Home  >  Sem Categoria

Com novo processador, Intel promete detectar ransomware no nível do silício

Novos recursos dos processadores da Intel buscam dificultar a atividade cibercriminosa

Lucian Constantin, CSO

19/01/2021 às 21h22

Foto: Adobe Stock

Os fornecedores de segurança podem agora aproveitar os novos recursos de processamento de telemetria e Machine Learning (aprendizado de máquina) integrados aos processadores móveis da Intel de 11ª geração para detectar e bloquear melhor programas de ransomware sofisticados que tentam escapar das técnicas tradicionais de detecção. Os recursos são integrados às CPUs Intel Core projetadas para empresas que incluem o conjunto de recursos vPro.

Além dos recursos de gerenciamento de TI, a plataforma vPro oferece vários recursos de segurança aprimorados por hardware sob o nome Hardware Shield. Isso inclui coisas como execução confiável, virtualização, criptografia de memória, resiliência da BIOS em tempo de execução e tecnologia de detecção de ameaças (Intel TDT).

Como funciona o Intel TDT

O Intel TDT usa dados de telemetria da unidade de monitoramento de desempenho (PMU, sigla em inglês para Performance Monitoring Unit) da CPU combinados com heurísticas de Machine Learning para detectar ameaças potenciais. Alguns tipos de programas maliciosos afetam o desempenho da CPU devido ao tipo de tarefas que executam. Os programas ransomware claramente caem nesta categoria por causa de suas rotinas pesadas de criptografia de arquivos, assim como os cryptominers - programas maliciosos que sequestram a CPU ou GPU do computador para extrair criptomoedas.

O impacto no desempenho é refletido nos dados de telemetria da PMU e os modelos de aprendizado de máquina podem usá-lo para identificar um comportamento potencialmente suspeito ou anormal que pode indicar a presença de malware. Os softwares de segurança executados dentro do sistema operacional podem usar os sinais da Intel TDT para acionar outros fluxos de trabalho de varredura e correção. Essencialmente, isso permite a detecção de malware baseada em comportamento no nível da CPU.

"As defesas típicas se concentram em reforçar a segurança por meio de coisas como anti-phishing, backups ou outros métodos proativos - essas são ótimas práticas, mas os ataques podem passar por isso", explicou Michael Nordquist, diretor sênior de planejamento estratégico e arquitetura do Grupo de Business Client da Intel. "Nesses casos, o Intel TDT é capaz de detectar as cepas de ransomware mais comuns desde o início da criptografia de seus arquivos e pode sinalizar imediatamente o software AV/EDR para remediar o ataque. Isso pode ser inestimável, não apenas para limitar os danos aos infectados no endpoint, mas isso pode evitar danos laterais a outros endpoints ou vetorização na rede ou em aplicativos baseados em nuvem/SaaS."

Como o ransomware pode se esconder da detecção tradicional

Detectar programas de ransomware nunca foi fácil, e os invasores sempre encontraram maneiras de escapar dos produtos de segurança. Os grupos sofisticados que usam hacking manual e realizam reconhecimento de meses de duração e movimento lateral dentro de redes corporativas sabem muito bem qual software de detecção de malware suas vítimas estão usando e podem testar com antecedência para garantir que sua carga não seja detectada. Essa é parte da razão pela qual as campanhas de ransomware são tão eficazes e devastadoras para as organizações.

Além da detecção baseada em assinatura, os produtos de segurança tentam detectar o comportamento do tipo ransomware monitorando padrões incomuns na atividade do arquivo. Por exemplo, a leitura e gravação de um grande número de arquivos em determinados diretórios ou com certos tipos de arquivo em rápida sucessão pode indicar atividade suspeita. Diferenças significativas no conteúdo dos arquivos sobrescritos são outro exemplo, pois um arquivo criptografado terá uma aparência totalmente diferente do arquivo original. As tentativas de excluir backups do Volume Shadow Copy Service (VSS) também podem ser indicativas de ransomware. Todos esses sinais juntos podem ser usados ​​para detectar ransomware, mas os invasores ainda podem tentar se esconder, por exemplo, desacelerando a criptografia do arquivo e executando-o em lotes.

Intel TDT transfere o aprendizado de máquina para a GPU

A maioria das CPUs modernas vem com uma GPU incorporada que pode ler a RAM física do computador por meio de um recurso chamado acesso direto à memória (DMA). Isso ajuda as GPUs a realizarem suas tarefas de processamento com mais rapidez e compartilhar RAM com o sistema operacional host. O Intel TDT aproveita esse recurso para acelerar os modelos de aprendizado de máquina de computação intensiva que usa para detecção, executando-os na unidade gráfica Intel Iris Xe integrada, liberando assim a CPU para outras tarefas.

"Agora, com a combinação dos sinais existentes do sistema operacional e do comportamento do aplicativo, os indicadores de desempenho no nível da CPU e o poder de construir e executar modelos de aprendizado de máquina mais complexos em linha, oferecemos a capacidade de definir ransomware com maior precisão possível do que nunca", diz Striem-Amit, CTO da fornecedora de segurança Cybereason. A Cybereason já integrou os novos recursos de detecção de ransomware da Intel TDT. "Esta é uma evolução da tecnologia que nos permite casar a visibilidade no nível do sistema operacional com contadores de desempenho no nível da CPU para realmente entender se há atividade de ransomware."

A Intel TDT existe desde 2018 e alguns de seus recursos já foram adotados por outras soluções de segurança, como Microsoft Defender, SentinelOne Singularity e Blackberry Optics. As melhorias adicionadas nas CPUs habilitadas para Intel vPro Gen 11 foram projetadas com a detecção de ransomware em mente, dada a natureza generalizada dessa ameaça e o sério impacto que ela teve nas empresas em todo o mundo nos últimos anos.