt 100.000 bestanden in gemiddeld 42 minuten

Door Anoniem:

Door Anoniem:

Door Anoniem: Je snapt niet dat er niet wordt ingezet op detectie van plotselinge toenamen van de I/O activiteit vanuit een bepaald systeem.
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.

Waarom denk je dat “opeens veel I/O gaan doen” heel abnormaal is – zodanig dat je er een grote paniektoeter alarm aan kunt hangen ?

Virusscanner , een of andere smart-indexer , backup, gebruiker die een stel directories gaat zippen of kopieert naar een andere share ?

Natuurlijk wil je als IT organisatie monitoren op “afwijkende patronen” – Het vergt alleen een stuk meer werk dan de meeste hobbyisten denken .
Afhankelijk van waarvoor systemen gebruikt worden kunnen heel wat dingen waarvan je dacht “kan niet normaal zijn” prima verklaarbaar – en normaal – zijn .

Ik denk juist dat het alleen bij hobbyisten wellicht een probleem zou kunnen zijn en dat bij bedrijven de gebruikspatronen
veel constanter zijn en makkelijker op afwijkingen te scannen.
“bij ons” is het niet normaal dat mensen 100000 files gaan zippen of copieren. Als ze dat wel doen dan is een alarm
wellicht ook op zijn plaats want wellicht is dit diefstal van bedrijfsgegevens.

Ken je patronen. Als je die goed genoeg kent heb je inderdaad de kans op afwijkingen in JOUW omgeving te zien , en is het prima om daarop te alarmeren en dan nader te kijken.
Weet je trouwens zeker dat 100K files processen niet normaal is voor een indexer, een backup of een virusscanner ?

Je hebt wel eens dat mensen, of afdelingen iets herorganiseren, en dan opeens een procentueel redelijk groot aantal files of MBs touchen omdat ze een stel projecten verschuiven (“afgerond_2021” ).

Als je een tijd in een bepaalde IT organisatie werkt en dat soort dingen goed genoeg monitort kun je een goede natte vinger krijgen voor wat in die omgeving een “raar” gedrag is – desondanks kun je daar nog wel in vergissen – nieuw project, afdeling die gaat samenwerken en een zwik data verschuift, opschoningen op kwartaal/halfjaar/jaar basis .

Ken je platform – en wees alert op afwijkingen. Het is alleen niet altijd zo simpel als roepen “veel files lezen is altijd abnormaal” .

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl