Железо

Вышел SSD-накопитель, который утверждает, что имеет встроенную защиту от программ-вымогателей

Охранная компания утверждает, что разработала флэш-накопитель со встроенной поддержкой защиты от программ-вымогателей, который может защитить любые хранящиеся на нем данные от кражи или шифрования вредоносным ПО.

Мы почти уверены, что слышали заявления о подобных вещах раньше, поэтому мы более внимательно ознакомились с этим последним материалом.

Как нам сказали, Cigent Secure SSD + оснащен встроенным процессором, который использует алгоритмы машинного обучения для постоянного мониторинга обращений к диску и будет блокировать доступ, если обнаружит активность программ-вымогателей.

Cigent также утверждает, что это отличается от существующих подходов к борьбе с программами-вымогателями тем, что предоставляет организациям превентивное решение, а не противодействует атаке, которая уже произошла.

“Продукты Endpoint Detection and Response (EDR) основаны на ‘обнаружении и реагировании’ после того, как атака уже произошла”, – говорится в заявлении директора по доходам компании Тома Рикоя.

В отличие от этого, по его словам, “Cigent внедрил автоматическую защиту от атак как можно ближе к данным – в самом хранилище, – где она может последовательно предотвращать вымогательство файлов злоумышленниками, даже если EDR был обойден”.

Cigent уже предлагает безопасное завоевывают все большую популярность, что защищает данные путем полного шифрования диска и поддержка многофакторной проверки подлинности, и компания продает защита данных программное обеспечение как услуга (SaaS), платформа для защиты данных на конечных систем.

Мы спросили профессора Бернарда ван Гастеля из института вычислительной техники и информационных наук в Неймегене, Нидерланды, насколько правдоподобным, по его мнению, было бы установить что-то подобное.

Профессор ван Гастел сказал нам, что он может ответить “с концептуальной точки зрения”, и добавил: “Чтобы сделать что-то подобное работоспособным, вам нужно (1) правильно обнаружить программу-вымогатель (2) принять эффективные меры для борьбы с ней.

“В первом случае вы можете обнаружить закономерности в том, как используется диск. Если все данные перезаписаны, это показатель того, что программа-вымогатель активна. Вы даже можете обнаружить это на ранней стадии, если через несколько минут на диск записывается значительный объем данных. Но, как и во всех этих механизмах обнаружения (таких как спам, обнаружение вторжений и т.д.), Необходима надлежащая калибровка ложноотрицательных и ложноположительных результатов. Ложные срабатывания означают, что данные заблокированы, и в системе будет время простоя. Ложный отрицательный результат означает, что программа-вымогатель действительно может работать.”

“Для второго вам нужно “зафиксировать” содержимое диска”, – добавил профессор. “По крайней мере, убедитесь, что никакие дополнительные данные не изменяются. Но уже может произойти потеря данных, потому что обнаружение всегда происходит “постфактум “.”

Он сказал, что сама компания указывает на это “в пункте 3 под “Несколькими важными примечаниями” в их техническом описании. Таким образом, это не полная защита, потому что могут быть ложноотрицательные результаты, и они могут сработать слишком поздно, поэтому некоторый ущерб уже нанесен. И это может стоить вам доступности ваших систем из-за ложных срабатываний “.

Профессор ван Гастел предупредил, что: “В конце концов, вам все еще нужны высококачественные процедуры резервного копирования и восстановления. Поэтому я бы не рассматривал такой новый подход как серебряную пулю, которая устраняет вымогателей. Но мы живем в несовершенном мире, в котором процедуры резервного копирования и восстановления часто работают не так, как должны. Поэтому обнаружение программ-вымогателей такого рода на диске может сработать, и я вижу, что это может помочь организациям на практике “.

Брайан Хонан из BH Consulting повторил это предостережение, сказав: “Я должен сказать, что я скептически отношусь к этим заявлениям, не в последнюю очередь из-за того, что акт шифрования данных в рамках атаки программ-вымогателей является последним шагом в длинной цепи событий. Прежде чем это произойдет, ваши системы уже были скомпрометированы, и ваши данные, возможно, были удалены.

“Так что, как и во всем, что касается безопасности, для защиты наших систем не существует единой серебряной пули, но требуется много разных уровней защиты”.

Подключение к службам

Похоже, что Secure SSD + действительно предназначен для работы с платформой защиты данных, поскольку, по мнению компании, это позволяет ей инициировать карантин данных в масштабах всей компании в ответ на обнаружение программ-вымогателей.

