.
Uma empresa de segurança afirma ter desenvolvido uma unidade flash com suporte integrado de prevenção de ransomware que pode proteger todos os dados armazenados contra roubo ou criptografia por malware.
O Cigente SSD seguro+ tem um processador integrado que usa algoritmos de aprendizado de máquina para monitorar constantemente os acessos ao disco e irá bloquear o acesso se detectar atividade de ransomware, nos disseram.
Cigent também afirma que isso difere das abordagens existentes para combater o ransomware, fornecendo às organizações uma solução preventiva em vez de enfrentar um ataque que já aconteceu.
“Os produtos Endpoint Detection and Response (EDR) dependem de ‘detectar e responder’ depois que um ataque já ocorreu”, disse o diretor de receita da empresa, Tom Ricoy, em um comunicado.
Por outro lado, ele afirmou, “a Cigent colocou a prevenção automatizada de ataques o mais próximo possível dos dados – no próprio armazenamento – onde pode impedir consistentemente que invasores resgatem arquivos, mesmo que o EDR tenha sido contornado”.
A Cigent já oferece uma linha Secure SSD que protege os dados por meio de criptografia de disco completo e suporte para autenticação multifator, além de a empresa vender um Defesa de Dados Plataforma de software como serviço (SaaS) para proteger dados em sistemas endpoint.
Perguntamos ao professor Bernard van Gastel, do Instituto de Ciências da Computação e Informação em Nijmegen, na Holanda, quão plausível ele achava que seria criar algo assim.
O professor van Gastel nos disse que poderia responder “de um ponto de vista conceitual” e acrescentou: “Para tornar algo assim viável, você precisa (1) detectar adequadamente o ransomware (2) ter medidas eficazes para agir sobre ele.
“Para o primeiro, você pode detectar padrões em como uma unidade é usada. Se todos os dados forem substituídos, isso é um indicador de que o ransomware está ativo. Você pode até detectá-lo no início, se em alguns minutos um pedaço significativo de os dados no disco estão sendo gravados. Mas, como acontece com todos esses mecanismos de detecção (como spam, detecção de intrusão, etc.), é necessário haver calibração adequada de falsos negativos e falsos positivos. Um falso positivo significa que os dados estão bloqueados e o sistema terá tempo de inatividade. Um falso negativo implica que o ransomware pode realmente funcionar.”
“Para o segundo, você precisa ‘fixar’ o conteúdo da unidade”, acrescentou o professor. “Pelo menos certifique-se de que nenhum dado adicional esteja sendo modificado. Mas já pode haver perda de dados, porque a detecção é sempre ‘após o fato’.”
Ele disse que a própria empresa indica isso “no ponto 3 em ‘Algumas notas importantes’ de sua folha de dados. Portanto, não é proteção total, porque pode haver falsos negativos e pode entrar em ação tarde demais, então algum dano já está feito. E pode custar a disponibilidade de seus sistemas por causa de falsos positivos.”
O professor van Gastel alertou que: “No final, você ainda precisa de procedimentos de backup e recuperação de alta qualidade. Portanto, não veria essa nova abordagem como uma bala de prata que resolve o ransomware. Mas vivemos em um mundo não perfeito, no qual backups e procedimentos de recuperação geralmente não funcionam como deveriam. Portanto, esse tipo de detecção de ransomware em uma unidade pode funcionar e vejo que pode ajudar as organizações na prática.”
Brian Honan, da BH Consulting, ecoou esta nota de cautela, dizendo: “Devo dizer que sou cético em relação a essas alegações de que o ato de criptografar dados como parte de um ataque de ransomware é o último passo em uma longa cadeia de eventos. Antes isso acontece, seus sistemas já estão comprometidos e seus dados podem ter sido exfiltrados.
“Assim como com tudo em segurança, não há uma bala de prata para proteger nossos sistemas, mas requer muitas camadas diferentes de defesa.”
Ligação de serviços
Parece que o Secure SSD+ foi realmente projetado para funcionar com a plataforma Data Defense, pois a empresa considera que isso permite iniciar um bloqueio de dados em toda a empresa em resposta à detecção de ransomware.
Isso aciona um status “Shields Up” que requer automaticamente autenticação multifatorial para acessar todos os arquivos protegidos, disse Cigent, enquanto a própria unidade pode opcionalmente ser colocada em modo somente leitura para proteger os dados de serem modificados, apagados ou criptografados. .
