Предотвращение атак вымогателей путем обнаружения подозрительных уровней активности файловой системы

Предположим, что домашняя / небольшая офисная система Windows 8/10 с 3-4 пользователями и несколькими ТБ файлового ресурса (скажем, 6 ТБ в подходящем RAID). Большинство файлов являются статическими, но иногда файлы перемещаются или изменяются. Но если перезапись / удаление начинает происходить со слишком большой скоростью (количество файлов / постоянная скорость), это может быть признаком злонамеренной активности, и должно быть инициировано событие, чтобы предупредить пользователя или ответить на него.

Если это произошло из-за атаки типа вымогателей, и моддинг файла может быть обнаружен и остановлен в течение первых 5/30 минут, то вероятность того, что любое повреждение будет локализовано или могут существовать другие резервные копии для тех же / похожих данных, может быть довольно высокой, так что с этим можно жить. (Моя причина такого взгляда заключается в том, что для потокового копирования 4 ТБ диска для локального копирования требуется 10-20 часов; шифрование 6 ТБ RAID будет значительно медленнее из-за постоянной операции чтения-записи исходных дисков)

Проблема в том, что файловые ACL-списки не предназначены для двоичного «неограниченного разрешения» / «нулевого разрешения». Это не работает для других проблем с вредоносным ПО (плохие вложения / загрузки и т. Д.) И здесь не помогает. Я хотел бы провести какую-то постоянную «проверку работоспособности» о том, сколько и какие действия выполняются с этим доступом. Но я также не хочу замедлять обработку файлов, когда это законно, если не обнаружен фактический подозрительный доступ.

Какие методы можно использовать, чтобы, если вредоносный процесс каким-то образом удалось выполнить на устройстве или в локальной сети, и запустить цикл высокоскоростного «чтения-изменения-перезаписи» или «чтения-сохранения-файла-удаления-оригинала» на устройстве, полученная файловая активность может быть предупреждена этим устройством как подозрительная?

Таким образом, целью обнаружения является безумная волна файловой активности, которую могла бы начать атака типа выкупа. Это было бы очень трудно скрыть, выдержать и очень отчетливо / ненормально. Это должно сделать атаки в стиле вымогателей наиболее легкими для предотвращения. Но как можно наблюдать за этим?

Обновить:

Извините за любые неправильные формулировки. Я вычеркнул формулировку, которая привела к этому, как отвлечение - я думал, что это будет печально. Но технические характеристики ACL здесь действительно неуместны. Проблема не в том, «можете ли вы заблокировать структуру вашей файловой системы, чтобы избежать проблем с вымогателями», даже если вы абсолютно можете это сделать.

Вопрос ближе к этому: «У вас большая файловая система на базе Windows, но разрешения либо не могут, либо не будут заблокированы ( по какой-либо причине, могут ли некоторые согласиться или не согласиться ). Теоретически атака вымогателей занимают много часов и генерируют невидимую и чрезвычайно отличительную активность файловой системы, которая, если она будет замечена, несомненно, будет иметь возможность разрешить эффективные действия до того, как ущерб станет чрезмерным. ненормальное поведение файловой системы, даже если вредоносная программа не обнаружена. Вопрос: Если такое обнаружение было бы желательным, какие методы / инструменты / методы можно использовать для обнаружения вида деятельности? "