SDD Firmware com proteção contra Ransomware

SDD Firmware com proteção contra Ransomware. Equipe de pesquisadores incorporaram proteção contra ransomware no firmware de hardwares SSD. 

Equipe internacional de pesquisadores desenvolveu uma solução de segurança SSD que atua no nível de firmware do controlador, o que significa que o recurso é incorporado ao dispositivo de armazenamento para detectar atividades fora do comum que sinalizam uma infecção de ransomware e sua tentativa de criptografar seu dados. 

De acordo com os pesquisadores, o método degrada o desempenho ligeiramente, ao ponto de uma redução de desempenho de latência de 17% e um rendimento máximo de 8% menor. A solução é considerada facilmente integrada à cadeia de fabricação de SSD e visa se tornar uma barreira integral em soluções SSD comerciais para o problema de ransomware – tornado ainda mais grave devido à maioria dos usuários não implantar soluções focadas na proteção de ransomware (ou pelo menos , soluções de segurança com reconhecimento de ransomware). Essa pesquisa difere de outras soluções de segurança vinculadas a SSD por ser totalmente baseado em hardware e pode supostamente reparar os danos causados ​​por ataques de ransomware. 

O grupo inclui engenheiros da Inha University da Coréia do Sul, do Daegu Institute of Science and Technology e do Departamento de Segurança Cibernética da Ewha Womans University (EWU), além de um pesquisador da University of Central Florida, nos Estados Unidos.

Tive a ideia da detecção de nível de firmware porque sei que muitos [usuários] não instalam software anti-ransomware“, disse DaeHun Nyang, Ph.D., da EWU ao The Register sobre a origem do projeto de pesquisa da equipe . “Então, pensei que seria bom se pudéssemos proteger as pessoas que não têm anti-ransomware instalado em seus computadores, fornecendo-lhes um SSD com o anti-ransomware embutido.

A solução de firmware, provisoriamente chamada de SSD-Insider ++, aproveita as vantagens dos mecanismos de gravação e exclusão inerentes no NAND flash. Foi demonstrado que o firmware detecta e interrompe incursões de ransomware com 100% de eficácia, ao mesmo tempo que reverte qualquer criptografia que seja realmente alcançada dentro de 10 segundos do início do processo. “Avaliamos o SSD-Insider ++ usando programas de ransomware internos e do mundo real, incluindo WannaCry e Mole, enquanto vários aplicativos em segundo plano estão em execução”, escreveu a equipe de pesquisa. “Nossa implementação do SSD-Insider ++ tem 100 por cento de precisão de detecção com quase 0 por cento de FRR / FAR [Taxa de rejeição falsa e taxa de aceitação falsa] na maioria dos casos com menos de 10 segundos de latência de detecção.”

O firmware usa o controlador SSD para monitorar constantemente a atividade SSD, com bandeiras vermelhas sendo levantadas se qualquer tipo de carga de trabalho de criptografia estiver sendo realizada e não acionada pelo usuário. Se isso acontecer, o controlador interrompe todas as solicitações de gravação para o SSD, suspendendo efetivamente o processo de criptografia, notificando o usuário, por meio de seu aplicativo de software complementar, para permitir uma ação imediata (como executar uma varredura antivírus para remover a causa da tentativa de criptografia de ransomware). A camada de software no aplicativo complementar não faz parte da solução em si, que é totalmente baseada em hardware. Ainda assim, ele permite que o usuário interaja com a solução de firmware e recupere imediatamente quaisquer dados que foram criptografados antes que o processo fosse interrompido em suas trilhas.

No entanto, os SSDs estão atualmente no processo de integração de aceleradores de hardware mais poderosos (e mais variados), como FPGAs, NPUs e mecanismos de processamento de criptografia, portanto, os pesquisadores esperam que mecanismos de proteção mais complexos caminhem ao lado do ecossistema SSD em desenvolvimento. A solução de firmware também pode ser implantada teoricamente em HDDs Shingled Magnetic Recording (SMR) (onde o impacto no desempenho é mais severo do que em um SSD). No entanto, ele não foi testado neste ambiente.