Это запускает статус “Shields Up”, который автоматически требует многофакторной аутентификации для доступа ко всем защищенным файлам, сказал Cigent, в то время как сам диск может быть дополнительно переведен в режим только для чтения, чтобы защитить данные от изменения, удаления или шифрования.

Cigent сообщил The Register, что каждый защищенный твердотельный накопитель + включает клиентскую лицензию на программное обеспечение Cigent Data Defense.

Между тем, платформа SaaS Data Defense позволяет ИТ-специалистам и сотрудникам службы безопасности отслеживать диски и управлять ими, устанавливать политики, сбрасывать PIN-коды, а также получать предупреждения о вымогателях, сказал Cigent.

Его также можно использовать для управления программным обеспечением защиты данных на остальных компьютерах организации и запуска статуса “Shields Up” для защиты их от программ-вымогателей, даже если у них нет защищенного диска SSD +.

Утверждается, что Secure SSD + имеет средства защиты от отключения средств безопасности, а именно встроенное “сердцебиение встроенного ПО хранилища”, которое определяет, отключено ли программное обеспечение Cigent. Нам сказали, что в этой ситуации доступ к защищенным данным заблокирован.

Запланированные обновления должны включать функции, предотвращающие клонирование, стирание или доступ к диску, если система загружена с другого диска.

Генеральный директор и соучредитель Cigent Джон Бенкерт – ветеран разведки ВВС США и АНБ, согласно веб-сайту компании, а также генеральный директор подразделения по восстановлению данных CPR Tools. Компания нацелена как на коммерческие, так и на государственные организации, включая правительственные органы.

Мы попросили Cigent предоставить более подробную информацию о защищенном SSD + и его встроенной обработке. Компания сообщила нам, что использует специальный MCU (микроконтроллерный блок) для проверки низкоуровневых телеметрических данных с контроллера SSD, анализируя их с помощью алгоритмов машинного обучения на предмет признаков активности программ-вымогателей.

Микроконтроллер отделен от контроллера SSD, но подключается к нему через выделенную коммуникационную шину, отдельную от канала передачи данных. Это предназначено для обеспечения того, чтобы накопитель мог поддерживать производительность, сказал Cigent.

Анализируя сохраненную телеметрию за пределами контроллера SSD, он утверждает, что это практически не влияет на обычные операции чтения / записи.

Тем не менее, спецификация продукта несколько невелика по спецификациям, не указывая точную производительность чтения / записи. Cigent подтвердил, что диски будут доступны емкостью 480 ГБ, 960 ГБ и 1920 ГБ, когда они будут готовы к покупке, что произойдет где-то в мае 2023 года.

В техническом описании действительно указано, что Secure SSD + поставляется в двустороннем форм-факторе M.2 2280, что означает, что он имеет ширину 22 мм и длину 80 мм и может не подходить для некоторых ультратонких ноутбуков.

Профессор Алан Вудворд, специалист по компьютерам из Университета Суррея и эксперт по безопасности, сказал нам, что это устройство выглядит как увлекательная концепция, но оно вызывает несколько вопросов. “Что именно представляет собой встроенный мониторинг AI? Ищет ли он шаблоны, похожие на вредоносное ПО? Интересно, насколько эффективен этот подход. Искусственный интеллект и машинное обучение продвигаются вперед в борьбе с вредоносными программами всех видов, но это не на 100 процентов точно ”, – сказал он.

Действительно, эта сноска в техническом описании предупреждает, что “небольшой процент файлов может быть зашифрован программой-вымогателем до того, как сработают меры противодействия диску”.

Но Cigent утверждает, что его алгоритмы машинного обучения были проверены и могут обеспечить защиту даже от новых программ-вымогателей, в то время как чувствительность обнаружения может быть динамически настроена для уменьшения ложных срабатываний.

Профессор ван Гастел добавил: “Обнаружение таких программ-вымогателей должно быть подтверждено вовремя. Все это при условии, что они правильно это реализовали. Как я обнаружил в ходе моего предыдущего исследования SSD, многих реализаций не хватает. Эталонные реализации, которые проверяются внешней стороной, необходимы для повышения доверия к правильной работе. ”

В техническом описании также указано, что Secure SSD + необходимо установить в качестве загрузочного диска в конечной системе, и в настоящее время поддержка включает только Windows, но скоро появится поддержка Linux.

Накопители, которые таким образом интегрируют некоторые возможности обработки, иногда рассматриваются как развивающаяся область, обозначаемая как Вычислительное хранилище. Типичным примером являются SmartSSD Samsung s. Такие устройства могут иметь встроенный процессор, FPGA или ASIC для ускорения некоторых функций хранения, таких как сжатие, распаковка или стирание кода. ®

admin
Author: admin