DSM 7.2 ActiveInsight: Dateiaktivität (Beta) - Ransomware-Schutz

[Ulfhednir]

Ich habe gerade folgendes entdeckt:
Wenn man sich das aktuelle Paket von der Homepage herunterlädt, kann man eine Ransomware-Erkennung aktivieren.

 

[Thonav]

Bedeutet das nicht auch, dass Synology dadurch Deine Daten scannt?

 

[plang.pl]

Nein. Die werden nur massive Änderungsvorgänge an einer großen Dateimenge erkennen und melden. So machen das die allermeisten Ransomware Heuristik-Erkennungen.

 

[Ulfhednir]

Bin mir da nicht zu 100% sicher, was die treiben:

 

[plang.pl]

Im ersten Dialog wird man konfigurieren können, wie schnell der Alarm auslöst. Also wenn wenige Daten geändert werden, mäßig viele oder sehr viele, um das jetzt mal ohne konkrete Zahl (denn die haben wir ja nicht) darzustellen.
Der untere Dialog zeigt von Ransomware typisch verwendete Dateinamen + Erweiterungen als eine Art Regex, wenn ich das jetzt richtig interpretiere.
Das heißt, bei gewissen Mustern im Dateinamen schlägt die Erkennung an. Ich halte aber die Isolation, also das "Anhalten der Verschlüsselung" für wichtiger. Davon wird gar nix geschrieben. Wenn ich via Active Insight den Alarm erhalte, dass grad Daten verschlüsselt werden, ist die Wahrscheinlichkeit hoch, dass bereits der Großteil der Daten verschlüsselt ist, bis ich es schaffe, irgendwelche Maßnahmen einzuleiten. Ein automatisierter Vorgang muss hier implementiert werden (beispielsweise Aushängen des Volumes), damit die Funktion überhaupt irgendwas nützt.

 

[maxblank]

Ich hatte die Funktion direkt am Anfang getestet, bei jedem Backup ging der Alarm los.
Von der dauerhaften Aktivität auf den Datenträgern ganz zu schweigen.

 

[metalworker]

Mir wäre es allerdings lieber wenn das ohne Active Insight gelöst werden würde.
Aber grundlegend eine sehr gute Funktion.

Es müsste aber wirklich eine automatik geben die direkt Aktiv wird.
Bringt ja nix wenn es am samstag früh nen Trojaner gibt und der Admin erst Montag früh das sieht und aktiv wird.