Cigent disse Strong The One que cada Secure SSD+ inclui uma licença de cliente para o software Cigent Data Defense.
Enquanto isso, a plataforma Data Defense SaaS permite que o pessoal de TI e segurança monitore e gerencie as unidades e defina políticas, redefina PINs e receba alertas de ransomware, disse Cigent.
Ele também pode ser usado para gerenciar o software Data Defense no restante dos PCs da organização e acionar o status “Shields Up” para protegê-los contra ransomware, mesmo que não tenham uma unidade SSD+ segura.
Diz-se que o SSD+ seguro tem salvaguardas contra a desativação dos controles de segurança, ou seja, um “pulsamento de firmware de armazenamento” incorporado que detecta se o software Cigent está desativado. O acesso aos dados protegidos é bloqueado nesta situação, fomos informados.
As atualizações planejadas são definidas para incluir recursos para evitar que a unidade seja clonada, limpa ou acessada se o sistema for inicializado a partir de outro disco.
O CEO e cofundador da Cigent, John Benkert, é um veterano da USAF Intelligence e da NSA, de acordo com o site da empresa, e também CEO da empresa de recuperação de dados CPR Tools. A empresa tem como alvo organizações do setor comercial e público, incluindo órgãos governamentais.
Pedimos à Cigent mais detalhes sobre o Secure SSD+ e seu processamento integrado. A empresa nos disse que usa um MCU dedicado (unidade de microcontrolador) para inspecionar dados de telemetria de baixo nível do controlador SSD, analisando-os com algoritmos de aprendizado de máquina para indicações de atividade de ransomware.
O MCU é separado do controlador SSD, mas se conecta a ele por meio de um barramento de comunicação dedicado separado do caminho de dados. Isso foi projetado para garantir que a unidade seja capaz de manter o desempenho, disse Cigent.
Ao analisar a telemetria armazenada fora do controlador SSD, praticamente não há impacto nas operações normais de leitura/gravação, afirma.
No entanto, a folha de dados do produto é um pouco leve nas especificações, não indicando o desempenho exato de leitura/gravação. A Cigent confirmou que as unidades estarão disponíveis em capacidades de 480 GB, 960 GB e 1920 GB quando estiverem prontas para compra, previstas para maio de 2023.
A folha de dados revela que o Secure SSD+ vem em um fator de forma M.2 2280 de dupla face, o que significa que ele tem 22 mm de largura por 80 mm de comprimento e pode não caber em alguns laptops ultrafinos.
O professor Alan Woodward, cientista da computação da Universidade de Surrey e especialista em segurança, nos disse que esse dispositivo parece um conceito fascinante, mas que levanta várias questões.
“O que exatamente é o monitoramento de IA a bordo? Ele está procurando por padrões que se parecem com malware? Eu me pergunto o quão eficaz é essa abordagem. A IA e o aprendizado de máquina estão avançando na prevenção de malware de todos os tipos, mas não são 100% precisos”, disse ele.
De fato, essa nota de rodapé na folha de dados adverte que “uma pequena porcentagem de arquivos pode ser criptografada pelo ransomware antes que as contramedidas da unidade respondam”.
Mas a Cigent afirma que seus algoritmos de aprendizado de máquina foram comprovados e podem fornecer proteção mesmo contra ransomwares mais recentes, enquanto a sensibilidade de detecção pode ser ajustada dinamicamente para reduzir falsos positivos.
O professor van Gastel acrescentou: “Essa detecção de ransomware precisa ser comprovada a tempo. Isso tudo assumindo que eles implementaram isso corretamente. Como descobri em minha pesquisa anterior de SSD, muitas implementações estão faltando. Implementações de referência que são auditadas por uma parte externa são essenciais para aumentar a confiança no funcionamento correto.”
A folha de dados também especifica que o Secure SSD+ precisa ser instalado como a unidade de inicialização em um sistema endpoint, e o suporte atualmente inclui apenas o Windows, mas o suporte ao Linux estará disponível em breve.
As unidades que integram alguma capacidade de processamento dessa maneira às vezes são consideradas como um campo emergente rotulado Armazenamento Computacional. Um exemplo típico é o da Samsung SmartSSDs. Esses dispositivos podem integrar uma CPU, FPGA ou ASIC para fornecer aceleração de algumas funções de armazenamento, como compactação, descompactação ou codificação de eliminação. ®
.