O The Register pediu comentários sobre a solução SSD-Insider ++ proposta contra o flagelo do ransomware, com o especialista em segurança da ESET UK Jake Moore que disse “Infelizmente, este novo recurso pode não ser infalível. A função potencializa um atraso na exclusão, o que significa que os desenvolvedores de ransomware o fariam e ainda poderia ignorar esse recurso com o conhecimento de como esse antídoto funciona.” Mas é claro, isso é verdade para qualquer solução de segurança: jogadores ruins sempre tentarão subvertê-los, forçando um jogo permanente de travamento entre segurança e intrusão.

O artigo sobre SSD-Insider ++, SSD-Assisted Ransomware Detection and Data Recovery Techniques , foi publicado na revista IEEE Transactions on Computers sob termos de acesso fechado. ®

Outras soluções

Em maio a Phison e Cigent introduziram uma plataforma SSD co-desenvolvida que protege contra ransomware e roubo de dados com mecanismos integrados diretamente no firmware do SSD. As unidades criptografam e ocultam automaticamente os dados de olhos curiosos no caso de um ataque. Essas unidades de ‘autodefesa’ estarão disponíveis para todos este ano.

Os antivírus podem detectar malware já conhecido e analisar o comportamento dos programas para detectar padrões de comportamento potencialmente ilícitos. No entanto, o ransomware personalizado desenvolvido por grupos de hackers pode permanecer sem detecção até que seja tarde demais, deixando os sistemas abertos a ataques. Portanto, faz sentido proteger os dados no nível do hardware em muitos casos, pois isso geralmente é protegido contra manipulação. 

As unidades Secure SSD K2 e Secure SSD Denali da Cigent são baseadas nos  controladores PS5012-E12DC  Crypto-SSD NVMe da Phison e vêm com recursos de segurança baseados em firmware embutidos, bem como o  Cigent Dynamic Data Defense Engine  para Windows (D³E).

Quando uma ameaça é detectada, essas unidades criptografam automaticamente e ocultam arquivos confidenciais completamente da camada do sistema operacional em ‘salas seguras‘. Na verdade, as unidades da Cigent podem funcionar em um ‘Modo Dual‘ que divide um SSD em partições de armazenamento privadas / seguras e não privadas independentes que são invisíveis umas para as outras e para os adversários. Enquanto isso, para proteger os dados contra roubo físico, os drives da Cigent também vêm equipados com detectores e sensores de ataque. 

Além disso, o Cigent Denali Secure SSD pode realmente detectar ransomware (embora não esteja claro se o firmware detecta que um programa criptografa dados ou o software D³E faz isso) e oferecerá suporte à proteção de dados baseada em aprendizado de máquina ainda este ano. 


 

 
(Crédito da imagem: Cigent)

A família de produtos Cigent Secure SSD foi desenvolvida pela equipe de especialistas da Cigent em recuperação de dados e cibersegurança, trabalhando em estreita cooperação com os especialistas em armazenamento de ponta da Phison“, disse Greg Scasny, CTO da Cigent. “Esta equipe combinada desenvolveu soluções holísticas de proteção de dados com segurança integrada, tornando virtualmente impossível que dados e aplicativos críticos sejam acessados ​​de fontes não autorizadas. A segurança somente de software é muitas vezes facilmente contornada, mas nosso sistema multi-patenteado e multicamadas, pode defender o armazenamento e tornar os dados críticos completamente inacessíveis e literalmente invisíveis para os adversários, dando aos clientes tranquilidade de que seus dados confidenciais e ativos digitais estão armazenados e protegidos com segurança. ” 

Fonte: The Register & Tomshardware

Veja também:

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Dois terços das empresas já foram alvo de ataque de ransomware.
  2. Saiba o que é dumpster diving e qual o nível de fragmentação usar
  3. 1º vazamento de dados cadastrais do Pix

Deixe sua opinião!